JurPC Web-Dok. 125/1998 - DOI 10.7328/jurpcb/1998138121

Gesetzentwurf der Hessischen Landesregierung zur Änderung des Hessischen Datenschutzgesetzes

JurPC Web-Dok. 125/1998, Abs. 1 - 248

Hessischer Landtag
Drucksache 14/3830
27.04.98

Gesetzentwurf der Landesregierung für ein Drittes Gesetz zur Änderung des Hessischen Datenschutzgesetzes

Die Landesregierung legt mit Schreiben vom 23. April 1998 den nachstehenden, im Umlaufverfahren vom 21. April 1998 gebilligten und festgestellten Gesetzentwurf dem Landtag zur Beschlußfassung vor. Der Gesetzentwurf wird vor dem Landtag von dem Minister des Innern und für Landwirtschaft, Forsten und Naturschutz vertreten.JurPC Web-Dok.
125/1998, Abs. 1

A. Problem

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (AB1. EG Nr. L 281 vom 23. November 1995, S. 31) ist nach Art. 32 Abs. i bis zum 24. Oktober 1998 in nationales Recht umzusetzen.Abs. 2

B. Lösung

Soweit die Anforderungen der Richtlinie nicht bereits im geltenden Hessischen Datenschutzgesetz erfüllt sind, werden die zu ihrer Umsetzung erforderlichen Regelungen durch eine entsprechende Änderung des Gesetzes geschaffen.
Bei dieser Gelegenheit ist es sinnvoll, im Gesetzentwurf Maßnahmen zur Verwaltungsvereinfachung zu treffen und Regelungslücken hinsichtlich neuer Datenverarbeitungstechniken zu schließen.		Abs. 3

C. Alternativen

Keine.Abs. 4

D. Finanzielle Mehraufwendungen

In ihrer Höhe nicht feststellbare Einsparungen durch den Wegfall von Melde- und Benachrichtigungspflichten sowie die gemeinsame Nutzung automatisierter Verfahren durch mehrere Behörden.Abs. 5

E. Auswirkungen, die Frauen anders oder in stärkerem Maße betreffen als Männer

Keine.Abs. 6
Der Landtag wolle das folgende Gesetz beschließen:
Drittes Gesetz zur Änderung des Hessischen Datenschutzgesetzes *Abs. 7

Vom ...

Abs. 8

Artikel 1

Das Hessische Datenschutzgesetz vom 11. November 1986 (GVB1. I S. 309), zuletzt geändert durch Gesetz vom 21. Dezember 1994 (GVB1. I S. 817), wird wie folgt geändert:Abs. 9
1. In der Inhaltsübersicht erhalten die Angaben zu den §§ 5, 6, 14, 15, 17, 26, 39 folgende Fassung:Abs. 10
"Behördlicher Datenschutzbeauftragter .......................§ 5
Verfahrensverzeichnis.....................................§ 6
Verantwortlichkeit für die Zulässigkeit der Datenverarbeitung .. § 14
Gemeinsame Verfahren ................................... § 15
Übermittlung außerhalb des Geltungsbereichs des Grundgesetzes § 17
Frist ................................................... § 26
Verarbeitung personenbezogener Daten durch den Landtag und die kommunalen Vertretungsorgane ......................... § 39"		Abs. 11
2. § 1 wird wie folgt geändert:Abs. 12
a) Der bisherige Wortlaut wird Abs. 1; das Wort "öffentliche" wird durch die Worte "die in § 3 Abs. 1 genannten" ersetzt.
Abs. 13
b) Als neuer Abs. 2 wird angefügt:
"(2) Aufgabe der obersten Landesbehörden, Gemeinden und Landkreise sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts ist es, die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz jeweils für ihren Bereich sicherzustellen."		Abs. 14
3. § 2 wird wie folgt geändert:Abs. 15
a) Als neuer Abs. 4 wird eingefügt:
"(4) Empfänger ist jede Person oder Stelle, die Daten erhält."		Abs. 16
b) Der bisherige Abs. 4 wird Abs. 5 und erhält folgende Fassung:
"(5) Dritter ist jeder Empfänger außerhalb der datenverarbeitenden Stelle, ausgenommen der Betroffene oder diejenigen Personen und Stellen, die innerhalb der Europäischen Union Daten im Auftrag verarbeiten."		Abs. 17
c) Als neuer Abs. 6 wird eingefügt:
"(6) Automatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz eines gesteuerten technischen Verfahrens selbsttätig abläuft."		Abs. 18
d) Der bisherige Abs. 6 wird Abs. 7 und erhält folgende Fassung:
"(7) Eine Akte ist jede der Aufgabenerfüllung dienende Unterlage."		Abs. 19
e) Der bisherige Abs. 5 wird Abs. 8 und erhält folgende Fassung:
"(8) Soweit andere landesrechtliche Vorschriften den Dateibegriff verwenden, ist Datei
  1. eine Sammlung von Daten, die durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei), oder
  2. eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen geordnet und ausgewertet werden kann (nicht-automatisierte Datei)."
Abs. 20
4. § 3 wird wie folgt geändert:Abs. 21
a) Abs. 1 wird wie folgt geändert:Abs. 22
aa) Nach dem Wort "Vereinigungen" werden die Worte "ungeachtet ihrer Rechtsform" angefügt.
bb) Als Satz 2 wird angefügt:
"Dieses Gesetz gilt auch für nicht-öffentliche Stellen, soweit sie hoheitliche Aufgaben der in Satz 1 genannten Stellen wahrnehmen."		Abs. 23
b) In Abs. 3 werden nach dem Wort "Strafvollstreckung" die Worte "einschließlich des Gnadenverfahrens" eingefügt und die Worte "und 2" durch die Worte "bis 4" ersetzt.Abs. 24
c) Abs. 4 wird gestrichen.Abs. 25
d) Die bisherigen Abs. 5 bis 7 werden Abs. 4 bis 6.Abs. 26
5. § 4 wird wie folgt geändert:Abs. 27
a) Abs. 1 erhält folgende Fassung:
"(1) Die datenverarbeitende Stelle bleibt für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz sowie für die Erfüllung ihrer sich aus § 8 ergebenden Pflichten auch dann verantwortlich, wenn personenbezogene Daten in ihrem Auftrag durch andere Personen oder Stellen verarbeitet werden. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Ist der Auftragnehmer der Ansicht, daß eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen."		Abs. 28
b) Als neuer Abs. 2 wird eingefügt:
"(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Zuverlässigkeit und der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen; dabei sind der Gegenstand und der Umfang der Datenverarbeitung, die technischen und organisatorischen Maßnahmen sowie etwaige Unterauftragsverhältnisse festzulegen. Für ergänzende Weisungen gilt Satz 2 entsprechend. Der Auftraggeber hat zu prüfen, ob beim Auftragnehmer die nach § 10 erforderlichen Maßnahmen getroffen und die erhöhten Anforderungen bei der Verarbeitung von Daten, die besonderen Amts- oder Berufsgeheimnissen unterliegen, sowie der in § 7 Abs. 4 genannten Daten eingehalten werden. An nicht-öffentliche Stellen darf ein Auftrag nur vergeben werden, wenn überwiegende schutzwürdige Interessen, insbesondere Berufs- oder besondere Amtsgeheimnisse, nicht entgegenstehen."		Abs. 29
c) Der bisherige Abs. 2 wird Abs. 3 und wie folgt geändert:
In Satz 2 wird nach dem Wort "Datenschutzbeauftragten" das Wort "vorab" eingefügt.		Abs. 30
d) Der bisherige Abs. 3 wird gestrichen.Abs. 31
e) Als neuer Abs. 4 wird angefügt:
"(4) Abs. 1 bis 3 gelten auch für Personen und Stellen, die im Auftrag Wartungsarbeiten und vergleichbare Hilfstätigkeiten bei der Datenverarbeitung erledigen."		Abs. 32
6. Die §§ 5 bis 8 erhalten folgende Fassung:Abs. 33
"§ 5 Behördlicher DatenschutzbeauftragterAbs. 34
(1) Die datenverarbeitende Stelle hat schriftlich einen behördlichen Datenschutzbeauftragten sowie einen Vertreter zu bestellen. Bestellt werden dürfen nur Beschäftigte, die dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt werden. Für die Wahrnehmung seiner Aufgaben nach Abs. 2 muß der behördliche Datenschutzbeauf-tragte die erforderliche Sachkenntnis und Zuverlässigkeit besitzen. Wegen dieser Tätigkeit, bei der er frei von Weisungen ist, darf er nicht benachteiligt werden. Er ist insoweit unmittelbar der Leitung der datenverarbeitenden Stelle zu unterstellen und im erforderlichen Umfang von der Erfüllung anderer Aufgaben freizustellen sowie mit den zur Erfüllung seiner Aufgaben notwendigen räumlichen, personellen und sachlichen Mitteln auszustatten. Die Beschäftigten der datenverarbeitenden Stelle können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des Datenschutzes an ihn wenden.
(2) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die datenverarbeitende Stelle bei der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen und Hinweise zur Umsetzung zu geben. Zu seinen Aufgaben gehört es insbesondere
  1. auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Maßnahmen, die das in § 1 Satz 1 Nr. 1 geschützte Recht betreffen, hinzuwirken,
  2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,
  3. die datenverarbeitende Stelle bei der Umsetzung der nach den §§ 6, 10 und 29 erforderlichen Maßnahmen zu unterstützen,
  4. das nach § 6 Abs. 1 zu erstellende Verzeichnis zu führen und für die Einsicht nach § 6 Abs. 2 bereitzuhalten,
  5. das Ergebnis der Untersuchung nach § 7 Abs. 6 zu prüfen und im Zweifelsfall den Hessischen Datenschutzbeauftragten zu hören.
Soweit keine gesetzliche Regelung entgegensteht, kann er die zur Erfüllung seiner Aufgaben notwendige Einsicht in Akten und die automatisierte Datenverarbeitung nehmen. Vor einer beabsichtigten Maßnahme nach Satz 2 Nr. 1 ist er rechtzeitig umfassend zu unterrichten und anzuhören. Wird er nicht rechtzeitig an einer Maßnahme beteiligt, ist die Entscheidung über die Maßnahme auszusetzen und die Beteiligung nachzuholen.
(3) Die datenverarbeitende Stelle kann einen Beschäftigten ihrer Aufsichtsbehörde mit deren Zustimmung zum Beauftragten für den Datenschutz bestellen. Mehrere datenverarbeitende Stellen können gemeinsam einen ihrer Beschäftigten zum Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird. Bestellungen von Personen, die nicht der datenverarbeitenden Stelle angehören, sind dem Hessischen Datenschutzbeauftragten mitzuteilen.		Abs. 35
§ 6 VerfahrensverzeichnisAbs. 36
(1) Wer für den Einsatz eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten zuständig ist, hat in einem für den behördlichen Datenschutzbeauftragten bestimmten Verzeichnis festzulegen:
  1. die Zweckbestimmung und die Rechtsgrundlage der Datenverarbeitung,
  2. die Art der gespeicherten Daten,
  3. den Kreis der Betroffenen,
  4. die Art regelmäßig übermittelter Daten, deren Empfänger sowie die Art und Herkunft regelmäßig empfangener Daten,
  5. die zugriffsberechtigten Personen oder Personengruppen,
  6. die technischen und organisatorischen Maßnahmen nach § 10,
  7. die Technik des Verfahrens,
  8. Regelfristen für die Sperrung und Löschung oder für die Prüfung der Notwendigkeit dieser Maßnahmen,
  9. eine beabsichtigte Datenübermittlung an Drittstaaten nach § 17 Abs. 2,
  10. das begründete Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3.

(2) Die Angaben des Verfahrensverzeichnisses können bei der datenverarbeitenden Stelle von jeder Person eingesehen werden; dies gilt für die Angaben zu Nr. 6, 7 und 10 nur, soweit dadurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. Satz 1 gilt nicht für
  1. Verfahren des Landesamtes für Verfassungsschutz,
  2. Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen,
  3. Verfahren der Steuerfahndung,
soweit die datenverarbeitende Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.		Abs. 37
§ 7 Zulässigkeit der DatenverarbeitungAbs. 38
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn
  1. eine diesem Gesetz vorgehende Rechtsvorschrift sie vorsieht oder zwingend voraussetzt,
  2. dieses Gesetz sie zuläßt oder
  3. der Betroffene ohne jeden Zweifel eingewilligt hat.

