Der Hamburgische Datenschutzbeauftragte

 

Hamburgisches Datenschutzgesetz
(HmbDSG)

Vom 5. Juli 19901)

(mit den Änderungen vom 18.März 1997)

Der Senat verkündet das nachstehende von der Bürgerschaft beschlossene Gesetz:

 

Inhaltsübersicht

ERSTER ABSCHNITT

Allgemeine Vorschriften

§  1 Aufgabe des Datenschutzes

[Erläuterungen zu § 1]

§  2 Anwendungsbereich

[Erläuterungen zu § 2]

§  3 Datenverarbeitung im Auftrag

[Erläuterungen zu § 3]

§  4 Begriffsbestimmungen

[Erläuterungen zu § 4]

§  5 Zulässigkeit der Datenverarbeitung

[Erläuterungen zu § 5]

§  6 Rechte der Betroffenen

[Erläuterungen zu § 6]

§  7 Datengeheimnis

[Erläuterungen zu § 7]

§  8 Maßnahmen zur Datensicherung

[Erläuterungen zu § 8]

§  9 Dateibeschreibung; Geräteverzeichnis

[Erläuterungen zu § 9]

§ 10 Durchführung des Datenschutzes

[Erläuterungen zu § 10]

§ 11 Automatisiertes Abrufverfahren

[Erläuterungen zu § 11]

§ 11a Gemeinsame und verbundene automatisierte Dateien

[Erläuterungen zu § 11a]

 

ZWEITER ABSCHNITT

Rechtsgrundlagen der Datenverarbeitung

 

§ 12 Datenerhebung

[Erläuterungen zu § 12]

§ 13 Zulässigkeit der weiteren Datenverarbeitung; Zweckbindung

[Erläuterungen zu § 13]

§ 14 Übermittlung innerhalb des öffentlichen Bereichs

[Erläuterungen zu § 14]

§ 15 Übermittlung an öffentlich-rechtliche Religionsgesellschaften

[Erläuterungen zu § 15]

§ 16 Übermittlung an Stellen außerhalb des öffentlichen Bereichs

[Erläuterungen zu § 16]

§ 17 Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

[Erläuterungen zu § 17]

DRITTER ABSCHNITT

Rechte der Betroffenen

 

§ 18 Auskunft

[Erläuterungen zu § 18]

§ 19 Berichtigung, Sperrung und Löschung

[Erläuterungen zu § 19]

§ 20 Schadensersatz

[Erläuterungen zu § 20]

 

VIERTER ABSCHNITT

Die bzw. der Hamburgische Datenschutzbeauftragte

 

§ 21 Berufung

[Erläuterungen zu § 21]

§ 22 Rechtsstellung

[Erläuterungen zu § 22]

§ 23 Aufgaben

[Erläuterungen zu § 23]

§ 24 (aufgehoben)

 

§ 25 Beanstandungen

[Erläuterungen zu § 25]

§ 26 Anrufung

[Erläuterungen zu § 26]

 

FÜNFTER ABSCHNITT

Besondere Vorschriften über den Datenschutz

 

§ 27 Datenverarbeitung zum Zwecke wissenschaftlicher Forschung

[Erläuterungen zu § 27]

§ 28 Datenverarbeitung bei Beschäftigungsverhältnissen

[Erläuterungen zu § 28]

§ 29 Fernmessen und Fernwirken

[Erläuterungen zu § 29]

§ 30 Datenverarbeitung für Planungszwecke

[Erläuterungen zu § 30]

§ 31 (aufgehoben)

 

 

SECHSTER ABSCHNITT

Straf- und Bußgeldvorschriften;
Übergangsbestimmungen; Inkrafttreten

 

§ 32 Straftaten

[Erläuterungen zu § 32]

§ 33 Ordnungswidrigkeiten

[Erläuterungen zu § 33]

§ 34 (aufgehoben)  
§ 35 Inkrafttreten  

 

 

 ERSTER ABSCHNITT

Allgemeine Vorschriften

§ 1

Aufgabe des Datenschutzes

Dieses Gesetz regelt die Verarbeitung personenbezogener Daten durch öffentliche Stellen, um das Recht einer jeden Person zu schützen, selbst über die Preisgabe und Verwendung ihrer Daten zu bestimmen, soweit keine Einschränkungen in diesem Gesetz oder in anderen Rechtsvorschriften zugelassen sind.

§ 2

Anwendungsbereich

(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch folgende öffentliche Stellen:

  1. die Bürgerschaft, die Behörden, die Organe der Rechtspflege, den Rechnungshof und die sonstigen öffentlich-rechtlich organisierten Einrichtungen der Freien und Hansestadt Hamburg,
  2. die der Aufsicht der Freien und Hansestadt Hamburg unterstehenden juristischen Personen des öffentlichen Rechts und deren öffentlich-rechtlich organisierte Einrichtungen,
  3. Stellen, soweit sie als Beliehene hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen.

Für juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, an denen die Freie und Hansestadt Hamburg oder eine ihrer Aufsicht unterstehende juristische Person des öffentlichen Rechts beteiligt ist, gelten nur die auf nicht-öffentliche Stellen anzuwendenden Vorschriften des Bundesdatenschutzgesetzes in der jeweils geltenden Fassung, wenn sie keine öffentlichen Stellen des Bundes gemäß § 2 Absatz 3 des Bundesdatenschutzgesetzes sind.

(2) Soweit die in Absatz 1 Satz 1 genannten Stellen als Unternehmen am Wettbewerb teilnehmen, gelten von den Vorschriften dieses Gesetzes nur die §§ 10, 28, 29 und der Vierte Abschnitt. Im übrigen sind die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme des § 38 in der jeweils geltenden Fassung anzuwenden.

(3) Für öffentlich-rechtliche Kreditinstitute gelten abweichend von Absatz 2 nur die Vorschriften des Bundesdatenschutzgesetzes, die auf nicht-öffentliche Stellen anzuwenden sind. Für die Hamburgische Wohnungsbaukreditanstalt gilt Satz 1jedoch nicht, soweit sie Verwaltungsaufgaben wahrnimmt, die ihr gemäß §3 Absatz 4 des Gesetzes über die Hamburgische Wohnungsbaukreditanstalt in der Fassung vom 6. März 1973 (Hamburgisches Gesetz- und Verordnungsblatt Seite 41), zuletzt geändert am 22. Dezember 1992 (Hamburgisches Gesetz- und Verordnungsblatt Seiten 320, 322), in der jeweils geltenden Fassung übertragen sind.

 (4) Für die Ausübung des Gnadenrechts findet dieses Gesetz keine Anwendung.

(5) Auf die Verarbeitung personenbezogener Daten in Akten

  1. durch die Gerichte im Rahmen der Rechtspflege,
  2. durch die Staatsanwaltschaften und ihre Hilfsbeamtinnen und Hilfsbeamten bei der Verfolgung von Straftaten und bei der Strafvollstreckung sowie
  3. durch die in Absatz 1 Satz 1 genannten Stellen bei der Verfolgung und Ahndung von Ordnungswidrigkeiten

finden § 5, § 6 Absatz 1 Nummern 1 bis 5 sowie die §§ 12 bis 19 keine Anwendung. Satz 1 Nummer 1 gilt nicht für die Tätigkeit der Gerichtsvollzieherinnen und Gerichtsvollzieher.

(6) Dieses Gesetz gilt nicht für personenbezogene Daten, solange sie in allgemein zugänglichen Quellen gespeichert sind, sowie für Daten von Betroffenen, die diese zur Veröffentlichung bestimmt haben.

(7) Soweit besondere Rechtsvorschriften, die auf die Verarbeitung personenbezogener Daten anzuwenden sind (Rechtsvorschriften über den Datenschutz), bestehen, gehen sie den Vorschriften dieses Gesetzes vor.

§ 3 

Datenverarbeitung im Auftrag

(1) Die Vorschriften dieses Gesetzes gelten für die in § 2 Absatz 1 Satz 1 genannten Stellen auch insoweit, als personenbezogene Daten in deren Auftrag durch andere Stellen verarbeitet werden. In diesen Fällen ist die auftragnehmende Stelle unter besonderer Berücksichtigung der Eignung der von ihr getroffenen Maßnahmen zur Datensicherung (§ 8) sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei, falls erforderlich, ergänzende Maßnahmen zur Datensicherung und etwaige Unterauftragsverhältnisse festzulegen sind.

(2) Die Vorschriften der §§ 12 bis 20 gelten nicht für die in § 2 Absatz 1 Satz 1 genannten Stellen, soweit sie personenbezogene Daten im Auftrag verarbeiten. In diesen Fällen ist die Datenverarbeitung nur im Rahmen der Weisungen der auftraggebenden Stelle zulässig. Ist die auftragnehmende Stelle der Ansicht, daß eine solche Weisung gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, so hat sie die auftraggebende Stelle unverzüglich darauf hinzuweisen.

(3) Sofern die §§ 7 bis 9 auf die auftragnehmende Stelle keine Anwendung finden, ist die auftraggebende Stelle verpflichtet, vertraglich sicherzustellen, daß die auftragnehmende Stelle die in diesen Bestimmungen für auftragnehmende Stellen enthaltenen Regelungen befolgt und sich, sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes durchgeführt wird, der Überwachung der bzw. des Hamburgischen Datenschutzbeauftragten unterwirft. Bei einer Auftragsdurchführung außerhalb des Geltungsbereichs dieses Gesetzes ist die zuständige Datenschutzaufsichtsbehörde zu unterrichten.

(4) Die Absätze 1 bis 3 gelten für Stellen, die im Auftrag Wartungsarbeiten oder Hilfstätigkeiten bei der Datenverarbeitung erledigen, entsprechend, soweit hierbei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

 

§ 4

Begriffsbestimmungen

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen (Betroffene; betroffene Personen).

(2) Datenverarbeitung ist das Speichern, Übermitteln und Nutzen personenbezogener Daten, das Verändern, Sperren und Löschen gespeicherter personenbezogener Daten sowie das Erheben personenbezogener Daten, sofern sie gespeichert oder zur Speicherung oder zur Übermittlung vorgesehen sind.

Im einzelnen ist

  1. Erheben das Beschaffen von Daten über Betroffene,
  2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,
  3. Verändern das inhaltliche Umgestalten von Daten,
  4. Übermitteln das Bekanntgeben von Daten an Dritte in der Weise, daß die Daten weitergegeben, zur Einsicht bereitgehalten oder veröffentlicht werden oder daß Dritte in einem automatisierten Verfahren bereitgehaltene Daten abrufen,
  5. Sperren das Verhindern weiterer Verarbeitung von Daten,
  6. Löschen das Unkenntlichmachen von Daten oder das Vernichten des Datenträgers,
  7. Nutzen jede sonstige Verwendung von Daten ungeachtet der dabei angewendeten Verfahren.

(3) Speichernde Stelle ist jede der in § 2 Absatz 1 Satz 1 genannten Stellen, die Daten für sich selbst speichert oder durch andere speichern läßt.

(4) Dritte sind alle Stellen außerhalb der öffentlichen Stelle, ausgenommen die Betroffenen und diejenigen Stellen, die im Inland personenbezogene Daten im Auftrag verarbeiten.

(5) Eine Datei ist

  1. eine Sammlung von Daten, die durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei), oder
  2. eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen geordnet oder ausgewertet werden kann (nicht-automatisierte Datei).

Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, daß sie durch automatisierte Verfahren ausgewertet werden können.

(6) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen.

(7) Stellen sind natürliche Personen, juristische Personen und ihre Handlungseinheiten, Gesellschaften und andere Personenvereinigungen des privaten Rechts.

(8) Ein Datenträger ist jedes Material, auf dem Einzelangaben wahrnehmbar festgehalten werden.

(9) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

 

§ 5

Zulässigkeit der Datenverarbeitung

(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, soweit

(2) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Gegenstand, Inhalt und Umfang der erlaubten Verarbeitung, insbesondere die Art der Daten, die Adressaten der Übermittlung, der Verwendungszweck und die Dauer der Aufbewahrung, sind in der Einwilligungserklärung klar und verständlich zu bezeichnen; die Betroffenen sind unter Darlegung der Rechtsfolgen darauf hinzuweisen, daß sie die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen können. Wird die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt, sind die Betroffenen hierauf schriftlich besonders hinzuweisen.

(3) Die Einwilligung ist unwirksam, wenn sie durch unangemessene Androhung von Nachteilen, durch fehlende Aufklärung oder in sonstiger, gegen die Gebote von Treu und Glauben verstoßender Weise erlangt wurde.

(4) Die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung technischer Einrichtungen haben sich auch an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben und weiter zu verarbeiten. Dabei ist jeweils zu prüfen, inwieweit es möglich ist, personenbezogene Daten anonym oder pseudonym zu verarbeiten. Erforderlich sind Maßnahmen zur anonymen oder pseudonymen Datenverarbeitung nur, wenn ihr Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit der Daten steht.

§ 6

Rechte der Betroffenen

(1) Die Betroffenen haben nach Maßgabe dieses Gesetzes in bezug auf die zu ihrer Person gespeicherten Daten ein Recht auf

(2) Auf diese Rechte kann nicht im Vorwege verzichtet werden.

 

§ 7

Datengeheimnis

Denjenigen Personen, die bei den in § 2 Absatz 1 Satz 1 genannten Stellen oder ihren auftragnehmenden Stellen dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, geschützte personenbezogene Daten unbefugt zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten, insbesondere bekanntzugeben oder zugänglich zu machen. Dieses Verbot besteht auch nach Beendigung der Tätigkeit fort.

§ 8

Maßnahmen zur Datensicherung

(1) Die in § 2 Absatz 1 Satz 1 genannten Stellen und ihre auftragnehmenden Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten (Maßnahmen zur Datensicherung). Erforderlich sind Maßnahmen zur Datensicherung nur, wenn ihr Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit der Daten steht.

(2) Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind,

  1. Unbefugten den Zugang zu den Datenverarbeitungsanlagen zu verwehren (Zugangskontrolle),
  2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
  3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle),
  4. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),
  5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
  6. zu gewährleisten, daß überprüft und festgestellt werden kann, welche Daten zu welcher Zeit an wen durch Einrichtungen zur Datenübertragung übermittelt worden sind (Übermittlungskontrolle),
  7. zu gewährleisten, daß überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
  8. zu gewährleisten, daß Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der auftraggebenden Stelle verarbeitet werden können (Auftragskontrolle),
  9. zu gewährleisten, daß bei der Datenübertragung sowie beim Transport von Datenträgern Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
  10. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(3) Werden personenbezogene Daten in nicht-automatisierten Dateien oder in Akten verarbeitet, sind Maßnahmen zur Datensicherung zu treffen, um insbesondere den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.