(2) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Sie ist im Falle einer Datenverarbeitung nach Abs. 4 ausdrücklich zu erteilen. Wird die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt, ist der Betroffene hierauf schriftlich besonders hinzuweisen. Der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, aufzuklären. Die Aufklärungspflicht umfaßt bei beabsichtigten Übermittlungen auch den Empfänger der Daten. Der Betroffene ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, daß er die Einwilligung verweigern kann.
(3) Unzulässig ist eine zu rechtlichen Folgen oder erheblichen Beeinträchtigungen für den Betroffenen führende Entscheidung, wenn sie auf einer Bewertung einzelner Merkmale seiner Person beruht, die ausschließlich durch eine automatisierte Verarbeitung seiner Daten erstellt wurde. Eine Entscheidung nach Satz 1 kann durch Gesetz zugelassen werden, das die Wahrung der berechtigten Interessen des Betroffenen sicherstellt.
(4) Soweit nicht eine Rechtsvorschrift die Verarbeitung personenbezogener Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben vorsieht oder zwingend voraussetzt, darf eine Verarbeitung nur nach §§ 33 bis 35 und 39 erfolgen. Im übrigen ist eine Verarbeitung auf Grund dieses Gesetzes nur zulässig, wenn sie ausschließlich im Interesse des Betroffenen liegt und der Hessische Datenschutzbeauftragte vorab gehört worden ist.
(5) Wenn der Betroffene schriftlich begründet, daß der rechtmäßigen Verarbeitung seiner Daten auf Grund dieses Gesetzes schutzwürdige, sich aus seiner besonderen persönlichen Lage ergebende Gründe entgegenstehen, ist die Verarbeitung nur zulässig, nachdem eine Abwägung im Einzelfall ergeben hat, daß seine Gründe hinter dem öffentlichen Interesse an der Verarbeitung zurückstehen müssen. Dem Betroffenen ist das Ergebnis mit Begründung schriftlich mitzuteilen.
(6) Wer für den Einsatz oder die wesentliche Änderung eines Verfahrens zur automatisierten Datenverarbeitung zuständig ist, hat vor dem Beginn der Verarbeitung zu untersuchen, ob damit Gefahren für die in § 1 Abs. 1 Nr. 1 geschützten Rechte verbunden sind; dies gilt in besonderem Maße für die in § 7 Abs. 4 genannten Daten. Das Verfahren darf nur eingesetzt werden, wenn sichergestellt ist, daß diese Gefahren nicht bestehen oder durch technische und organisatorische Maßnahmen verhindert werden können. Das Ergebnis der Untersuchung und dessen Begründung sind aufzuzeichnen und dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten.		Abs. 39
§ 8 Rechte der BetroffenenAbs. 40
(1) Jeder hat nach Maßgabe dieses Gesetzes ein Recht auf
  1. Auskunft und Benachrichtigung über die zu seiner Person gespeicherten Daten (§ 18),
  2. Überprüfung der rechtmäßigen Verarbeitung seiner Daten auf Grund von ihm vorgebrachter besonderer persönlicher Gründe (§ 7 Abs. 5),
  3. Einsicht in das Verfahrensverzeichnis (§ 6 Abs. 2),
  4. Berichtigung, Sperrung oder Löschung der zu seiner Person gespeicherten Daten (§ 19),
  5. Schadensersatz (§ 20),
  6. Anrufung des Datenschutzbeauftragten (§§ 28 und 37 Abs. 2).

(2) Wenn eine in § 3 Abs. 1 genannte Stelle für die Gewährung einer Leistung, das Erkennen einer Person oder für einen anderen Zweck einen Datenträger herausgibt, auf dem personenbezogene Daten des Inhabers automatisiert verarbeitet werden, dann hat sie sicherzustellen, daß er dies erkennen und seine ihm nach Abs. 1 Nr. 1 bis 5 zustehenden Rechte ohne unvertretbaren Aufwand geltend machen kann. Der Inhaber ist bei Ausgabe des Datenträgers über die ihm nach Abs. 1 zustehenden Rechte sowie über die von ihm bei Verlust des Datenträgers zu treffenden Maßnahmen und über die Folgen aufzuklären."		Abs. 41
7. § 10 erhält folgende Fassung:Abs. 42
"§ 10 Technische und organisatorische MaßnahmenAbs. 43
(1) Die datenverarbeitende oder in ihrem Auftrag tätige Stelle hat die technischen und organisatorischen Maßnahmen zu treffen, die nach Abs. 2 und 3 erforderlich sind, um die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu gewährleisten. Erforderlich sind diese Maßnahmen, soweit der damit verbundene Aufwand unter Berücksichtigung der Art der personenbezogenen Daten und ihrer Verarbeitung zum Schutz des in § 1 Abs. 1 Nr. 1 genannten Rechts angemessen ist.
(2) Werden personenbezogene Daten automatisiert verarbeitet, ist das Verfahren auszuwählen oder zu entwickeln, welches geeignet ist, so wenig personenbezogene Daten zu verarbeiten, wie zur Erreichung des angestrebten Zwecks erforderlich ist. Außerdern sind Maßnahmen schriftlich anzuordnen, die nach dem jeweiligen Stand der Technik und der Art des eingesetzten Verfahrens erforderlich sind, um zu gewährleisten, daß
  1. Unbefugte keinen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, erhalten (Zutrittskontrolle),
  2. Unbefugte an der Benutzung von Datenverarbeitungsanlagen und -verfahren gehindert werden (Benutzerkontrolle),
  3. die zur Benutzung eines Datenverarbeitungsverfahrens Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle),
  4. personenbezogene Daten nicht unbefugt oder nicht zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, übermittelt, entfernt, vernichtet oder sonst verarbeitet werden (Datenverarbeitungskontrolle),
  5. es möglich ist, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle),
  6. personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. durch eine Dokumentation aller wesentlichen Verarbeitungsschritte die Überprüfbarkeit der Datenverarbeitungsanlage und des –verfahrens möglich ist (Dokumentationskontrolle),
  8. die innerbehördliche oder innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(3) Werden personenbezogene Daten nicht automatisiert verarbeitet, dann sind insbesondere Maßnahmen zu treffen, um den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern."		Abs. 44
8. § 11 wird wie folgt geändert:Abs. 45
In Abs. 1 wird als Satz 2 angefügt:
"Die Erforderlichkeit einer Datenübermittlung muß bei einer der beteiligten Stellen vorliegen."		Abs. 46
9. § 12 wird wie folgt geändert:Abs. 47
a) In Abs. 1 wird als Satz 2 angefügt:
"Werden Daten nicht über eine bestimmte Person, sondern über einen bestimmbaren Personenkreis erhoben, dann genügt es, wenn er die seinen schutzwürdigen Belangen angemessene Möglichkeit zur Kenntnisnahme hat."		Abs. 48
b) Abs. 3 erhält folgende Fassung:
"(3) Beim Betroffenen und bei Dritten außerhalb des öffentlichen Bereichs dürfen Daten ohne seine Kenntnis nur erhoben werden, wenn der Schutz von Leben und Gesundheit oder die Abwehr einer erheblichen Gefährdung der natürlichen Lebensgrundlagen dies im Einzelfall gebietet oder eine Rechtsvorschrift dies vorsieht oder, soweit es sich um eine Rechtsvorschrift des Bundes handelt, zwingend voraussetzt."		Abs. 49
c) Abs. 4 Satz 1 erhält folgende Fassung:
"Werden Daten beim Betroffenen mit seiner Kenntnis erhoben, dann ist er von der datenverarbeitenden Stelle in geeigneter Weise über deren Anschrift, den Zweck der Datenerhebung sowie über seine Rechte nach § 8 aufzuklären."		Abs. 50
10. § 14 wird wie folgt geändert:Abs. 51
a) Die Überschrift erhält folgende Fassung:
"Verantwortlichkeit für die Zulässigkeit der Datenübermittlung"		Abs. 52
b) Abs. 1 und die Absatzbezeichnung "(2)" werden gestrichen.Abs. 53
c) In Satz 2 wird nach dem Wort "Aufgaben" das Wort "des" gestrichen und die Worte "eines in § 3 Abs. 1 genannten" werden eingefügt.Abs. 54
11. § 15 erhält folgende Fassung:Abs. 55
"§ 15 Gemeinsame VerfahrenAbs. 56
(1) Die Einrichtung eines automatisierten Verfahrens, das mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten ermöglicht, ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die Benutzung des Verfahrens ist im Einzelfall nur erlaubt, wenn hierfür die Zulässigkeit der Datenverarbeitung gegeben ist. Vor der Einrichtung oder Änderung eines gemeinsamen Verfahrens ist der Hessische Datenschutzbeauftragte zu hören. Ihm sind die Festlegungen nach Abs. 2 Satz 1, das Verfahrensverzeichnis nach § 6 Abs. 1 und das Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3 vorzulegen.
(2) Die beteiligten Stellen bestimmen eine Stelle, der die Planung, Einrichtung und Durchführung des gemeinsamen Verfahrens obliegt und legen schriftlich fest
  1. die Bezeichnung und die Aufgaben jeder beteiligten datenverarbeitenden Stelle sowie den Bereich der Datenverarbeitung, für deren Rechtmäßigkeit sie im Einzelfall verantwortlich ist und
  2. die für die Durchführung des gemeinsamen Verfahrens nach § 10 Abs. 2 getroffenen technischen und organisatorischen Maßnahmen.
Die mit der Durchführung des gemeinsamen Verfahrens betraute Stelle verwahrt ein Doppel des von den beteiligten Stellen nach § 6 Abs. 1 zu erstellenden Verfahrensverzeichnisses und hält es zusammen mit den Angaben nach Satz 1 Nr. 1 zur Einsicht für die Öffentlichkeit bereit; dies gilt auch für die Angaben nach Satz 1 Nr. 2, soweit dadurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. § 6 Abs. 2 gilt entsprechend.
(3) Stellen, auf die dieses Gesetz keine Anwendung findet, können am gemeinsamen Verfahren beteiligt werden, wenn vertraglich sichergestellt ist, daß sie in diesem Verfahren die Bestimmungen dieses Gesetzes beachten und sich der Kontrolle des Hessischen Datenschutzbeauftragten unterwerfen.
(4) Die Betroffenen können ihre Rechte nach § 8 Abs. 1 Nr. 1 bis 5 gegenüber jeder der beteiligten Stellen geltend machen, unabhängig davon, welche Stelle im Einzelfall für die Verarbeitung der betroffenen Daten verantwortlich ist. Die Stelle, an die der Betroffene sich wendet, leitet das Anliegen an die jeweils zuständige Stelle weiter. Das Auskunftsrecht nach § 18 erstreckt sich auch auf die Angaben nach Abs. 2 Satz 1 Nr. 1.
(5) Die Abs. 1, 2 und 4 Satz 3 gelten entsprechend, wenn innerhalb einer datenverarbeitenden Stelle ein gemeinsames automatisiertes Verfahren zur Verarbeitung personenbezogener Daten für verschiedene Zwecke eingerichtet wird."		Abs. 57
12. § 17 erhält folgende Fassung:Abs. 58
"§ 17 Übermittlung außerhalb des Geltungsbereichs des GrundgesetzesAbs. 59
(1) Für die Zulässigkeit der Übermittlung personenbezogener Daten innerhalb der Europäischen Union findet § 7 Anwendung.
(2) Für die Übermittlung an Stellen außerhalb des in Abs. 1 genannten Bereichs (Drittstaaten) sowie an über- und zwischenstaatliche Stellen ist außer der Zulässigkeit nach Abs. 1 erforderlich, daß der Drittstaat oder die über- und zwischenstaatliche Stelle einen angemessenen Datenschutz gewährleistet. Vor der Entscheidung über die Angemessenheit ist der Hessische Datenschutzbeauftragte zu hören. Sofern der Drittstaat oder die über- und zwischenstaatliche Stelle keinen angemessenen Datenschutz gewährleistet, ist eine Übermittlung personenbezogener Daten zulässig, wenn
  1. der Betroffene seine Einwilligung gegeben hat,
  2. die Übermittlung für die Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
  3. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder
  4. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.
Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, daß die übermittelten Daten nur zu Zwecken verarbeitet oder genutzt werden dürfen, die mit den Zwecken zu vereinbaren sind, zu deren Erfüllung sie ihr übermittelt werden."		Abs. 60
13. § 18 wird wie folgt geändert:Abs. 61
a) Abs. 1 und 2 erhalten folgende Fassung:
"(1) Datenverarbeitende Stellen, die personenbezogene Daten automatisiert speichern, haben die Betroffenen von dieser Tatsache schriftlich zu benachrichtigen und dabei die Art der Daten sowie die Zweckbestimmung und die Rechtsgrundlage der Speicherung zu nennen. Die Benachrichtigung erfolgt zum Zeitpunkt der Speicherung oder im Fall einer beabsichtigten Übermittlung spätestens mit deren Durchführung. Dienen die Daten der Erstellung einer beabsichtigten Mitteilung an den Betroffenen, kann die Benachrichtigung mit dieser Mitteilung verbunden werden.
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
  1. die Daten beim Betroffenen erhoben oder von ihm mitgeteilt worden sind,
  2. die Verarbeitung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist,
  3. der Betroffene auf andere Weise Kenntnis von der Verarbeitung seiner Daten erlangt hat,
  4. die Benachrichtigung des Betroffenen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert."
Abs. 62
b) Der bisherige Abs. 1 wird Abs. 3 und wie folgt geändert:
In Satz 1 werden die Worte "Werden personenbezogene Daten in einer Datei gespeichert, dann ist dem Betroffenen von der speichernden Stelle" durch die Worte "Datenverarbeitende Stellen, die personenbezogene Daten automatisiert speichern, haben dem Betroffenen" und die Worte "regelmäßiger Übermittlungen" durch die Worte "übermittelter Daten" ersetzt.		Abs. 63
c) Die bisherigen Abs. 3 und 4 werden Abs. 4 und 5.Abs. 64
d) Der bisherige Abs. 5 wird Abs. 6 und wie folgt geändert:
In Satz 1 werden die Worte "Abs. 1, 2 und 4" durch die Worte "Abs. 1 und 3" ersetzt.		Abs. 65
e) Der bisherige Abs. 6 wird Abs. 7 und erhält folgende Fassung:
"(7) Bei Prüfungs- und Berufungsverfahren können die in Abs. 1 bis 6 gewährten Rechte erst nach dem Verfahrensabschluß geltend gemacht werden."		Abs. 66
14. § 19 Abs. 2 wird wie folgt geändert:Abs. 67
a) Satz 1 Nr. 3 erhält folgende Fassung:
"3. ihre Verarbeitung unzulässig ist und die Löschung den Betroffenen in der Verfolgung seiner Rechte beeinträchtigen würde."		Abs. 68
b) In Satz 2 wird das Wort "In" durch das Wort "Bei" und das Wort "Dateien" durch das Wort "Verfahren" ersetzt.Abs. 69
15. In § 20 Abs. 1 Satz 1 wird nach der Angabe "§1" die Angabe "Abs. 1" eingefügt.Abs. 70
16. § 21 wird wie folgt geändert:Abs. 71
a) In Abs. 4 wird folgender Satz 5 und 6 angefügt:
"Er bestellt für den Fall seiner Verhinderung oder für den Fall seines vorzeitigen Ausscheidens aus dem Amt für die Zeit bis zur Wahl seines Nachfolgers einen Beschäftigten seiner Dienststelle zum Vertreter. Als Verhinderung gilt auch, wenn im Einzelfall in der Person des Hessischen Datenschutzbeauftragten Gründe vorliegen, die bei einem Richter zum Ausschluß von der Mitwirkung oder zur Ablehnung wegen Besorgnis der Befangenheit führen können."		Abs. 72
b) Als neuer Abs. 5 wird eingefügt:
"(5) Der Hessische Datenschutzbeauftragte kann an den Sitzungen des Landtags und seiner Ausschüsse nach Maßgabe der Geschäftsordnung des Landtags teilnehmen und sich zu Fragen äußern, die für den Datenschutz von Bedeutung sind."		Abs. 73
c) Der bisherige Abs. 5 wird Abs. 6.Abs. 74
17. In § 22 werden nach den Worten "Datenschutzbeauftragte ist" die Worte "als oberste Landesbehörde" eingefügt und die Worte "und 39" gestrichen.Abs. 75
18. § 24 wird wie folgt geändert:Abs. 76
a) In Abs. 1 Satz 3 wird die Angabe "Abs. 2" durch die Angabe "Abs. 3" ersetzt.Abs. 77
b) In Abs. 3 werden die Worte "sowie mit den Aufsichtsbehörden nach § 30 des Bundesdatenschutzgesetzes" gestrichen.Abs. 78
c) In Abs. 4 Satz 1 wird die Angabe "§ 30" durch die Worte "den Vorschriften" ersetzt und nach den Worten "in Hessen" werden die Worte "für nicht-öffentliche Stellen" eingefügt.Abs. 79
19. § 25 wird wie folgt geändert:Abs. 80
a) Der bisherige Wortlaut wird Abs. 1.Abs. 81
b) Der bisherige § 39 wird Abs. 2.Abs. 82
20. § 26 wird durch folgenden neuen § 26 ersetzt:Abs. 83
"§ 26 FristAbs. 84
Soweit der Hessische Datenschutzbeauftragte auf Grund einer Rechtsvorschrift gehört wird, teilt er unverzüglich mit, ob und innerhalb welcher Frist er eine Stellungnahme abgeben wird."Abs. 85
21. In § 27 werden die Worte "verzichten, wenn es sich um unerhebliche Mängel handelt" durch die Worte "verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt" ersetzt.Abs. 86
22. In § 31 Abs. 2 wird in Satz 1 das Wort "Bediensteten" durch das Wort "Beamten" ersetzt und es wird folgender Satz 3 angefügt:
"Für sonstige Beschäftigte gelten Satz 1 und 2 entsprechend."		Abs. 87
23. § 33 wird wie folgt geändert:Abs. 88
a) In Abs. 1 erhalten Satz 1 bis 3 folgende Fassung:
"Zum Zwecke wissenschaftlicher Forschung dürfen datenverarbeitende Stellen personenbezogene Daten ohne Einwilligung des Betroffenen im Rahmen bestimmter Forschungsvorhaben verarbeiten, soweit dessen schutzwürdige Belange wegen der Art der Daten, ihrer Offenkundigkeit oder der Art ihrer Verwendung nicht beeinträchtigt werden. Der Einwilligung des Betroffenen bedarf es auch nicht, wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange des Betroffenen erheblich überwiegt und der Zweck der Forschung nicht auf andere Weise oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Im Falle des Satz 2 bedarf die Verarbeitung durch Stellen des Landes der vorherigen Genehmigung der obersten Landesbehörde oder einer von dieser bestimmten Stelle."		Abs. 89
b) In Abs. 2 werden die Worte "erreicht ist" durch die Worte "dies zuläßt" ersetzt.Abs. 90
c) Der bisherige Abs. 5 wird gestrichen.Abs. 91
24. § 34 wird wie folgt geändert:Abs. 92
a) Abs. 1 wird wie folgt geändert:
aa) Die Worte "Öffentliche Stellen dürfen Daten ihrer" werden durch die Worte "Der Dienstherr oder Arbeitgeber darf Daten seiner" ersetzt.
bb) Nach dem Wort "innerdienstlicher" wird das Wort "planerischer," eingefügt.		Abs. 93
b) Abs. 3 erhält folgende Fassung:
"(3) Das Auskunftsrecht nach § 18 Abs. 3 umfaßt auch die Art der automatisierten Auswertung der Daten des Beschäftigten. § 18 Abs. 6 findet keine Anwendung."		Abs. 94
c) Abs. 5 erhält folgende Fassung:
(5) Vor Einführung, Anwendung, Änderung oder Erweiterung eines automatisierten Verfahrens zur Verarbeitung von Daten der Beschäftigten hat die Dienststelle das Verfahrensverzeichnis (§ 6) der Personalvertretung im Rahmen des personalvertretungsrechtlichen Beteiligungsverfahrens mit dem Hinweis vorzulegen, daß sie eine Stellungnahme des Hessischen Datenschutzbeauftragten fordern kann. Macht die Personalvertretung von dieser Möglichkeit Gebrauch, beginnt die von ihr einzuhaltende Frist erst mit der Vorlage der von der Dienststellenleitung einzuholenden Stellungnahme.		Abs. 95
d) Abs. 6 wird gestrichen.Abs. 96
e) Der bisherige Abs. 7 wird Abs. 6 und wie folgt geändert:
Die Angabe "Abs. 3" wird durch die Angabe "Abs. 2" ersetzt.		Abs. 97
f) Der bisherige Abs. 8 wird gestrichen.Abs. 98
25. In § 37 Abs. 3 wird nach der Angabe "§ 5" die Angabe "Abs. 2" gestrichen.Abs. 99
26. In § 38 Abs. 2 werden jeweils die Worte "Dateien" durch die Worte "Verfahren" ersetzt.Abs. 100
27. § 39 wird wie folgt geändert:Abs. 101
a) Der bisherige § 39a wird § 39.Abs. 102
b) In Abs. 1 wird nach der Angabe "§ 1" die Angabe "Abs. 1" eingefügt und die Worte "und § 39" gestrichen.Abs. 103
28. § 42 Abs. 1 und die Absatzbezeichnung "(2)" werden gestrichen.Abs. 104

Artikel 2 Neubekanntmachung

Der Minister des Innern und für Landwirtschaft, Forsten und Naturschutz wird ermächtigt, das Hessische Datenschutzgesetz in der sich aus diesem Gesetz ergebenden Fassung mit neuem Datum bekanntzumachen und dabei Unstimmigkeiten des Wortlauts zu beseitigen.Abs. 105

Artikel 3

Dieses Gesetz tritt am Tage nach der Verkündung in Kraft.Abs. 106

Begründung:

A. Allgemeines

Anlaß für die Novellierung des Hessischen Datenschutzgesetzes ist die Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, die nach Art. 32 Abs. 1 bis zum 24. Oktober 1998 von den Mitgliedstaaten umgesetzt werden muß.Abs. 107
Sie gilt in erster Linie für die vom Bundesdatenschutzgesetz erfaßte Privatwirtschaft aber auch für den in den Landesgesetzen geregelten Datenschutz in der öffentlichen Verwaltung.Abs. 108
Die Umsetzung der Richtlinie gibt außerdem Gelegenheit, im Landesgesetz ergänzende Regelungen für neue technische Entwicklungen zu schaffen und Vorschriften zu streichen, die einen Verwaltungsaufwand verursacht haben, der in keinem angemessenen Verhältnis zum Schutz der Betroffenen stand.Abs. 109
Die Anpassung an neue Entwicklungen der Technik war nur in geringem Maße erforderlich, da die Novellierung von 1986 das Gesetz bereits für den technischen Fortschritt weitgehend geöffnet hat. So ist der seinerzeit erstmalig eingeführte umfassende Verarbeitungsbegriff zwar nicht vom Bundesdatenschutzgesetz, wohl aber von der Richtlinie übernommen worden, was deren Umsetzung erheblich erleichtert.Abs. 110
Die Novellierung kann sich daher hinsichtlich der Erfassung neuer Techniken im wesentlichen auf eine Regelung für Chipkarten und auf die Abschaffung des überholten, an eine bestimmte Form der automatisierten Datenverarbeitung gebundenen engen Dateibegriffs beschränken.Abs. 111
Der Schwerpunkt der Novellierung liegt neben der Umsetzung der Richtlinie in der Verwaltungsvereinfachung.Abs. 112
Zum einen wird mit § 15 eine Regelung geschaffen, die es verschiedenen Behörden ermöglicht, automatisierte Verfahren kosten- und zeitsparend gemeinsam zu nutzen, ohne die Rechte der Betroffenen zu beeinträchtigen.Abs. 113
Zum anderen werden Vorschriften gestrichen, die zu einem unverhältnismäßigen Verwaltungsaufwand geführt haben.Abs. 114
So wird das auch nach Feststellung des Hessischen Datenschutzbeauftragten weitgehend nutzlose von ihm zu führende Dateienregister nicht beibehalten. Damit entfallen die umfangreichen Meldepflichten aller datenverarbeitenden Stellen. Art. 18 Abs. 2 der EG-Richtlinie erlaubt allerdings einen Verzicht auf Meldepflichten nur, wenn dafür behördliche Datenschutzbeauftragte mit einer weitgehend unabhängigen Stellung geschaffen werden. Diese Bedingung ist in Hessen bereits grundsätzlich erfüllt, da es als erstes Land 1986 den behördlichen Datenschutzbeauftragten gesetzlich vorgeschrieben hat. Seine Stellung wird auf Grund der bisher gemachten Erfahrungen und den Anforderungen der Richtlinie gestärkt und ausgebaut.Abs. 115
Außerdem wird die Benachrichtigungspflicht weitgehend abgeschafft, da sie keinen erkennbaren Nutzen für die Betroffenen, wohl aber eine ganz erhebliche Belastung für die Verwaltung mit sich gebracht hat.Abs. 116
Eine völlige Abschaffung der Benachrichtigungspflicht war nicht möglich, da Art. 11 der EG-Richtlinie sie weiterhin vorschreibt. Die in der Richtlinie zugelassenen Ausnahmen sind vollständig ausgeschöpft worden, so daß die Benachrichtigung nicht die Regel, sondern die Ausnahme darstellt.Abs. 117
Schließlich enthält der Gesetzentwurf Klarstellungen, Vereinfachungen und die Abschaffung von Genehmigungsvorbehalten sowie der Verordnungsermächtigung in § 15, um eine rechtsstaatlich nicht gebotene Vorschriftenflut zu vermeiden.Abs. 118