(4) Vor der Entscheidung über die Einführung oder die wesentliche Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden sollen, haben die in § 2 Absatz 1 Satz 1 genannten Stellen zu prüfen, ob und in welchem Umfang mit der Nutzung dieses Verfahrens Gefahren für die Rechte der Betroffenen verbunden sind. Die Einführung und die wesentliche Änderung eines automatisierten Verfahrens sind nur zulässig, soweit derartige Gefahren durch Maßnahmen zur Datensicherung wirksam beherrscht werden können, es sei denn, daß solche Maßnahmen gemäß Absatz 1 Satz 2 nicht erforderlich sind.

 

§ 9

Dateibeschreibung; Geräteverzeichnis

(1) Die speichernde Stelle ist verpflichtet, in einer Dateibeschreibung für jede Datei schriftlich festzulegen

  1. die Bezeichnung der Datei und ihre Zweckbestimmung,
  2. die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung oder die Ziele, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist,
  3. den Kreis der Betroffenen,
  4. die Art regelmäßig zu übermittelnder Daten, die empfangenden Stellen sowie die Herkunft regelmäßig empfangener Daten,
  5. Fristen für die Sperrung und Löschung der Daten,
  6. die Maßnahmen zur Datensicherung gemäß § 8,
  7. bei automatisierten Anwendungen die Betriebsart der Anwendungen, die Art der Geräte, die Stellen, bei denen sie aufgestellt sind, sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung.

Die speichernde Stelle kann die Angaben nach Satz 1 für mehrere gleichartige Dateien in einer Dateibeschreibung zusammenfassen.

(2) Absatz 1 findet keine Anwendung auf

  1. nicht-automatisierte Dateien, aus denen keine Daten an Dritte übermittelt werden,
  2. Dateien, die bei automatisierter Verarbeitung ausschließlich aus verarbeitungstechnischen Gründen vorübergehend vorgehalten oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage geführt werden,
  3. Dateien, die die Gerichte ausschließlich zur Förderung eines einzelnen Rechtsstreits vorübergehend vorhalten.

(3) Die in § 2 Absatz 1 Satz 1 genannten Stellen und ihre auftragnehmenden Stellen sind verpflichtet, in einem Verzeichnis der Geräte, mit denen personenbezogene Daten automatisiert verarbeitet werden, festzulegen:

das Verzeichnis ist laufend auf dem neuesten Stand zu halten.

§ 10

Durchführung des Datenschutzes

Die in § 2 Absatz 1 Satz 1 genannten Stellen haben die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz jeweils für ihren Geschäftsbereich sicherzustellen. Sie haben insbesondere dafür zu sorgen, daß die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, überwacht wird. Der Senat kann die Überwachung nach Satz 2 für die Stellen der Freien und Hansestadt Hamburg einer anderen Stelle zuweisen, wenn die Überwachung besondere Fachkenntnisse hinsichtlich der verwendeten Datenverarbeitungssysteme erfordert.

 

§ 11

Automatisiertes Abrufverfahren

(1) Ein automatisiertes Verfahren zum Abruf personenbezogener Daten durch Dritte darf nur eingerichtet werden, wenn eine Rechtsvorschrift dies ausdrücklich zuläßt.

(2) Der Senat wird ermächtigt, die Einrichtung automatisierter Abrufverfahren durch Rechtsverordnung zuzulassen. Die bzw. der Hamburgische Datenschutzbeauftragte ist vorher zu hören. Ein solches Verfahren ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die Verordnung hat die empfangende Stelle, die Datenart und den Zweck des Abrufs festzulegen. Sie hat Maßnahmen zur Datensicherung und zur Datenschutzkontrolle vorzusehen, die in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt.

(3) Die Einrichtung eines automatisierten Abrufverfahrens innerhalb einer in § 2 Absatz 1 Satz 1 genannten Stelle bedarf der Zulassung durch die Leiterin bzw. den Leiter der Stelle, wenn die Einheit, die die Daten zum Abruf bereithält, und die empfangende Einheit unterschiedliche Aufgaben wahrnehmen. Für die Zulassung findet Absatz 2 Sätze 2 bis 6 entsprechende Anwendung.

(4) Personenbezogene Daten dürfen für Stellen außerhalb des öffentlichen Bereichs zum automatisierten Abruf nicht bereitgehalten werden; dies gilt nicht für Betroffene.

(5) Die Absätze 1 bis 4 gelten nicht für Datenbestände, die jeder oder jedem ohne oder nach besonderer Zulassung zur Benutzung offenstehen oder deren Veröffentlichung zulässig wäre.

 

§ 11a

Gemeinsame und verbundene automatisierte Dateien

(1) Die Einrichtung gemeinsamer oder verbundener automatisierter Dateien, in oder aus denen mehrere in § 2 Absatz 1 Satz 1 genannte Stellen personenbezogene Daten verarbeiten sollen, bedarf der ausdrücklichen Zulassung durch eine Rechtsvorschrift. Der Senat wird ermächtigt, die Einrichtung automatisierter Dateien im Sinne des Satzes 1 durch Rechtsverordnung zuzulassen. § 11 Absatz 2 Sätze 2, 3 und 5 und Absatz 5 gilt entsprechend. Die Verordnung hat die Art der zu verarbeitenden Daten, die Stellen, die in der gemeinsamen Datei oder in verbundenen Dateien Daten verarbeiten dürfen, sowie den Umfang ihrer Verarbeitungsbefugnis anzugeben und festzulegen, welche Stelle die datenschutzrechtliche Verantwortung gegenüber den Betroffenen trägt und die Maßnahmen zur Datensicherung trifft. Die Vorschriften über die Zulässigkeit der lesenden und schreibenden Datenverarbeitung im einzelnen bleiben unberührt.

(2) Innerhalb einer in § 2 Absatz 1 Satz 1 genannten Stelle bedarf die Einrichtung gemeinsamer oder verbundener automatisierter Dateien, mit denen per sonenbezogene Daten aus unterschiedlichen Aufgabengebieten verarbeitet werden sollen, der Zulassung durch die Leiterin bzw. den Leiter der Stelle. Für die Zulassung gilt Absatz 1 Sätze 3 bis 5 entsprechend.

 

ZWEITER ABSCHNITT

Rechtsgrundlagen der Datenverarbeitung

§ 12

Datenerhebung

(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist.

(2) Personenbezogene Daten sollen bei den Betroffenen mit ihrer Kenntnis erhoben werden. Bei anderen Stellen dürfen sie unter den in § 13 Absatz 2 Satz 1 genannten Voraussetzungen erhoben werden. Bei Betroffenen dürfen Daten ohne ihre Kenntnis nur erhoben werden, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder der Schutz von Leben oder Gesundheit oder die Abwehr einer erheblichen Gefährdung der natürlichen Lebensgrundlagen dies erforderlich macht. Durch die Art und Weise des Erhebens dürfen schutzwürdige Interessen der Betroffenen nicht beeinträchtigt werden.