B. Zu den einzelnen Vorschriften:

Zu § l

Zu Abs. 1 Satz l:
Der ungenaue Begriff "öffentliche Stellen" ist zur Klarstellung durch den Verweis auf die in § 3 Abs. 1 konkret benannten Stellen ersetzt worden. Eine Rechtsänderung ist damit nicht verbundenAbs. 119
Zu Abs. 2:
Der bisherige § 5 Abs. 1 ist unverändert als zweiter Absatz in § 1 aufgenommen worden, um unmittelbar nach der in Abs. 1 geregelten Aufgabe des Gesetzes deutlich zu machen, wem dessen Ausführung obliegt.Abs. 120

Zu § 2

Zu Abs. 4:
In Art. 2 g der EG-Richtlinie ist der Begriff des Empfängers definiert. Zur Wahrung der europäischen Rechtseinheit wird dieser Begriff in das HDSG aufgenommen und in das System dieses Gesetzes eingepaßt.Abs. 121
Zu Abs. 5:
Die Änderung des bisherigen Abs. 4 enthält die notwendige Anpassung an den Geltungsbereich der EG-RichtlinieAbs. 122
Zu Abs. 6:
Eine Definition des Begriffs "automatisiert" ist notwendig, weil das für jede Art der Datenverarbeitung geltende Gesetz in verschiedenen Vorschriften besondere Anforderungen aufstellt, wenn die Verarbeitung automatisiert erfolgt. Die Definition beschränkt sich auf den wesentlichen Umstand, daß unter Nutzung der ständig fortschreitenden und daher im Gesetz nicht näher beschriebenen Technik ein Verfahren eingesetzt wird, mit dessen Hilfe die von einer Willensentscheidung bestimmte – also gesteuerte – Speicherung, Veränderung, Übermittlung oder sonstige Verarbeitung personenbezogener Daten ohne weiteres menschliche Zutun automatisch – also selbsttätig – abläuft. Die Steuerung durch menschliche Eingriffe kann in jeder Phase des selbsttätigen Ablaufs zu dessen weiteren Gestaltung vorgenommen werden.Abs. 123
Zu Abs. 7:
Abs. 7 enthält keine inhaltliche Änderung der bisherigen Rechtslage, sondern eine Klarstellung. Die Bedeutung des bisher verwendeten Wortes "amtlich" ist nicht eindeutig genug. Sinn und Zweck des Gesetzes ist es, sämtliche Unterlagen zu erfassen, die zur Bearbeitung aller Aufgaben dienen, für deren Erfüllung die in § 3 Abs. 1 genannte Stelle zuständig ist.Abs. 124
Zu Abs. 8:
Der aus den Anfängen der Automatisierung stammende Dateibegriff hat schon in der Vergangenheit immer wieder zu Anwendungsschwierigkeiten geführt. Die fortschreitende Technik ermöglicht zudem künftig immer mehr Formen der automatisierten Datenverarbeitung, die nicht mehr von diesem engen und statischen Begriff erfaßt werden, obwohl auch für sie die Geltung des Datenschutzgesetzes zum Schutz des Persönlichkeitsrechts erforderlich ist. Schon das bisherige Gesetz hat deshalb jede Art der automatisierten Datenverarbeitung erfaßt, unabhängig davon, ob der Dateibegriff erfüllt war. Er war nur deshalb noch in § 2 Abs. 5 enthalten, weil bestimmte Pflichten, wie die Meldung zum Dateiregister des Hessischen Datenschutzbeauftragten, an ihn gebunden waren. Da diese Pflichten künftig entfallen, ist es sinnvoll, diesen überholten Begriff im Interesse einer auf die Zukunft gerichteten Verständlichkeit und Vereinfachung des Gesetzes nicht mehr beizubehalten.Abs. 125
Die EG-Richtlinie verwendet den Dateibegriff lediglich noch als Abgrenzung zur Akte, für die sie nicht gilt. Dieser Grund entfällt für das HDSG, da sein weitergehender Schutz auch die Akten umfaßt.Abs. 126
Die gesonderte Aufnahme des herkömmlichen Dateibegriffs in Abs. 8 war allein deshalb erforderlich, weil in bereichsspezifischen Gesetzen wie zum Beispiel in § 20 Abs. 5 Satz 1 HSOG auf ihn Bezug genommen wird. Wenn künftig die bereichsspezifischen Gesetze nach und nach dem allgemeinen Gesetz angepaßt werden, wird Abs. 8 mit der Zeit überflüssig werden. Es handelt sich also um eine Übergangsregelung, die nur deshalb nicht an den Schluß des Gesetzes gestellt wurde, weil sie dort leichter übersehen werden könnte als in § 2.Abs. 127

Zu § 3

Zu Abs. 1:
Abs. 1 enthält keine Rechtsänderungen, sondern Klarstellungen.Abs. 128
Schon bisher war unstreitig, daß öffentliche Stellen das Gesetz nicht durch den Zusammenschluß zu einer privatrechtlichen Vereinigung umgehen durften. Das Verbot dieser "Flucht in das Privatrecht" wird nun durch den in Satz 1 neu aufgenommenen Zusatz "ungeachtet ihrer Rechtsform" ausdrücklich aufgenommen. Diese Regelung gilt für privatrechtliche Vereinigungen, an denen ausschließlich hessische öffentliche Stellen beteiligt sind. Soweit der Gesetzgebungskompetenz des Bundes unterliegende nicht-öffentliche Stellen beteiligt sind, findet § 2 Abs. 3 BDSG Anwendung. Danach gelten privatrechtliche Vereinigungen von öffentlichen Stellen der Länder und nicht-öffentlichen Stellen, die auf das Land beschränkte Aufgaben der öffentlichen Verwaltung ausüben, als öffentliche Stellen der Länder, die dem Landesdatenschutzgesetz und damit der Kontrolle des Landesdatenschutzbeauftragten unterliegen.Abs. 129
Satz 2 stellt die bisher schon geltende Tatsache klar, wonach das Gesetz auch für "beliehene Unternehmer" gilt.Abs. 130
Zu Abs. 4:
Einen datenschutzrechtsfreien Raum für Gnadenverfahren läßt die EG-Richtlinie nicht zu.Abs. 131

Zu § 4

Zu Abs. l:
Die Einführung des 2. Halbsatzes in Satz 1 stellt keine Änderung der bisherigen Rechtslage dar, sondern sie soll den Betroffenen die Geltendmachung ihrer Rechte durch einen Hinweis auf die Verantwortlichen erleichtern.Abs. 132
Zu Abs. 2:
Die neuen Regelungen in Abs. 2 beruhen vor allem auf den Erfahrungen, die der Hessische Datenschutzbeauftragte bei der Überprüfung von Auftragsverhältnissen gemacht hat. Dabei hat sich ergeben, daß es die Auftraggeber häufig versäumen, schon bei der Auswahl des Auftragnehmers auf die von diesem getroffenen Datensicherungsmaßnahmen zu achten.Abs. 133
Außerdem waren viele Aufträge so allgemein gefaßt, daß sich der Auftragnehmer nicht über den vollen Umfang seiner Pflichten im klaren war und der Hessische Datenschutzbeauftragte nicht in der Lage war, deren Einhaltung im einzelnen zu überprüfen.Abs. 134
Die im letzten Satz getroffene Aussage hat nur deklaratorische Bedeutung und soll an dieser Stelle als Warnhinweis dienen.Abs. 135
Der bisherige Abs. 2 wird Abs. 3; der bisherige Abs. 3 wird ersatzlos gestrichen.Abs. 136
Zur Streichung des bisherigen Abs. 3:
Privatrechtliche Vereinigungen, bei denen die Mehrheit der Anteile dem Land und der Rest privaten Anteilseignern zusteht, unterliegen der Gesetzgebungskompetenz des Bundes, von der er in § 2 Abs. 3 BDSG Gebrauch gemacht hat. Danach gelten privatrechtliche Vereinigungen, die im Bereich eines Landes tätig werden und Aufgaben der öffentlichen Verwaltung wahrnehmen, als öffentliche Stelle des Landes, ungeachtet der Beteiligung nicht-öffentlicher Stellen. Nach dieser Bundesregelung ist der Geltungsbereich des Hessischen Gesetzes weiter als nach dem bisherigen Abs. 3 HDSG, der damit entfällt. Zum einen gilt für diese Vereinigungen das gesamte Gesetz und nicht nur der Teil über den Hessischen Datenschutzbeauftragten; zum anderen werden alle Aufgaben der öffentlichen Verwaltung erfaßt und nicht nur die öffentliche Auftragsdatenverarbeitung.Abs. 137
Zu Abs. 4:
Diese Vorschrift schließt eine Gesetzeslücke für Wartungs- und andere Hilfstätigkeiten und stellt sie mit der vergleichbaren Auftragsdatenverarbeitung gleich.Abs. 138
Zu § 5
Der hessische Gesetzgeber hat 1986 als erster die Bestellung eines behördlichen Datenschutzbeauftragten zwingend vorgeschrieben. Die Frühzeitigkeit der Entscheidung, der andere Gesetzgeber gefolgt sind, hat es ermöglicht, langjährige Erfahrungen mit dieser Einrichtung zu sammeln. Dazu haben vor allem zahlreiche Fortbildungsveranstaltungen der Landesregierung für behördliche Datenschutzbeauftragte sowie eine Umfrage des Hessischen Datenschutzbeauftragten beigetragen. Als Ergebnis hat sich herausgestellt, daß die Stellung des behördlichen Datenschutzbeauftragten gestärkt werden muß und seine Aufgaben im einzelnen genauer im Gesetz festgelegt werden müssen, wenn seine Bemühungen zum Schutz personenbezogener Daten erfolgreich sein sollen.Abs. 139
Außerdem hat der Hessische Datenschutzbeauftragte festgestellt, daß die Dezentralisierung der Datenverarbeitung eine flächendeckende Kontrolle durch seine zentrale Behörde zunehmend erschwert. Er ist deshalb auf die Mitwirkung der behördlichen Datenschutzbeauftragten vor Ort angewiesen, die ein Bindeglied zwischen ihm und den Behörden darstellen.Abs. 140
Auch die EG-Richtlinie hat die Bedeutung der betrieblichen und behördlichen Datenschutzbeauftragten erkannt und erlaubt deshalb in Art. 18 Abs. 2 von den umfangreichen und bürokratischen Meldepflichten an die zentrale Kontrollstelle – also den Hessischen Datenschutzbeauftragten – abzusehen, wenn ein behördlicher Datenschutzbeauftragter geschaffen wird, wie dies in Hessen bereits geschehen ist und wenn seine Überwachungstätigkeit unabhängig ist, was nach geltendem Recht noch nicht der Fall ist. Nur wenn auch diese Voraussetzung erfüllt ist, kann im Gegenzug durch Streichung von § 26 HDSG künftig darauf verzichtet werden, alle Dateien dem Hessischen Datenschutzbeauftragten zu melden.Abs. 141
Durch die von der EG-Richtlinie geforderte Unabhängigkeit fällt die Überwachungstätigkeit des behördlichen Datenschutzbeauftragten aus dem Rahmen der üblichen dienstlichen Aufgaben dieses Beschäftigten heraus. Sie darf nicht durch Weisungen, die Überbürdung mit anderen Pflichten oder die Vorenthaltung der erforderlichen räumlichen, personellen oder sachlichen Mittel behindert werden. Der Gesetzgeber hat nur die Wahl, die bisherige Stellung des behördlichen Datenschutzbeauftragten beizubehalten oder die bürokratischen Meldepflichten an den Hessischen Datenschutzbeauftragten abzuschaffen. Beides zugleich ist nach der EG-Richtlinie nicht möglich. Da die Meldungen zum Dateiregister des Hessischen Datenschutzbeauftragten, das er selbst für überflüssig hält, einen erheblichen Verwaltungsaufwand verursachen, der in keinem angemessenen Verhältnis zum Nutzen steht, ist es sinnvoll, sie entfallen zu lassen und statt dessen dem behördlichen Datenschutzbeauftragten eine unabhängige Stellung einzuräumen, wobei die dafür vorgesehenen Maßnahmen je nach Größe der datenverarbeitenden Stellen völlig unterschiedlich ausfallen können.Abs. 142
So kann zum Beispiel bei kleinen Gemeinden eine Freistellung für einige Stunden in der Woche und bei großen Städten eine völlige Freistellung erforderlich sein.Abs. 143
Verantwortlich für die Rechtmäßigkeit der Datenverarbeitung bleibt die Leitung der datenverarbeitenden Stelle, die unmittelbar vom behördlichen Datenschutzbeauftragten beraten und über seine im Verhältnis zu den übrigen Beschäftigten unabhängige Überwachungstätigkeit unterrichtet wird.Abs. 144
Zu Abs. 1:
Der bisherige Abs. 1 ist unverändert als Abs. 2 in § 1 aufgenommen worden.Abs. 145
Zu Abs. 2:
Abs. 2 enthält eine konkrete Beschreibung der Aufgaben des behördlichen Datenschutzbeauftragten, deren Inhalt auf den Vorgaben der EG-Richtlinie und auf den in Hessen gemachten Erfahrungen beruht.Abs. 146
Seine wesentliche Aufgabe besteht darin, die innerhalb der Behörde für die Verarbeitung personenbezogener Daten zuständigen Personen bei der Erfüllung ihrer gesetzlichen Pflichten zu beraten und zu unterstützen.Abs. 147
Nach Nr. 4 hat er das nach § 6 Abs. 1 zu erstellende Verzeichnis zu führen. Dies schreibt Art. 18 Abs. 2 2. Anstrich der EG-Richtlinie für den Fall vor, daß im nationalen Recht die Meldepflichten an die Kontrollbehörde, also den Hessischen Datenschutzbeauftragten, nicht eingeführt oder wie in Hessen durch die Streichung von § 26 (alt) aufgehoben werden. "Führen" bedeutet, dafür Sorge zu tragen, daß innerhalb der Behörde für alle automatisierten Verfahren von den dafür Verantwortlichen Verfahrensverzeichnisse erstellt und durch Nachmeldungen auf dem laufenden gehalten werden. Diese Verzeichnisse hat der behördliche Datenschutzbeauftragte bei sich gesammelt aufzubewahren. Er hat sie auf Unstimmigkeiten zu überprüfen und falls erforderlich, Nachbesserungen zu veranlassen. Außerdem hat er die Verzeichnisse für die in Art. 21 Abs. 2 der EG-Richtlinie vorgeschriebene Einsicht durch die Öffentlichkeit bereitzuhalten und erforderliche Erläuterungen zu geben.Abs. 148
Nr. 5 setzt Art. 20 Abs. 2 der EG-Richtlinie um. Danach hat die Vorabkontrolle entweder zentral durch die Kontrollstelle - also den Hessischen Datenschutzbeauftragten - oder dezentral durch die behördlichen Datenschutzbeauftragten zu erfolgen. Aus Gründen der Praktikabilität ist bei landesweiten Vorabprüfungen nur die zweite Alternative sinnvoll. Bei dieser Lösung muß der behördliche Datenschutzbeauftragte nach der Richtlinie im Zweifelsfall den Hessischen Datenschutzbeauftragten konsultieren.Abs. 149
Der behördliche Datenschutzbeauftragte kann die zur Erfüllung seiner Aufgaben notwendige Einsicht in Akten und die automatisierte Datenverarbeitung nur nehmen, soweit keine gesetzliche Regelung entgegensteht. Bereichsspezifische Regelungen wie zum Beispiel diejenigen über die Einsicht in Personalakten gehen also dem allgemeinen Datenschutzgesetz vor.Abs. 150
Zu Abs. 3:
Die Möglichkeit, einen Beschäftigten der Aufsichtsbehörde mit deren Zustimmung zum behördlichen Datenschutzbeauftragten zu ernennen, hatten nach § 5 Abs. 4 HDSG (alt) bisher nur datenverarbeitende Stellen, bei denen in der Regel nicht mehr als zehn Bedienstete beschäftigt sind. Diese Beschränkung hat sich als willkürlich und nicht sachgerecht erwiesen. Entscheidend ist allein, daß eine Person zur Verfügung steht, die geeignet ist, die Anforderungen des Gesetzes zu erfüllen. Dies hängt nicht zwingend von der Größe der Behörde ab. Findet sich eine solche Person nicht, ist es nicht nur sinnvoll, daß ein Beschäftigter der Aufsichtsbehörde mit der Aufgabe betraut werden kann, sondern auch, daß mehrere datenverarbeitende Stellen gemeinsam einen ihrer Beschäftigten zum Beauftragten bestellen können. Die Bestellung eines externen Datenschutzbeauftragten ist dem Hessischen Datenschutzbeauftragten zu melden, damit dieser überprüfen kann, ob der Beauftragte zum Beispiel ungeeignet oder überlastet ist, um eine solche Bestellung durch entsprechende Beanstandungen zu verhindern.Abs. 151

Zu § 6

Zu Abs. l:
Der enge, an eine bestimmte Form der automatisierten Datenverarbeitung gebundene Begriff der "Datei" und ihrer Beschreibung wird durch den allgemeineren Begriff des in einem Verzeichnis festgelegten "Verfahrens" ersetzt, weil die Öffnung des Gesetzes für die nicht vorhersehbare technische Entwicklung dies erfordert, wie sich aus der Begründung zu § 2 Abs. 8 ergibt.Abs. 152
Das Verzeichnis ist innerhalb der datenverarbeitenden Stelle von den für den Einsatz des Verfahrens zuständigen Personen zu erstellen. Geführt wird es nach § 5 Abs. 2 Nr. 4 vom behördlichen Datenschutzbeauftragten.Abs. 153
Das Verzeichnis ist nur für Verfahren zur automatisierten Datenverarbeitung zu führen. Damit entfällt die bisherige Notwendigkeit, eine Dateibeschreibung auch für herkömmliche nicht automatisierte Karteien zu erstellen, weil der damit verbundene erhebliche Verwaltungsaufwand keinerlei Nutzen für den Schutz des Persönlichkeitsrechts hatte.Abs. 154
Die Festlegungen im Verfahrensverzeichnis werden inhaltlich vom Zweck der automatisierten Datenverarbeitung bestimmt. Dient das automatisierte Verfahren zum Beispiel allein der Erledigung der Schreibarbeiten einer öffentlichen Stelle, dann ist für diesen allgemeinen Zweck ein Verzeichnis zu erstellen, das als Rechtsgrundlage der Verarbeitung § 11 HDSG anführt.Abs. 155
Handelt es sich dagegen um ein spezielles Verfahren zur automatisierten Erarbeitung von Bescheiden zum Beispiel im Baugenehmigungsverfahren, dann ist als Rechtsgrundlage die Vorschrift des bereichsspezifischen Gesetzes anzugeben, die es erlaubt, zur Erstellung des Bescheides personenbezogene Daten zu verwenden.Abs. 156
Zu Nr. 5:
Eine wirksame Zugriffskontrolle nach § 10 Abs. 2 Nr. 3 setzt die vorherige Festlegung der Zugriffsberechtigung voraus.Abs. 157
Zu Nr. 7:
Der neue Wortlaut knüpft an die Formulierung von § 2 Abs. 6 an. Er faßt die bisherigen Formulierungen zusammen und vereinfacht sie.Abs. 158
Zu Nr. 8:
Die Änderung setzt Erfahrungen um, die mit der bisherigen Regelung gemacht wurden.Abs. 159
Es geht nicht darum, bestimmte auf den Einzelfall abgestellte Fristen festzulegen, sondern Fristen, die abstrakt für den Regelfall gelten. Außerdem muß die Möglichkeit geschaffen werden, Fristen festzulegen, die nicht automatisch zur Sperrung oder Löschung führen, sondern die Anlaß geben, zu überprüfen, ob eine Löschung bzw. Sperrung oder eine weitere Speicherung erforderlich und damit rechtlich zulässig ist.Abs. 160
Zu Nr. 9:
Nr. 6 setzt Art. 19 Abs. 1 Buchst. e der EG-Richtlinie um.Abs. 161
Zu Nr. 10:
Diese Festlegung dient der Absicherung der in § 7 Abs. 6 neu eingeführten Technikfolgenabschätzung.Abs. 162
Zu Abs. 2:
Nach § 21 Abs. 2 der EG-Richtlinie steht der Öffentlichkeit Einsicht in die nach Art. 19 Abs. 1 Buchst. a bis e festzulegenden Angaben zu. Diese Angaben sind in dem nach Abs. 1 zu erstellenden Verfahrensverzeichnis enthalten. Es wird nach § 5 Abs. 2 Nr. 4 vom behördlichen Datenschutzbeauftragten für die Einsicht durch die Öffentlichkeit bereitgehalten, weil er am besten geeignet ist, den interessierten Bürgern die notwendigen Erläuterungen zu geben. Durch die dezentrale Führung der Verfahrensverzeichnisse vor Ort durch die behördlichen Datenschutzbeauftragten ist es auf Grund der EG-Richtlinie zulässig, das zentrale Register des Hessischen Datenschutzbeauftragten mit seinen bürokratisch aufwendigen Meldepflichten zu streichen. Auch dieses Register war gem. § 26 (alt) öffentlich einsehbar, so daß Abs. 2 insoweit keine Änderung enthält. Dies gilt auch für die Ausklammerung des Sicherheitsbereichs, für den die EG-Richtlinie nicht gilt.Abs. 163
Zur Streichung von Abs. 2 (alt):
Abs. 2 (alt), nach dem die Notwendigkeit einer Dateibeschreibung für nicht automatisierte Karteien entfiel, wenn aus ihnen keine Daten an Dritte übermittelt wurden, ist nicht mehr erforderlich, weil für diese Karteien die Dateibeschreibung künftig ganz entfällt, wie aus der Begründung zu Abs. 1 ersichtlich ist.Abs. 164
Zur Streichung von Abs. 3 (alt):
Abs. 3 konnte entfallen, weil bereits in § 73 LHO und den dazu ergangenen Vorläufigen Verwaltungsvorschriften (Anl. 2 B 10 zu Nr. 1.2) ein ausführliches Geräteverzeichnis vorgeschrieben ist.Abs. 165