(3) Werden Daten bei Betroffenen erhoben, so sind diese über den Verwendungszweck aufzuklären. Werden die Daten aufgrund einer Rechtsvorschrift erhoben, so sind die Betroffenen in geeigneter Weise über diese aufzuklären. Soweit eine Auskunftspflicht besteht oder die Angaben Voraussetzung für die Gewährung von Rechtsvorteilen sind, sind die Betroffenen hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. Werden Daten bei Betroffenen ohne ihre Kenntnis erhoben, so sind sie davon zu benachrichtigen, sobald die Erfüllung der Aufgaben dadurch nicht mehr beeinträchtigt wird.

(4) Werden Daten nach Absatz 2 bei Stellen außerhalb des öffentlichen Bereichs erhoben, gilt Absatz 3 Sätze 2 und 3 entsprechend.

 

§ 13

Zulässigkeit der weiteren Datenverarbeitung;
Zweckbindung

(1) Die weitere Datenverarbeitung ist zulässig, wenn sie

Daten, von denen die Stelle ohne Erhebung Kenntnis erlangt hat oder die bei ihr neu entstanden sind, dürfen für Zwecke verarbeitet werden, für die sie erstmals gespeichert worden sind.

(2) Die Datenverarbeitung für andere Zwecke ist nur zulässig, wenn

  1. eine Rechtsvorschrift dies erlaubt oder die Wahrnehmung einer durch Gesetz oder Rechtsverordnung begründeten Aufgabe die Verarbeitung dieser Daten zwingend voraussetzt,
  2. bei Teilnahme am Privatrechtsverkehr oder zur Durchsetzung öffentlich-rechtlicher Geldforderungen ein rechtliches Interesse an der Kenntnis der zu verarbeitenden Daten vorliegt und kein Grund zu der Annahme besteht, daß das schutzwürdige Interesse der Betroffenen an der Geheimhaltung überwiegt,
  3. Angaben der Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte dafür bestehen, daß sie unrichtig sind,
  4. hierdurch erhebliche Nachteile für das Gemeinwohl oder schwerwiegende Beeinträchtigungen von gewichtigen Rechtspositionen einzelner verhindert oder beseitigt werden sollen,
  5. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder von Maßnahmen im Sinne des §11 Absatz 1 Nummer 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Erledigung eines gerichtlichen Auskunftsersuchens erforderlich ist und gesetzliche Regelungen nicht entgegenstehen,
  6. die Einholung der Einwilligung der Betroffenen nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre, aber offensichtlich ist, daß es in ihrem Interesse liegt und sie in Kenntnis des anderen Zwecks ihre Einwilligung erteilen würden,
  7. die Daten unmittelbar aus allgemein zugänglichen Quellen entnommen worden sind oder entnommen werden können oder die speichernde Stelle sie veröffentlichen dürfte, es sei denn, daß schutzwürdige Interessen der Betroffenen offensichtlich entgegenstehen oder,
  8. sie der Bearbeitung von Eingaben sowie Kleinen oder Großen Anfragen dient und überwiegende schutzwürdige Interessen der Betroffenen nicht entgegenstehen.

Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis und sind sie der öffentlichen Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden, findet Satz 1 Nummern 2 bis 8 keine Anwendung.

(3) Eine Datenverarbeitung zu anderen Zwecken liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient. Zulässig ist auch die Verarbeitung zu Ausbildungs- und Prüfungszwecken, soweit nicht schutzwürdige Interessen des Betroffenen an der Geheimhaltung der Daten offensichtlich überwiegen.

 

§ 14

Übermittlung innerhalb des öffentlichen Bereichs

(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der Aufgaben der übermittelnden oder der empfangenden Stelle erforderlich ist und die Voraussetzungen des § 13 erfüllt sind. Die Übermittlung ist ferner zulässig, soweit es zur Entscheidung in einem Verwaltungsverfahren der Beteiligung mehrerer öffentlicher Stellen bedarf.

(2) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten von Betroffenen oder von Dritten in Akten so verbunden, daß eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht schutzwürdige Interessen der Betroffenen oder Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig.

(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Grund eines Ersuchens der empfangenden Stelle, so hat die übermittelnde Stelle von den in die Sphäre der empfangenden Stelle fallenden Übermittlungsvoraussetzungen lediglich zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben der empfangenden Stelle liegt. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlaß besteht; die empfangende Stelle hat der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen. Erfolgt die Übermittlung durch Abruf in einem automatisierten Verfahren (§§ 11, 11a), trägt die empfangende Stelle die Verantwortung für die Rechtmäßigkeit des Abrufs.

(4) Absatz 2 gilt entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden.

 

§ 15

Übermittlung an öffentlich-rechtliche
Religionsgesellschaften

Die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaften ist in entsprechender Anwendung der Vorschriften über die Datenübermittlung an öffentliche Stellen zulässig, sofern sichergestellt ist, daß bei der empfangenden Stelle ausreichende Datenschutzmaßnahmen getroffen sind.

 

§ 16

Übermittlung an Stellen außerhalb des öffentlichen Bereichs

(1) Die Übermittlung personenbezogener Daten an Stellen außerhalb des öffentlichen Bereichs ist zulässig, wenn

  1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen des § 13 Absatz 1 vorliegen,
  2. die Voraussetzungen des § 13 Absatz 2 Satz 1 Nummern 1, 4, 6, 7 oder 8 vorliegen und die Daten nicht einem nach § 13 Absatz 2 Satz 2 zu wahrenden Berufs- oder Amtsgeheimnis unterliegen,
  3. die empfangende Stelle ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft macht und kein Grund zu der Annahme besteht, daß schutzwürdige Interessen der Betroffenen an der Geheimhaltung überwiegen,
  4. sie im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse geltend gemacht wird und die Betroffenen in diesen Fällen der Übermittlung nicht widersprochen haben.

In den Fällen des Satzes 1 Nummer 4 sind die Betroffenen über die beabsichtigte Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck in geeigneter Weise zu unterrichten.

(2) Die empfangende Stelle ist darauf hinzuweisen, daß sie die übermittelten Daten nur zur Verarbeitung für den Zweck erhält, zu dem sie ihr übermittelt werden.

(3) Die Betroffenen können verlangen, daß die Übermittlung nach Absatz 1 Satz 1 Nummer 2 in Verbindung mit § 13 Absatz 2 Satz 1 Nummer 6 sowie nach Absatz 1 Satz 1 Nummern 3 und 4 gesperrt wird, wenn sie ein schutzwürdiges Interesse an der Sperrung darlegen.

 

§ 17

Übermittlung an Stellen außerhalb der
Bundesrepublik Deutschland

(1) Eine Übermittlung personenbezogener Daten an ausländische, an über- oder zwischenstaatliche Stellen ist zulässig, soweit die Übermittlung in einem Gesetz, einem Rechtsakt der Europäischen Gemeinschaften oder einer internationalen Vereinbarung ausdrücklich geregelt ist.

(2) Eine Übermittlung darf auch erfolgen, wenn für die empfangende Stelle gleichwertige Datenschutzregelungen gelten und bei einer Übermittlung an öffentliche Stellen die Voraussetzungen des § 14 Absatz 1 Satz 1, im übrigen die Voraussetzungen des § 16 Absatz 1 erfüllt sind. Die Übermittlung unterbleibt, soweit Grund zu der Annahme besteht, daß dadurch gegen den Zweck eines deutschen Gesetzes verstoßen oder das Recht der Betroffenen aus § 1 verletzt würde.