Zu § 7

Zu Abs. 1:
Abs. 1 Nr. 1 und 2 enthalten keine Rechtsänderung, sondern eine für die Praxis hilfreiche Umstellung der Erlaubnistatbestände. Dem Anwender soll dadurch deutlich gemacht werden, daß er zuerst feststellen muß, ob die Zulässigkeit der Datenverarbeitung in einem bereichsspezifischen Gesetz geregelt ist. Erst wenn das nicht der Fall ist, darf auf die Zulässigkeitsregelungen des allgemeinen Datenschutzgesetzes zurückgegriffen werden, die deshalb anders als bisher nicht in Nr. 1, sondern in Nr. 2 genannt werden.Abs. 166
Die Ergänzung in Nr. 3 entspricht Art. 7 a) der EG-Richtlinie.Abs. 167
Zu Abs. 2:
Die Einwilligung in die Verarbeitung der in Abs. 4 genannten Datenarten ist nach Art. 8 Abs. 2 Buchst. a) der EG-Richtlinie ausdrücklich zu erteilen.Abs. 168
Zu Abs. 3:
Abs. 3 setzt die in Art. 15 der EG-Richtlinie enthaltenen Regelungen zum Verbot automatisierter Einzelentscheidungen um. Sie beruhen auf dem Grundgedanken, daß Entscheidungen, die auf einer Bewertung des Betroffenen beruhen, und damit sein Persönlichkeitsrecht im Kern berühren, nicht allein einer technischen Vorrichtung überlassen werden dürfen, sondern letztlich immer von einem Menschen verantwortet werden müssen.Abs. 169
Eine Ausnahme ist nach Art. 15 Abs. 2 b der EG-Richtlinie nur durch ein spezielles Gesetz zulässig, das die Wahrung des berechtigten Interesses des Betroffenen sicherstellt.Abs. 170
Zu Abs. 4:
Art. 8 Abs. 1 der EG-Richtlinie untersagt die Verarbeitung "besonderer Kategorien personenbezogener Daten". Die Aufzählung dieser sogenannten sensitiven Daten ist wörtlich aus der Richtlinie in Abs. 4 übernommen worden.Abs. 171
Nach § 8 Abs. 4 der Richtlinie können die Mitgliedstaaten aber vorbehaltlich angemessener Garantien aus Gründen eines wichtigen öffentlichen Interesses Ausnahmen von diesem Verbot durch nationale Rechtsvorschriften zulassen.Abs. 172
Diese Ausnahmen sind grundsätzlich den bereichsspezifischen Gesetzen vorbehalten. Diese bereichsspezifischen Gesetze müssen die Verarbeitung der sensitiven Daten nicht ausdrücklich vorsehen, es genügt, wenn sie deren Verarbeitung zwingend voraussetzen. Dies gilt auch für das HSOG und das Verfassungsschutzgesetz. Ob diese Gesetze die in Art. 8 Abs. 4 der EG-Richtlinie geforderten "angemessenen Garantien" bieten, kann dahingestellt bleiben, da die Richtlinie nicht für den Sicherheitsbereich gilt.Abs. 173
Auch das allgemeine Datenschutzgesetz enthält in seinem Dritten und Vierten Teil bereichsspezifische Vorschriften. Durch ihre enge, im Gesetz präzise und abschließend festgelegte Zweckbindung samt deren Absicherung geben diese Vorschriften die von der Richtlinie geforderten angemessenen Garantien zum Schutz des Persönlichkeitsrechts.Abs. 174
Das wichtige öffentliche Interesse ist bei der Verarbeitung sensitiver Daten für wissenschaftliche Zwecke, Dienst- und Arbeitsverhältnisse, Religionsgesellschaften, journalistische Zwecke sowie die Auskunftsrechte des Landtags und der kommunalen Vertretungsorgane gegeben.Abs. 175
Schließlich ist eine Ausnahme vom Verbot der Verarbeitung sensitiver Daten geboten, wenn sie ausschließlich dem Interesse des Betroffenen dient.Abs. 176
In diesem Fall sind zum Schutz des Persönlichkeitsrechts keine inhaltlichen, sondern nur verfahrensmäßige Garantien erforderlich, damit das Vorliegen des Ausnahmetatbestandes nicht zu Unrecht angenommen wird. Um dieser Gefahr zu begegnen, ist der Hessische Datenschutzbeauftragte vor der Verarbeitung zu hören. Das öffentliche Interesse ergibt sich aus der Erfahrung, daß die notwendige Akzeptanz des Datenschutzes erheblich leidet, wenn er dazu dient, eine Datenverarbeitung zu verhindern, die den Betroffenen ausschließlich von Nutzen ist. Sie hätten kein Verständnis dafür, wenn in diesem Fall jedesmal ihre ausdrückliche Einwilligung eingeholt werden müßte, weil nach Art. 8 Abs. 2 Buchst. a) der EG-Richtlinie eine vermutete oder konkludente Einwilligung nicht ausreicht.Abs. 177
Zu Abs. 5:
Art. 14 Buchst. a) der EG-Richtlinie schreibt vor, daß der Betroffene ein Widerspruchsrecht gegen die Verarbeitung seiner Daten erhalten muß, wenn ihr überwiegende schutzwürdige Gründe aus seiner besonderen Situation entgegenstehen. Aus den Erwägungsgründen der Richtlinie ergibt sich eindeutig, daß dieses Recht jede betroffene Person besitzen soll, "auch wenn die Daten Gegenstand einer rechtmäßigen Verarbeitung auf Grund eines öffentlichen Interesses oder der Ausübung hoheitlicher Gewalt" sind. Es geht also nicht darum, auf Wunsch des Betroffenen die Rechtmäßigkeitsvoraussetzungen nochmals zu überprüfen, sondern unabhängig davon, zusätzliche Überlegungen auf Grund der besonderen persönlichen Lage des Betroffenen anzustellen.Abs. 178
Ein derartiges Widerspruchsrecht aus persönlichen Gründen gegen ein rechtmäßiges Verwaltungshandeln ist dem deutschen Verwaltungsverfahrensrecht fremd. Um eine Verwechslung mit dem in der Verwaltungsgerichtsordnung geregelten Widerspruch zu vermeiden, wurde dieser besetzte Begriff bewußt nicht in Abs. 5 verwendet. Parallelen bestehen zur Abhilfeentscheidung im Widerspruchsverfahren, die auch bei rechtmäßigen Verwaltungsakten vorgeschrieben ist, wenn allein die Zweckmäßigkeit in Frage gestellt wird. Der Unterschied der Regelung in Abs. 5 zur Abhilfeentscheidung besteht darin, daß nicht die Zweckmäßigkeit der Entscheidung, sondern die Berücksichtigung einer besonderen persönlichen Lage des Betroffenen geprüft wird und daß ein Beharren auf der Entscheidung keinen Devolutiveffekt auslöst.Abs. 179
Die Anwendungsfälle der Vorschrift dürften voraussichtlich gering bleiben. Denkbar ist zum Beispiel, daß ein Betroffener verlangt, daß ein Vorgang, der seine höchstpersönlichen Daten zum Gegenstand hat, nicht vom zuständigen Bediensteten bearbeitet wird, weil er zu seinem Bekanntenkreis gehört, ohne den im Verwaltungsverfahrensgesetz geregelten Tatbestand der Befangenheit zu erfüllen. Wenn die Behörde auf Grund der gebotenen Abwägung zu dem Ergebnis kommt, daß die vom Betroffenen vorgetragenen besonderen persönlichen Gründe das öffentliche Interesse an der Verarbeitung der Daten überwiegen, dann muß diese unterbleiben oder so gestaltet werden, wie es dem Anliegen des Betroffenen entspricht. Das begründete Ergebnis der Abwägung ist dem Betroffenen mitzuteilen. Erst gegen diese Entscheidung kann er dann Widerspruch nach den Regeln des Verwaltungsverfahrensrechts einlegen.Abs. 180
Das in Abs. 5 gewährte Recht gilt nur für eine Datenverarbeitung, die ihre Rechtsgrundlage im allgemeinen Datenschutzgesetz hat. Art. 14 a) der EG-Richtlinie läßt ohne Bedingungen einen Verzicht auf den Widerspruch gegen eine rechtmäßige Datenverarbeitung zu, wenn eine im einzelstaatlichen Recht vorgesehene Bestimmung entgegensteht. Alle bereichsspezifischen Rechtsvorschriften, die dieses Widerspruchsrecht nicht ausdrücklich gewähren, stehen ihm entgegen. Diese Einschränkung ist nicht willkürlich, da alle bereichsspezifischen Gesetze das öffentliche Interesse an der Verarbeitung personenbezogener Daten erheblich genauer gegenüber dem pesönlichen Interesse des Betroffenen abwägen, als das allgemeine Datenschutzgesetzes vermag.Abs. 181
Zu Abs. 6:
Art. 20 der EG-Richtlinie schreibt eine Vorabkontrolle der Datenverarbeitung vor. Danach haben die Mitgliedstaaten festzulegen, "welche Verarbeitungen spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können, und tragen dafür Sorge, daß diese Verarbeitungen vor ihrem Beginn geprüft werden".Abs. 182
Praktikabel ist die Vorschrift nur, wenn die Vorabkontrolle nicht nur beim Einsatz bestimmter vorher festgelegter, sondern bei allen Verfahren zur automatisierten Datenverarbeitung durchgeführt wird, weil sich erst bei dieser Prüfung herausstellt, ob die Verarbeitung Risiken für das nach § 1 Abs. 1 geschützte Recht mit sich bringt. Bei den in Abs. 4 genannten sensitiven Daten unterliegt die Prüfung besonders hohen Anforderungen.Abs. 183
Die Risiken eines Verfahrens zur automatisierten Datenverarbeitung hat innerhalb der datenverarbeitenden Stelle derjenige zu untersuchen, der für dessen Einsatz zuständig ist. Das Ergebnis der Untersuchung ist vom behördlichen Datenschutzbeauftragten zu prüfen, wie Art. 20 Abs. 2 der EG-Richtlinie vorschreibt.Abs. 184

Zu § 8

Zu Abs. 1:
Die in Abs. 1 aufgezählten Rechte des Betroffenen werden durch die in § 7 Abs. 5 und § 6 Abs. 2 neu geschaffenen Ansprüche ergänzt.Abs. 185
Zu Abs. 2:
Abs. 2 schafft erstmals eine Regelung für Chipkarten und andere datenverarbeitungstechnische Entwicklungen dieser Art. Als Zweck der Kartenausgabe nennt das Gesetz Beispiele, um den Gegenstand der Vorschrift leichter verständlich zu machen. Die Begriffsbestimmung muß so umfassend sein, daß alle künftigen Neuerungen auf diesem Gebiet erfaßt werden. Ihnen ist gemeinsam, daß dem Betroffenen ein Datenträger beliebiger Beschaffenheit zur Verfügung gestellt wird, auf dem seine Daten verarbeitet werden. Das heißt, sie werden entweder auf ihm unveränderbar gespeichert oder mit Hilfe eines auf ihm angebrachten Rechners veränderbar gespeichert oder sonst verarbeitet. Neue gesetzliche Regelungen sind für diese technische Gestaltung nur erforderlich, soweit das bisherige Gesetz trotz seines umfassenden Verarbeitungsbegriffs keine Regelungen enthält.Abs. 186
Dies gilt in erster Linie für die Frage, wer die verantwortliche datenverarbeitende Stelle ist. Beteiligt ist immer die datenverarbeitende Stelle, die einen Datenträger wie die Chipkarte mit Daten versieht sowie deren Empfänger. Auch dieser ist datenverarbeitende Stelle, weil er die Karte jederzeit vernichten und seine Daten damit löschen also eigenverantwortlich verarbeiten kann. Für ihn ist es aber nicht wichtig, daß der Gesetzgeber regelt, welcher der Beteiligten als datenverarbeitende Stelle im Sinn von § 2 Abs. 3 anzusehen ist, sondern wer dafür Sorge zu tragen hat, daß er seine in Abs. 1 aufgezählten Rechte wahrnehmen kann.Abs. 187
Deshalb muß nach dem Gesetz die herausgebende Stelle dafür sorgen, daß der Karteninhaber seine Rechte geltend machen kann, indem sie entweder selbst die Pflichten erfüllt oder sicherstellt, daß andere Stellen dies übernehmen. Verantwortlich ist nicht die Stelle, die den Datenträger herstellt, sondern die Stelle, die ihn für einen bestimmten Zweck herausgibt.Abs. 188
Damit der Betroffene seine Rechte geltend machen kann, muß er über diese und darüber unterrichtet werden, welche Daten auf der Karte gespeichert oder in sonstiger Weise verarbeitet werden. Die Unterrichtung hat spätestens bei Ausgabe der Karte zu erfolgen. Außerdem muß die kartenausgebende Stelle technische Einrichtungen zur Verfügung stellen, damit der Betroffene später ohne unvertretbaren Aufwand feststellen kann, welche Daten jeweils über ihn gespeichert sind. Hat die Karte mehrere Inhaber, deren Daten auf ihr gespeichert sind, dann müssen technische Vorkehrungen getroffen werden, damit jeder Inhaber nur seine Daten zur Kenntnis nehmen kann, wie § 18 Abs. 1 es vorschreibt. Andernfalls kann die Karte nur ausgegeben werden, wenn alle Inhaber in die gegenseitige Kenntnisnahme ihrer Daten gem. § 7 Abs. 2 eingewilligt haben. Die Anwendbarkeit von §§ 18 und 7 Abs. 2 macht deutlich, daß die mit den Chipkarten verbundenen Probleme weitgehend auf Grund der bereits bestehenden gesetzlichen Vorschriften gelöst werden können, so daß die notwendigen Ergänzungen sich auf die neuen Regelungen des Abs. 2 beschränken können. So bedarf es auch keiner zusätzlichen Vorschrift für die Kommunikation zwischen dem Karteninhaber und der Stelle, die seine auf der Karte enthaltenen Daten mit Hilfe einer technischen Vorrichtung für einen bestimmten Zweck zur Kenntnis nimmt und nutzt. Die Kenntnisnahme fällt unter die in § 12 bereits geregelte Datenerhebung. Auch die Veränderung der Daten auf der Karte ist wie alle anderen Arten der Verwendung vom umfassenden Datenverarbeitungsbegriff und den entsprechenden Zulässigkeitsregelungen bereits durch das geltende Gesetz erfaßt.Abs. 189
Auf Grund der nach § 10 zu treffenden Datensicherungsmaßnahmen hat die kartenausgebende Stelle die erforderlichen und angemessenen Vorkehrungen gegen Mißbrauch vor allem bei Verlust der Karte zu treffen. Soweit dennoch ein unvermeidbares Risiko für den Inhaber verbleibt, ist er darüber aufzuklären.Abs. 190