(3) § 16 Absatz 2 gilt entsprechend.

DRITTER ABSCHNITT

Rechte der Betroffenen

§ 18

Auskunft

(1) Den Betroffenen ist von der speichernden Stelle auf Antrag gebührenfrei Auskunft zu erteilen über

  1. die zu ihrer Person gespeicherten Daten,
  2. den Zweck und die Rechtsgrundlage der Speicherung sowie
  3. die Herkunft der Daten, die empfangenden Stellen von regelmäßigen Übermittlungen und die an einem automatisierten Abrufverfahren teilnehmenden Stellen,

auch soweit diese Angaben nicht zu ihrer Person gespeichert sind, aber mit vertretbarem Aufwand festgestellt werden können. Die Betroffenen sollen die Art der personenbezogenen Daten, über die sie Auskunft verlangen, näher bezeichnen. Aus Akten ist den Betroffenen Auskunft zu erteilen, soweit sie Angaben machen, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zum Auskunftsinteresse der Betroffenen steht. Die speichernde Stelle bestimmt die Form der Auskunftserteilung nach pflichtgemäßem Ermessen; die Auskunft kann auch in der Form erteilt werden, daß dem Betroffenen Akteneinsicht gewährt oder ein Ausdruck aus automatisierten Dateien überlassen wird. § 29 des Hamburgischen Verwaltungsverfahrensgesetzes bleibt unberührt.

(2) Die Verpflichtung zur Auskunftserteilung gilt nicht für die personenbezogenen Daten, die nur deshalb als gesperrte Daten gespeichert sind, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, sowie für solche Daten, die ausschließlich zum Zwecke der Datensicherung oder der Datenschutzkontrolle gespeichert sind.

(3) Die Auskunftserteilung unterbleibt, soweit

  1. die Auskunft die rechtmäßige Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben gefährden würde,
  2. die Auskunft die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
  3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden schutzwürdigen Interessen Dritter, geheimgehalten werden müssen.

(4) Einer Begründung für die Auskunftsverweigerung bedarf es nur insoweit nicht, als durch die Mitteilung der Gründe der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall sind die wesentlichen Gründe für die Entscheidung aufzuzeichnen.

(5) Bezieht sich die Auskunft auf die Herkunft von personenbezogenen Daten von Behörden des Verfassungsschutzes, der Staatsanwaltschaft und der Polizei, von Landesfinanzbehörden, soweit diese personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, sowie von den in § 19 Absatz 3 des Bundesdatenschutzgesetzes genannten Behörden, ist sie nur mit Zustimmung dieser Stellen zulässig. Gleiches gilt, soweit sich die Auskunft auf die Übermittlung personenbezogener Daten an diese Behörden bezieht. Für die Versagung der Zustimmung gelten, soweit dieses Gesetz auf die genannten Behörden Anwendung findet, die Absätze 3 und 4 entsprechend.

(6) Wird die Auskunft nicht gewährt, so sind die Betroffenen darauf hinzuweisen, daß sie sich an die Hamburgische Datenschutzbeauftragte bzw. den Hamburgischen Datenschutzbeauftragten wenden können.

§ 19

Berichtigung, Sperrung und Löschung

(1) Personenbezogene Daten sind unverzüglich zu berichtigen, wenn sie unrichtig sind. Sind Daten in nicht-automatisierten Dateien oder in Akten zu berichtigen, reicht es aus, in geeigneter Weise kenntlich zu machen, zu welchem Zeitpunkt oder aus welchem Grund diese Daten unrichtig waren oder unrichtig geworden sind.

(2) Personenbezogene Daten sind zu sperren, wenn

  1. ihre Richtigkeit von den Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt,
  2. in den Fällen des Absatzes 3 Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange Betroffener beeinträchtigt würden, oder wenn Betroffene an Stelle der Löschung die Sperrung verlangen,
  3. sie nur zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind.

Satz 1 Nummer 1 gilt nicht, wenn personenbezogene Daten in Akten gespeichert sind; in diesen Fällen ist in den Akten lediglich zu vermerken, daß die Daten von den Betroffenen bestritten worden sind. Gesperrte Daten sind als solche zu kennzeichnen. Ohne Einwilligung der Betroffenen dürfen sie nur weiterverarbeitet werden, wenn es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der speichernden Stelle oder Dritter liegenden Gründen unerläßlich ist und die Voraussetzungen des § 13 oder des § 27 vorliegen.

(3) Personenbezogene Daten sind zu löschen, wenn

Sind personenbezogene Daten in Akten gespeichert, ist die Löschung nach Satz 1 Nummer 2 nur durchzuführen, wenn die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist; soweit hiernach eine Löschung nicht in Betracht kommt, sind die personenbezogenen Daten zu sperren.

(4) Abgesehen von den Fällen des Absatzes 3 Satz 1 Nummer 1 sind die Daten vor einer Löschung dem zuständigen öffentlichen Archiv nach Maßgabe des § 3 des Hamburgischen Archivgesetzes vom 21. Januar 1991 (Hamburgisches Gesetz- und Verordnungsblatt Seite 7) in seiner jeweiligen Fassung anzubieten.

(5) Von der Berichtigung unrichtiger Daten, von der Sperrung bestrittener oder unzulässig gespeicherter Daten und von der Löschung unzulässig gespeicherter Daten sind unverzüglich die Stellen zu verständigen, denen die Daten im Rahmen regelmäßiger Datenübermittlung übermittelt worden sind; die Verständigung kann unterbleiben, wenn abzusehen ist, daß die empfangenden Stellen die Daten nicht mehr verarbeiten werden und nachteilige Folgen für die Betroffenen nicht zu erwarten sind. Im übrigen liegt die Verständigung im pflichtgemäßen Ermessen.

(6) In automatisierten Dateien gespeicherte Daten sind regelmäßig alle vier Jahre auf ihre Erforderlichkeit hin zu überprüfen und die Datenbestände gemäß Absatz 3 zu bereinigen.

 

§ 20

Schadensersatz

(1) Werden Betroffene durch eine unzulässige oder unrichtige automatisierte Datenverarbeitung in ihren schutzwürdigen Belangen beeinträchtigt, so hat ihnen der Träger der in § 2 Absatz 1 Satz 1 genannten Stelle den daraus entstehenden Schaden zu ersetzen. In schweren Fällen können Betroffene auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld verlangen. Die oder der Ersatzpflichtige haftet jeder betroffenen Person für jedes schädigende Ereignis bis zu einem Betrag von fünfhunderttausend Deutsche Mark.

(2) Auf das Mitverschulden von Verletzten und die Verjährung des Entschädigungsanspruchs sind § 254, § 839 Absatz 3 und § 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden.

(3) Weitergehende sonstige Schadensersatzansprüche bleiben unberührt.

 

VIERTER ABSCHNITT

Die bzw. der Hamburgische Datenschutzbeauftragte

§ 21

Berufung

(1) Auf Vorschlag des Senats wählt die Bürgerschaft eine Hamburgische Datenschutzbeauftragte oder einen Hamburgischen Datenschutzbeauftragten; die Wiederwahl ist einmal zulässig. Die bzw. der Hamburgische Datenschutzbeauftragte muß die Befähigung zum Richteramt oder zum höheren Verwaltungsdienst haben und die zur Erfüllung ihrer bzw. seiner Aufgaben erforderliche Fachkunde besitzen. Sie bzw. er muß bei ihrer bzw. seiner Bestellung das 35. Lebensjahr vollendet haben.

(2) Der Senat bestellt die Hamburgische Datenschutzbeauftragte bzw. den Hamburgischen Datenschutzbeauftragten für eine Amtszeit von sechs Jahren.

(3) Die bzw. der Hamburgische Datenschutzbeauftragte ist verpflichtet, das Amt bis zur Bestellung einer Nachfolgerin oder eines Nachfolgers weiterzuführen; die Amtszeit gilt als entsprechend verlängert. Kommt die bzw. der Hamburgische Datenschutzbeauftragte der Verpflichtung nach Satz 1 nicht nach, ist sie bzw. er zu entlassen.

 

§ 22

Rechtsstellung

(1) In Ausübung des Amtes ist die bzw. der Hamburgische Datenschutzbeauftragte unabhängig und nur dem Gesetz unterworfen. Sie bzw. er ist insoweit oberste Dienstbehörde im Sinne des § 96 der Strafprozeßordnung sowie oberste Aufsichtsbehörde im Sinne des § 99 der Verwaltungsgerichtsordnung und trifft die Entscheidungen nach den §§ 65 und 66 des Hamburgischen Beamtengesetzes für sich und die ihr bzw. ihm zugewiesenen Bediensteten. Sie bzw. er untersteht der Dienstaufsicht des Senats.

(2) Der bzw. dem Hamburgischen Datenschutzbeauftragten wird die zur Aufgabenerfüllung notwendige Personal- und Sachausstattung vom Senat im Rahmen der haushaltsmäßigen Bestimmungen zur Verfügung gestellt. Die Stellen werden auf Vorschlag der bzw. des Hamburgischen Datenschutzbeauftragten besetzt. Die Mitarbeiterinnen und Mitarbeiter können nur im Einvernehmen mit ihr bzw. ihm versetzt oder abgeordnet werden. Die bzw. der Hamburgische Datenschutzbeauftragte ist Dienstvorgesetzte bzw. Dienstvorgesetzter ihrer bzw. seiner Mitarbeiterinnen und Mitarbeiter; diese sind in ihrer Tätigkeit nach diesem Gesetz nur an ihre bzw. seine Weisungen gebunden.

(3) Die bzw. der Hamburgische Datenschutzbeauftragte bestimmt eine Mitarbeiterin oder einen Mitarbeiter zur Vertreterin bzw. zum Vertreter. Diese bzw. dieser nimmt die Befugnisse der bzw. des Hamburgischen Datenschutzbeauftragten im Falle von deren bzw. dessen Verhinderung wahr. Dauert die Verhinderung länger als zwei Monate, so kann der Senat eine Person mit der Wahrnehmung der Geschäfte beauftragen; die bzw. der Hamburgische Datenschutzbeauftragte soll hierzu gehört werden. Endet das Amtsverhältnis der bzw. des Hamburgischen Datenschutzbeauftragten, gelten Satz 2 und Satz 3 erster Halbsatz bis zur Bestellung einer Nachfolgerin oder eines Nachfolgers entsprechend.

 

§ 23

Aufgaben

(1) Die bzw. der Hamburgische Datenschutzbeauftragte überwacht bei den in § 2 Absatz 1 Satz 1 genannten Stellen und bei anderen Stellen, soweit sie sich auf Grund gesetzlicher Vorschriften ihrer bzw. seiner Überwachung unterworfen haben, die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. Die Bürgerschaft, die Gerichte und der Rechnungshof unterliegen der Überwachung durch die Hamburgische Datenschutzbeauftragte bzw. den Hamburgischen Datenschutzbeauftragten nur, soweit sie in Verwaltungsangelegenheiten tätig werden; die Einschränkung gilt nicht für Gerichtsvollzieherinnen und Gerichtsvollzieher. Bei den Gerichten und beim Rechnungshof überwacht die bzw. der Hamburgische Datenschutzbeauftragte darüber hinaus, ob die erforderlichen Maßnahmen zur Datensicherung getroffen und eingehalten werden.

(2) Die bzw. der Hamburgische Datenschutzbeauftragte kann Empfehlungen zur Verbesserung des Datenschutzes geben; insbesondere soll sie bzw. er den Senat und die übrigen in § 2 Absatz 1 Satz 1 genannten Stellen in Fragen des Datenschutzes beraten.

(3) Auf Anforderung des Senats oder auf Verlangen eines Viertels der Abgeordneten der Bürgerschaft hat die bzw. der Hamburgische Datenschutzbeauftragte Gutachten zu erstellen und Berichte zu erstatten. Außerdem erstattet sie bzw. er Senat und Bürgerschaft mindestens alle zwei Jahre einen Tätigkeitsbericht. Sie bzw. er kann sich jederzeit an die Bürgerschaft wenden. Schriftliche Äußerungen gegenüber der Bürgerschaft sind gleichzeitig dem Senat vorzulegen. Auf Ersuchen des Senats geht die bzw. der Hamburgische Datenschutzbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge nach, die ihren bzw. seinen Aufgabenbereich unmittelbar betreffen.

(4) Die bzw. der Hamburgische Datenschutzbeauftragte soll zu den Auswirkungen der Nutzung neuer Informations- und Kommunikationstechniken auf den Datenschutz Stellung nehmen. Sie bzw. er ist über Planungen neuer Anwendungen zur Nutzung der Informations- und Kommunikationstechnik rechtzeitig zu unterrichten, sofern dabei personenbezogene Daten verarbeitet werden sollen.

(5) Die in Absatz 1 Satz 1 genannten Stellen sind verpflichtet, die Hamburgische Datenschutzbeauftragte bzw. den Hamburgischen Datenschutzbeauftragten und ihre bzw. seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist dabei insbesondere

  1. Auskunft zu ihren Fragen sowie die Einsicht in alle Unterlagen und Akten zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, namentlich in die gespeicherten Daten und in die Datenverarbeitungsprogramme,
  2. jederzeit Zutritt zu allen Diensträumen zu gewähren.

Gesetzliche Geheimhaltungsvorschriften können einem Auskunfts- oder Einsichtsverlangen nicht entgegengehalten werden.

(6) Absatz 5 Sätze 1 und 2 gilt für das Landesamt für Verfassungsschutz, die Behörden der Staatsanwaltschaft und der Polizei sowie gegenüber Landesfinanzbehörden, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, mit der Maßgabe, daß die Unterstützung nur der bzw. dem Hamburgischen Datenschutzbeauftragten selbst und den von ihr bzw. ihm schriftlich damit betrauten Beauftragten zu gewähren ist. Absatz 5 Satz 2 gilt für die genannten Behörden nicht, soweit der Senat im Einzelfall feststellt, daß die Einsicht in Akten die Sicherheit des Bundes oder eines Landes gefährdet.

(7) Der Senat kann der bzw. dem Hamburgischen Datenschutzbeauftragten die Aufgaben der Aufsichtsbehörde für die Datenverarbeitung im nicht-öffentlichen Bereich nach § 38 des Bundesdatenschutzgesetzes übertragen. Auch über diesen Tätigkeitsbereich ist ein Bericht nach Absatz 3 Satz 2 zu erstatten.