Zu § 10

Zu Abs. 1:
Satz 1 enthält keine Rechtsänderung. Der bisher schon geltende Grundsatz der Verhältnismäßigkeit ist deutlicher hervorgehoben und verständlicher formuliert. Da Abs. 1 nicht nur für die automatisierte, sondern auch für die herkömmliche Datenverarbeitung in Akten gilt, ist Satz 2, der an den Stand der Technik anknüpft, an dieser Stelle gestrichen und als Satz 2 in den allein für die automatisierte Datenverarbeitung geltenden Abs. 2 aufgenommen worden.Abs. 191
Zu Abs. 2:
Da die automatisierte Datenverarbeitung den weit überwiegenden Regelungsgegenstand von § 10 darstellt, wird sie künftig nicht mehr in Abs. 3, sondern bereits in Abs. 2 vor der an das Ende der Vorschrift gerückten nicht automatisierten Datenverarbeitung geregelt.Abs. 192
Satz 1 stellt für die automatisierte Datenverarbeitung die neuartige Anforderung der Datenvermeidung auf. Danach ist grundsätzlich das Verfahren auszuwählen oder zu entwickeln, das zur Erreichung des angestrebten Zwecks so wenig personenbezogene Daten wie möglich benötigt. Auch diese Abwägung steht unter dem in Abs. 1 Satz 2 vor die Klammer gezogenen Grundsatz der Verhältnismäßigkeit.Abs. 193
In Satz 2 sind die von den Anfängen der Automatisierung geprägten "Zehn Gebote der Datensicherung" inhaltlich beibehalten aber vereinfacht und zusammengefaßt worden, soweit sie einem übereinstimmenden Ziel dienen. So konnten die Gebote trotz Einführung der neuen Dokumentationskontrolle auf acht verringert werden, ohne daß eine bisher erforderliche Maßnahme künftig entfällt.Abs. 194
Die Einführung einer Dokumentationskontrolle ist sinnvoll, um die Kontrolltätigkeit des behördlichen Datenschutzbeauftragten zu erleichtern und damit seine Stellung gemäß der EG-Richtlinie zu stärken.Abs. 195
Die Klammerdefinitionen sind treffender als bisher an den Inhalt der jeweiligen Ziffer angepaßt worden.Abs. 196
Zu Abs. 3:
Der bisherige Abs. 2 ist als Abs. 3 unverändert geblieben.Abs. 197

Zu § 11

Zu Abs. 1:
Wegen des engen sachlichen Zusammenhangs mit dem in Satz 1 festgeschriebenen Grundsatz der Erforderlichkeit ist die bisher in § 14 Abs. 1 enthaltene Regelung als Satz 2 angefügt und verständlicher als bisher formuliert worden. Nach Satz 1 darf eine öffentliche Stelle nämlich nur dann personenbezogene Daten verarbeiten, wenn dies zur Erfüllung ihrer eigenen Aufgaben erforderlich ist. Bei einer Übermittlung, die häufig nur zur Aufgabenerfüllung des Empfängers dient, ist dies für die übermittelnden Stellen nicht der Fall. Um die Übermittlung dennoch auch für sie zulässig zu machen, stellt Satz 2 fest, daß es ausreicht, wenn die Erforderlichkeit der Übermittlung nur bei einer der beteiligten Stellen gegeben ist.Abs. 198

Zu § 12

Zu Abs. 1:
Satz 2 gilt für die Videoüberwachung in öffentlichen Gebäuden, auf die durch einen Aushang hingewiesen werden muß. Da nicht sichergestellt werden kann, daß alle Betroffenen diesen Hinweis auch tatsächlich zur Kenntnis nehmen, genügt die den Umständen nach angemessene Möglichkeit zur Kenntnisnahme.Abs. 199
Zu Abs. 3:
Der in Abs. 3 neu aufgenommene Zusatz enthält eine Klarstellung der geltenden Rechtslage. Die Erhebung beim Betroffenen und bei privaten Dritten ohne seine Kenntnis ist nach Abs. 3 nur zulässig, wenn eine Rechtsvorschrift dies ausdrücklich vorsieht. Diese strenge Regelung kann allerdings nur für den Bereich der Landesgesetzgebung gelten. Soweit Bundesgesetze die Erhebung beim Betroffenen oder bei privaten Dritten ohne seine Kenntnis zwingend voraussetzen, ohne sie ausdrücklich vorzusehen, müssen auch sie durch das Land ausgeführt werden, da ihm die Gesetzgebungskompetenz fehlt, diese Gesetze nachzubessern.Abs. 200
Zu Abs. 4:
Wenn Daten beim Betroffenen mit seiner Kenntnis erhoben werden, verlangt Art. 10 der EG-Richtlinie, daß er neben den bereits in § 12 Abs. 4 genannten Informationen weitere erhalten soll und nennt als Beispiel die Unterrichtung über Auskunfts- und Berichtigungsrechte. Da eine Beschränkung auf diese Beispiele willkürlich wäre, schreibt Satz 1 die Aufklärung des Betroffenen über alle ihm zustehenden Rechte sowie die Mitteilung der Anschrift der erhebenden Stelle vor, damit er auch weiß, wo er seine Rechte geltend machen kann.Abs. 201

Zu § 14

Der gestrichene Abs. 1 ist inhaltlich wegen des engen sachlichen Zusammenhangs als Satz 2 in § 11 Abs. 1 angefügt worden.Abs. 202
Die verbleibende Regelung ist durch eine Klarstellung der geltenden Rechtslage ergänzt worden. Die Mitverantwortung des Datenempfängers für die Zulässigkeit der Verarbeitung kann der hessische Gesetzgeber nur einer Stelle auferlegen, die seiner Gesetzgebungskompetenz unterliegt.Abs. 203

Zu § 15

Zu Abs. 1:
Die neue Regelung enthält eine Weiterentwicklung des bisherigen § 15, die es ermöglicht, die technischen Möglichkeiten der Zukunft zum Nutzen einer wirksamen und schnellen Verwaltung und damit zum Vorteil der Allgemeinheit einzusetzen. Die Gemeinsamkeit der beteiligten Stellen beschränkte sich nach dem alten § 15 auf den Abruf der Daten. Für die Beschränkung auf eine bestimmte Art der Datenverarbeitung besteht kein sachlicher Grund, wenn genau festgelegt ist, für welche Bereiche die beteiligten Stellen die rechtliche Verantwortung tragen. Wenn durch technische und organisatorische Maßnahmen sichergestellt ist, daß deren Datenverarbeitung diese Bereiche nicht überschreitet, dann ist es unerheblich, ob die beteiligten Stellen Daten abrufen, speichern, verändern oder sonst gemeinsam nutzen.Abs. 204
Der neue § 15 dehnt zwar das bisher auf den Abruf beschränkte gemeinsame Verfahren auf alle Arten der Datenverarbeitung aus, hält aber an den bestehenden Voraussetzungen fest. Danach ist das Verfahren nur zulässig, wenn sein Einsatz unter Berücksichtigung der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Diese Anforderung wird allerdings nunmehr vom Gesetzgeber selbst festgeschrieben und nicht mehr wie im früheren Abs. 2 dem Verordnungsgeber überlassen. Dies gilt auch für die Beteiligung des Datenschutzbeauftragten, bei der es vor allem auf die durch § 7 Abs. 6 neu eingeführte Vorabkontrolle ankommt.Abs. 205
Die Zulässigkeit des Verfahrens bedeutet noch nicht die Zulässigkeit der einzelnen Verarbeitung. Erst wenn im Einzelfall eine Rechtsgrundlage für die jeweilige Speicherung, Veränderung, Übermittlung oder sonstige Verarbeitung gegeben ist, darf sie mit Hilfe des gemeinsamen Verfahrens durchgeführt werden. Weil dieser Grundsatz in der Praxis häufig übersehen wurde, war in Abs. 1 Satz 2 eine noch deutlichere Klarstellung erforderlich als im bisherigen Abs. 2 Satz 5.Abs. 206
Zu Abs. 2:
Abs. 2 legt fest, daß eine Stelle aus Gründen der Praktikabilität die Federführung für die Organisation des gemeinsamen Verfahrens übernehmen soll. Damit ist keinerlei Übertragung der rechtlichen Verantwortlichkeit verbunden, die bei den beteiligten datenverarbeitenden Stellen verbleibt.Abs. 207
Zu Abs. 3:
Abs. 3 ermöglicht es, auch nicht-öffentliche Stellen oder öffentliche Stellen anderer Länder an gemeinsamen Verfahren zu beteiligen, wenn sie sich vertraglich der Geltung des Gesetzes und der Kontrolle des Hessischen Datenschutzbeauftragten unterwerfen. Zum Beispiel kann eine kommunale Wohnungsvermittlung mit einem gemeinsamen automatisierten Verfahren nur wirksam arbeiten, wenn auch große private Vermieter eingebunden werden dürfen.Abs. 208
Zu Abs. 4:
Abs. 4 erleichtert es den Betroffenen, ihre Rechte geltend zu machen. Sie können sich an jede der beteiligten Stellen wenden, ohne vorher feststellen zu müssen, welche Stellen für welche Aufgaben und Bereiche am gemeinsamen Verfahren verantwortlich beteiligt sind.Abs. 209
Die in Abs. 2 Satz 1 Nr. 2 genannten Datensicherungsmaßnahmen sind schon wegen Ihres Umfangs nicht als Gegenstand einer Auskunft, sondern nur für die Einsichtnahme geeignet.Abs. 210
Zu Abs. 5:
Die strengen Anforderungen des bisher in § 15 geregelten gemeinsamen Abrufverfahrens mußten nur erfüllt sein, wenn die Daten von außerhalb abgerufen wurden. Die ebenso strengen Voraussetzungen des neuen für jede Art der Datenverarbeitung zulässigen gemeinsamen Verfahrens müssen auch erfüllt sein, wenn das Verfahren nur innerhalb der datenverarbeitenden Stelle für verschiedene Zwecke eingesetzt wird. Dies gebietet die Absicherung des in § 13 und in Art. 6 Abs. 1b Satz 1 der EG-Richtlinie vorgeschriebenen Zweckbindungsgebots.Abs. 211
Zur Streichung von Abs. 2 (alt):
Die im bisherigen Abs. 2 dem Verordnungsgeber überlassenen Anforderungen werden im neuen § 15 aus Gründen der rechtsstaatlichen Transparenz vom Gesetzgeber selbst festgelegt.Abs. 212
Außerdem dient der Wegfall einer nicht absehbaren Zahl von Verordnungen in den verschiedensten Bereichen der Verwaltung der Eindämmung einer unerwünschten Vorschriftenflut.Abs. 213