§ 24

(aufgehoben)

§ 25

Beanstandungen

(1) Stellt die bzw. der Hamburgische Datenschutzbeauftragte Verstöße gegen dieses Gesetz oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Datenverarbeitung fest, so beanstandet sie bzw. er dies

  1. im Bereich der Verwaltung und der Gerichte der Freien und Hansestadt Hamburg gegenüber dem für die Behörde oder das Gericht verantwortlichen Senatsmitglied, im Bereich der Bezirksverwaltung gegenüber dem für die Aufsichtsbehörde verantwortlichen Senatsmitglied,
  2. im Bereich der der Aufsicht der Freien und Hansestadt Hamburg unterstehenden juristischen Personen des öffentlichen Rechts und deren öffentlich-rechtlich organisierten Einrichtungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ,
  3. im Bereich der Bürgerschaft und des Rechnungshofs gegenüber der jeweiligen Präsidentin bzw. dem jeweiligen Präsidenten

und fordert zur Behebung der Mängel und zur Stellungnahme innerhalb einer von ihr bzw. ihm zu bestimmenden Frist auf. Werden die Mängel nicht fristgemäß behoben, richtet die bzw. der Hamburgische Datenschutzbeauftragte eine weitere Beanstandung in den Fällen des Satzes 1 Nummer 1 an den Senat, in den Fällen des Satzes 1 Nummer 2 an die zuständige Aufsichtsbehörde; im übrigen gilt Satz 1 entsprechend.

(2) Die bzw. der Hamburgische Datenschutzbeauftragte kann von einer Beanstandung absehen, insbesondere wenn die Mängel von geringer Bedeutung sind, bereits behoben sind oder ihre Behebung sichergestellt ist.

(3) Mit der Beanstandung kann die bzw. der Hamburgische Datenschutzbeauftragte Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden.

(4) Die gemäß Absatz 1 abzugebenden Stellungnahmen sollen auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung getroffen worden sind. Die in Absatz 1 Satz 1 Nummer 2 genannten Stellen leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme zu.

§ 26

Anrufung

(1) Jede Person kann sich an die Hamburgische Datenschutzbeauftragte bzw. den Hamburgischen Datenschutzbeauftragten wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten im Überwachungsbereich nach § 23 Absatz 1 in ihren Rechten verletzt worden zu sein.

(2) Niemand darf wegen der Mitteilung von Tatsachen, die geeignet sind, den Verdacht aufkommen zu lassen, das Hamburgische Datenschutzgesetz oder eine andere Rechtsvorschrift des Datenschutzes sei verletzt worden, gemaßregelt oder benachteiligt werden. Bedienstete der Freien und Hansestadt Hamburg sind nicht verpflichtet, der bzw. dem Hamburgischen Datenschutzbeauftragten gegenüber den Dienstweg einzuhalten.

 

FÜNFTER ABSCHNITT

Besondere Vorschriften über den Datenschutz

§ 27

Datenverarbeitung zum Zwecke
wissenschaftlicher Forschung

(1) Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene Daten ohne Einwilligung der Betroffenen für ein bestimmtes Forschungsvorhaben verarbeiten, soweit deren schutzwürdige Interessen wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Verwendung nicht beeinträchtigt werden. Der Einwilligung des Betroffenen bedarf es auch nicht, wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Interessen des Betroffenen erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

(2) Über die Übermittlung entscheidet die Leiterin bzw. der Leiter der in § 2 Absatz 1 Satz 1 genannten Stelle oder die von ihr bzw. ihm bestimmte Mitarbeiterin oder ein entsprechender Mitarbeiter. Die Entscheidung muß die empfangende Stelle, die Art der zu übermittelnden personenbezogenen Daten, den Kreis der Betroffenen und das Forschungsvorhaben bezeichnen; sie ist der bzw. dem Hamburgischen Datenschutzbeauftragten mitzuteilen.

(3) Die Daten sind, sobald der Forschungszweck es gestattet, zu anonymisieren. Die Merkmale, mit denen ein Bezug auf eine bestimmte natürliche Person wiederhergestellt werden kann, sind gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck dies gestattet.

(4) Die übermittelten personenbezogenen Daten dürfen nur mit Einwilligung der Betroffenen weiter übermittelt oder für einen anderen als den ursprünglichen Zweck verarbeitet werden.

(5) Die wissenschaftliche Forschung betreibenden in § 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene Daten ohne Einwilligung der Betroffenen nur veröffentlichen, wenn dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich ist.

(6) Soweit die Vorschriften dieses Gesetzes auf die empfangende Stelle keine Anwendung finden, dürfen personenbezogene Daten nur übermittelt werden, wenn sich die empfangende Stelle verpflichtet, die Vorschriften der Absätze 3 bis 5 einzuhalten, und sich der Überwachung der bzw. des für den Ort der Forschungsstätte zuständigen Datenschutzbeauftragten unterwirft. Befindet sich der Ort der Forschungsstätte im Ausland, ist eine Übermittlung nur zulässig, wenn kein Grund zu der Annahme besteht, daß bei der Durchführung des Forschungsvorhabens gegen Inhalt und Zweck eines deutschen Gesetzes verstoßen wird.

(7) Die Absätze 1, 3 und 4 gelten entsprechend bei der Datenverarbeitung zur Vorbereitung oder Überprüfung von Regelungen allgemeiner Art durch eine in § 2 Absatz 1 Satz 1 genannte Stelle.

§ 28

Datenverarbeitung bei Beschäftigungsverhältnissen

(1) Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene Daten ihrer Bewerberinnen und Bewerber, Beschäftigten, früheren Beschäftigten und von deren Hinterbliebenen nur verarbeiten, soweit dies eine Rechtsvorschrift, ein Tarifvertrag, eine allgemeine Regelung der obersten Dienstbehörde, die mit den Spitzenorganisationen der zuständigen Gewerkschaften und Berufsverbände beziehungsweise mit den Berufsverbänden der Richterinnen und Richter verbindlich vereinbart worden ist, oder eine Dienstvereinbarung vorsieht. Soweit derartige Regelungen nicht bestehen, gelten die nachfolgenden Absätze.

(2) Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen, soweit die nachfolgenden Absätze keine besonderen Regelungen enthalten, personenbezogene Daten der in Absatz 1 genannten Personen nur verarbeiten, soweit dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses oder zur Durchführung organisatorischer, personeller oder sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung oder des Personaleinsatzes, erforderlich ist.

(3) Die §§ 96 bis 96h des Hamburgischen Beamtengesetzes (HmbBG) in der Fassung vom 29. November 1977 (Hamburgisches Gesetz- und Verordnungsblatt Seite 367), zuletzt geändert am 7. September 1995 (Hamburgisches Gesetz- und Verordnungsblatt Seite 207), sind in der jeweils geltenden Fassung auf diejenigen in Absatz 1 genannten Personen entsprechend anzuwenden, die nicht in den Anwendungsbereich dieser Vorschriften fallen.

(4) Eine Übermittlung der Daten von Beschäftigten an Stellen außerhalb des öffentlichen Bereichs ist abweichend von § 16 Absatz 1 nur zulässig, soweit

  1. die empfangende Stelle ein überwiegendes rechtliches Interesse darlegt,
  2. Art oder Zielsetzung der Aufgaben, die der oder dem Beschäftigten übertragen sind, die Übermittlung erfordert oder
  3. offensichtlich ist, daß die Übermittlung im Interesse der betroffenen Person liegt, und keine Anhaltspunkte vorliegen, daß diese in Kenntnis des Übermittlungszweckes ihre Einwilligung nicht erteilen würde.