Zu §17

Zu Abs. 1:
Abs. 1 trägt dem Umstand Rechnung, daß nach Umsetzung der EG-Richtlinie in deren Geltungsbereich die Übermittlung personenbezogener Daten nicht von strengeren Voraussetzungen abhängig gemacht werden darf als im Inland, um den gem. Art. 1 Abs. 2 der Richtlinie garantierten freien Datenverkehr nicht zu behindern.Abs. 214
Zu Abs. 2:
Art. 25 der EG-Richtlinie läßt die Datenübermittlung in ein Drittland nur zu, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Ob dies der Fall ist, kann die übermittelnde Stelle nur mit Hilfe des Hessischen Datenschutzbeauftragten beurteilen. Er ist durch seine direkte oder über den Bundesdatenschutzbeauftragten indirekte Einbindung in den Erfahrungsaustausch aller Datenschutzbeauftragten der Gemeinschaft am besten für diese Hilfestellung geeignet.Abs. 215
Auch wenn im Drittland kein angemessenes Datenschutzniveau besteht, läßt Art. 26 der Richtlinie Ausnahmen vom Übermittlungsverbot zu, die, soweit sie den öffentlichen Bereich betreffen, in Abs. 2 übernommen wurden.Abs. 216

Zu § 18

Zu Abs. 1 und 2:
Die Erfahrung mit den bisherigen gesetzlichen Regelungen hat gezeigt, daß der mit der Benachrichtigungspflicht verbundene erhebliche Verwaltungsaufwand in keinem angemessenen Verhältnis zum Schutz der Rechte der Betroffenen steht. Eine völlige Streichung der Benachrichtigung war jedoch nicht möglich, da Art. 11 der EG-Richtlinie sie weiterhin vorschreibt. Die in Art. 11 Abs. 2 zugelassenen Ausnahmen sind aber in Abs. 2 vollständig übernommen worden, so daß eine Benachrichtigung nicht mehr die Regel, sondern die Ausnahme darstellt, was zu einer ganz erheblichen Entlastung der Verwaltung führen wird. Eine Benachrichtigung ist danach vor allem nur noch dann erforderlich, wenn kein bereichsspezifisches Gesetz besteht, die Daten also allein auf Grund des allgemeinen Datenschutzgesetzes verarbeitet und nicht beim Betroffenen erhoben werden, er keine Kenntnis von der Verarbeitung hat und die Benachrichtigung keinen unverhältnismäßigen Aufwand erfordert oder nicht unmöglich ist.Abs. 217
Nach Abs. 2 Nr. 2 kann die Benachrichtigung entfallen, wenn die Verarbeitung personenbezogener Daten durch Gesetz ausdrücklich vorgesehen ist. Dies verlangt Art. 11 Abs. 2 der EG-Richtlinie. Ein Gesetz, in dem die Verarbeitung personenbezogener Daten nur zwingend vorausgesetzt wird, reicht damit nicht aus.Abs. 218
Besondere Bedeutung für die Verwaltungsvereinfachung kommt der Regelung in Abs. 2 Nr. 4 zu, nach der keine Benachrichtung erfolgen muß, wenn sie einen unverhältnismäßigen Aufwand erfordert. Darunter fallen vor allem die kurzfristigen Speicherungen personenbezogener Daten zum Beispiel zur Erstellung eines Textes.Abs. 219
Der in Abs. 1 Satz 2 geregelte Zeitpunkt der Benachrichtigung ergibt sich zwingend aus Art. 11 Abs. 1 Satz 1 der EG-Richtlinie.Abs. 220
Zu Abs. 3:
Die Änderung des Wortlauts zu Beginn des Satzes 1 stellt keine Rechtsänderung dar, sondern ist eine Folge der Abschaffung des Dateibegriffs.Abs. 221
Die Erweiterung der Auskunft auf die Empfänger bei sämtlichen und nicht nur bei regelmäßigen Übermittlungen entspricht Art. 12 a) der EG-Richtlinie.Abs. 222

Zu § 19

Zu Abs. 2:
Bisher konnte der Betroffene nach Abs. 2 Nr. 3 anstelle der Löschung die Sperrung unzulässig gespeicherter Daten verlangen, um seine Rechte zum Beispiel auf Schadensersatz geltend machen zu können. Dies setzte aber voraus, daß er von der Unzulässigkeit der Speicherung Kenntnis hatte. Die neue Regelung soll im Interesse des Betroffenen verhindern, daß die datenverarbeitende Stelle unzulässig gespeicherte Daten ohne Kenntnis des Betroffenen löscht, so daß sie ihm später nicht mehr als Beweis für seine Rechtsverfolgung dienen können. In Satz 2 ist das Wort Verfahren anstelle des entfallenen Dateibegriffs gewählt worden.Abs. 223

Zu § 21

Zu Abs. 4:
Die als Satz 5 und 6 angefügte Regelung schließt eine Lücke des bisherigen Gesetzes.Abs. 224
Zu Abs. 5:
Abs. 5 entspricht dem Anliegen des Hessischen DatenschutzbeauftragtenAbs. 225

Zu § 22

Die Bezeichnung des Hessischen Datenschutzbeauftragten als oberste Landesbehörde dient der Klarstellung.Abs. 226
§ 39 wurde aus der Aufzählung gestrichen, da die dort genannte Verpflichtung des Datenschutzbeauftragten nunmehr in § 25 Abs. 2 enthalten ist.Abs. 227

Zu § 24

Zu Abs. 3:
Die nicht dynamische Verweisung auf das Bundesdatenschutzgesetz wird gestrichen, weil sie überflüssig ist.Abs. 228
Zu Abs. 4:
Die Verweisung auf bestimmte, inzwischen geänderte Vorschriften des Bundesdatenschutzgesetzes wird durch eine dynamische Verweisung ersetzt.Abs. 229

Zu § 25

Zu Abs. 2:
Der bisherige § 39 ist wegen des sachlichen Zusammenhangs als Abs. 2 angefügt worden.Abs. 230

Zu § 26

Zur Streichung von § 26 (alt):
Die Meldungen zum Dateiregister und dessen Führung haben in der Vergangenheit einen erheblichen Verwaltungsaufwand verursacht, der in keinem angemessenen Verhältnis zum Schutz der Rechte der Betroffenen stand. Nach Art. 18 Abs. 2 der EG-Richtlinie war die Streichung der Meldepflicht aber nur möglich durch die in § 5 erfolgte Stärkung der Stellung des behördlichen Datenschutzbeauftragten.Abs. 231
Zu § 26 (neu):
Verschiedene Vorschriften des Gesetzes sehen eine Anhörung des Hessischen Datenschutzbeauftragten vor. Damit die datenverarbeitenden Stellen ihr weiteres Vorgehen planen können, ist es erforderlich, daß sie vom Datenschutzbeauftragten erfahren, ob und wann sie seine Stellungnahme erhalten. Diese Mitteilung muß unverzüglich erfolgen, das heißt nach einer Zeitspanne, die unbedingt zur Beurteilung der Frage erforderlich ist, ob eine Stellungnahme überhaupt angemessen ist und wieviel Zeit auf Grund des Schwierigkeitsgrades dafür benötigt wird.Abs. 232

Zu § 27

Zu Abs. 2:
Die Änderung beruht auf dem Wunsch des Datenschutzbeauftragten, nicht nur auf eine Beanstandung verzichten zu können, wenn es sich um unerhebliche Mängel handelt, sondern auch, wenn die Mängel inzwischen beseitigt sind.Abs. 233

Zu § 31

Zu Abs. 2:
Satz 3 enthält eine Klarstellung der bisherigen Rechtslage, die der unterschiedlichen Stellung von Beamten und sonstigen Bediensteten Rechnung trägt.Abs. 234

Zu § 33

Der Zusatz "unabhängig" ist bei der wissenschaftlichen Forschung gestrichen worden, weil er zu unbestimmt und nur schwer mit Art. 5 Abs. 3 GG vereinbar ist.Abs. 235
Der allgemeine Begriff "datenverarbeitende Stelle", der auch nicht-öffentliche Stellen umfaßt, ist durch den präzisen Verweis auf § 3 Abs. 1 ersetzt worden.Abs. 236
Der enge Begriff der "Übermittlung" ist durch den umfassenden Begriff der "Verarbeitung" ersetzt worden, da sich in der Praxis herausgestellt hat, daß er die Forschung unangemessen behindert hat, weil er zum Beispiel die Datenerhebung oder die Veröffentlichung nicht ermöglicht hat.Abs. 237
Bisher war eine Verarbeitung zu Forschungszwecken im überwiegenden öffentlichen Interesse ohne Einwilligung des Betroffenen nur dann zulässig, wenn der Zweck der Forschung auf andere Weise nicht erreicht werden konnte. Die Praxis hat gezeigt, daß diese Ausnahme im Interesse der Forschung auch dann gewährt werden sollte, wenn die Forschung ohne personenbezogene Daten einen unverhältnismäßigen Aufwand verursachen würde.Abs. 238
Nur in den durch Satz 2 geregelten Fällen ist eine Genehmigung durch die oberste Landesbehörde zum Schutz des Betroffenen angemessen. Dagegen konnte der Genehmigungsvorbehalt für die in Satz 1 geregelten Fälle gestrichen werden, da schutzwürdige Belange des Betroffenen nicht beeinträchtigt werden.Abs. 239
Zu Abs. 2:
Der Zeitpunkt für die Löschung der Daten ist in Übereinstimmung mit dem in § 11 geregelten Grundsatz der Erforderlichkeit vorverlegt worden. Die Daten sind danach zu löschen, sobald es der Forschungszweck zuläßt und nicht erst, wenn er erreicht ist.Abs. 240
Zur Streichung von Abs. 5 (alt):
Der bisherige Abs. 5 konnte gestrichen werden, weil er durch die Aufnahme des umfassenden Verarbeitungsbegriffs in Abs. 1 Satz 1 überflüssig geworden ist.Abs. 241

Zu § 34

Zu Abs. l:
Nach der bisherigen Regelung war Normadressat die öffentliche Stelle. Dies war irreführend, da das Dienst- oder Arbeitsverhältnis nicht zwischen dem Beschäftigten und der öffentlichen Stelle, sondern zwischen ihm und dem Dienstherrn oder Arbeitgeber besteht. Diese Gegebenheit wird durch die Änderung von Satz 1 zum Ausdruck gebracht.Abs. 242
In die Aufzählung der Verarbeitungszwecke wurde die Planung aufgenommen. Dadurch konnte Abs. 8 gestrichen werden.Abs. 243
Zu Abs. 5:
Die Änderung von Abs. 5 dient der Vereinfachung des bisherigen Verfahrens, nach dem die Dateibeschreibungen in jedem Fall dem Datenschutzbeauftragten zur Stellungnahme vorgelegt werden mußten. Künftig kann die Personalvertretung entscheiden, ob sie den Rat des Datenschutzbeauftragten einholen will. Bei Verfahren, deren Auswirkungen sie selbst zu beurteilen vermag, kann sie auch davon absehen.Abs. 244
Der bisher in Satz 3 vorgesehene Genehmigungsvorbehalt durch die oberste Landesbehörde ist im Sinne der Verwaltungsvereinfachung gestrichen worden, da er den Schutz des Betroffenen nicht nachweisbar erhöht hat.Abs. 245
Zur Streichung von Abs. 6 (alt):
Abs. 6 konnte gestrichen werden, da seinem Anliegen durch den auf Grund der EG-Richtlinie eingeführten § 7 Abs. 3 wirksamer entsprochen wird.Abs. 246
Zur Streichung von Abs. 8:
Satz 1 konnte gestrichen werden, da die Planung in die von Abs. 1 aufgezählten Verarbeitungszwecke aufgenommen wurde. Das Gebot einer personellen und organisatorischen Trennung zwischen der Verarbeitung zu Planungs- und Verwaltungszwecken hat sich als unpraktikabel und für den Schutz der Betroffenen überflüssig erwiesen.Abs. 247
Wiesbaden, den 23. April 1998
Der Hessische Ministerpräsident
Eichel
Der Hessische Minister des Innern und für Landwirtschaft, Forsten und Naturschutz
Bökel
JurPC Web-Dok.
125/1998, Abs. 248

Fußnote:

* Dieses Gesetz dient der Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Abl. EG Nr. L 281 vom 23. November 1995, S. 31).
[online seit: 28.08.98]
Zitiervorschlag: Titel, JurPC Web-Dok., Abs.
Zitiervorschlag: Schild, Hans-Hermann, Gesetzentwurf der Hessischen Landesregierung zur Änderung des Hessischen Datenschutzgesetzes - JurPC-Web-Dok. 0125/1998


Klassiker