Die Übermittlung an eine künftige Dienstherrin oder Arbeitgeberin oder einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung der betroffenen Person zulässig, es sei denn, daß eine Abordnung oder Versetzung vorbereitet wird, die der Zustimmung der oder des Beschäftigten nicht bedarf. Absatz 3 in Verbindung mit § 96e HmbBG bleibt unberührt.

(5) Verlangt eine in § 2 Absatz 1 Satz 1 genannte Stelle medizinische oder psychologische Untersuchungen oder Tests (Untersuchungen), so hat sie Anlaß und Zweck der Untersuchung anzugeben sowie erforderlichenfalls auf die der betroffenen Person obliegenden Aufgaben hinzuweisen. Sie darf von der untersuchenden Stelle nur die Mitteilung der Untersuchungsergebnisse sowie derjenigen festgestellten Risikofaktoren verlangen, deren Kenntnis für ihre Entscheidung in personellen Angelegenheiten der betroffenen Person erforderlich ist; darüber hinausgehende Daten darf sie nur verlangen, soweit auch deren Kenntnis für ihre Entscheidung erforderlich ist. Führt eine in § 2 Absatz 1 Satz 1 genannte Stelle die Untersuchungen durch, so gilt für die Weitergabe der erhobenen Daten Satz 2 entsprechend. Im übrigen ist eine Weiterverarbeitung der bei den Untersuchungen erhobenen Daten ohne schriftliche Einwilligung der betroffenen Person nur zu dem Zweck zulässig, zu dem sie erhoben worden sind.

(6) Personenbezogene Daten, die vor der Eingehung eines Beschäftigungsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, daß ein Beschäftigungsverhältnis nicht zustande kommt. Dies gilt nicht, soweit überwiegende berechtigte Interessen der speichernden Stelle der Löschung entgegenstehen oder die betroffene Person in die weitere Speicherung einwilligt. Nach Beendigung eines Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, soweit diese Daten nicht mehr benötigt werden, es sei denn, daß Rechtsvorschriften entgegenstehen. § 19 Absatz 4 findet Anwendung.

(7) Soweit Daten der Beschäftigten im Rahmen der Maßnahmen zur Datensicherung nach § 8 Absatz 2 gespeichert werden, dürfen sie nicht zu anderen Zwecken, insbesondere nicht zu Zwecken der Verhaltens- oder Leistungskontrolle, genutzt werden.

(8) § 27 findet Anwendung.

§ 29

Fernmessen und Fernwirken

(1) In § 2 Absatz 1 Satz 1 genannte Stellen dürfen ferngesteuerte Messungen oder Beobachtungen (Fernmeßdienste) in Wohn- oder Geschäftsräumen Privater nur vornehmen, wenn die Betroffenen zuvor über den Verwendungszweck sowie über Art, Umfang und Zeitraum des Einsatzes unterrichtet worden sind und nach der Unterrichtung schriftlich eingewilligt haben. Entsprechendes gilt, soweit eine Übertragungseinrichtung dazu dienen soll, in Wohn- oder Geschäftsräumen Privater andere als die in Satz 1 genannten Wirkungen auszulösen (Fernwirk-dienste). Die Einrichtung von Fernmeß- und Fernwirkdiensten ist nur zulässig, wenn die Betroffenen erkennen können, wann ein Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist. Die Betroffenen können ihre Einwilligung jederzeit widerrufen, soweit dies mit der Zweckbestimmung des Dienstes vereinbar ist. Das Abschalten eines Dienstes gilt im Zweifel als Widerruf der Einwilligung.

(2) Eine Leistung, der Abschluß oder die Abwicklung eines Vertragsverhältnisses dürfen nicht davon abhängig gemacht werden, daß die Betroffenen nach Absatz 1 Satz 1 oder Satz 2 einwilligen. Verweigern oder widerrufen sie ihre Einwilligung, so dürfen ihnen keine Nachteile entstehen, die über die nachweisbaren Mehrkosten einer anderen Art der Datenerhebung hinausgehen.

(3) Soweit im Rahmen von Fernmeß- und Fernwirkdiensten personenbezogene Daten erhoben werden, dürfen diese nur zu den vereinbarten Zwecken verarbeitet werden. Sie sind zu löschen, sobald sie zur Erfüllung dieser Zwecke nicht mehr erforderlich sind.

(4) Die Absätze 1 und 2 gelten nicht für Fernmeß- und Fernwirkdienste der Versorgungsunternehmen und für entsprechende Dienste von Wohnungsunternehmen.

 

§ 30

Datenverarbeitung für Planungszwecke

(1) Für Zwecke der öffentlichen Planung können personenbezogene Daten verarbeitet werden, wenn der Planungszweck auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann und das öffentliche Interesse an der Planung die schutzwürdigen Interessen der Betroffenen erheblich überwiegt.

(2) Die zu Planungszwecken gespeicherten personenbezogenen Daten dürfen nicht für andere Zwecke genutzt werden. Sobald es der Zweck der Planungsaufgabe erlaubt, sind die zu diesem Zweck verarbeiteten personenbezogenen Daten zu anonymisieren. Eine Übermittlung von Daten, aus denen Rückschlüsse auf Einzelpersonen gezogen werden können, ist unzulässig.

(3) Soweit Daten für längere Zeit gespeichert werden, ist durch geeignete Maßnahmen sicherzustellen, daß sie innerhalb der in § 2 Absatz 1 Satz 1 genannten Stelle getrennt von der Erfüllung anderer Verwaltungsaufgaben verarbeitet werden.

§ 31

(aufgehoben)

 

 

SECHSTER ABSCHNITT

Straf- und Bußgeldvorschriften;
Übergangsbestimmungen; Inkrafttreten

§ 32

Straftaten

(1) Wer gegen Entgelt oder in der Absicht, sich oder eine andere bzw. einen anderen zu bereichern oder eine andere bzw. einen anderen zu schädigen, personenbezogene Daten, die nicht offenkundig sind,

  1. unbefugt erhebt, speichert, löscht, sperrt, verändert, übermittelt oder nutzt oder
  2. durch Vortäuschung falscher Tatsachen an sich oder eine andere bzw. einen anderen übermitteln läßt,

wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

 

(2) Der Versuch ist strafbar.

(3) Die Tat wird nur auf Antrag verfolgt.

(4) Die Absätze 1 bis 3 finden nur Anwendung, soweit die Tat nicht nach anderen Vorschriften mit Strafe bedroht ist.

§ 33

Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer personenbezogene Daten, die nicht offenkundig sind,

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark geahndet werden.

§ 34

(aufgehoben)

§ 35

Inkrafttreten

(1) Dieses Gesetz tritt am 1. August 1990 in Kraft. Abweichend davon tritt § 9 Absätze 3 und 4 am 1. Januar 1991 in Kraft.

(2) Zum gleichen Zeitpunkt tritt das Hamburgische Datenschutzgesetz vom 31. März 1981 (Hamburgisches Gesetz- und Verordnungsblatt Seite 71) in der geltenden Fassung außer Kraft.

Ausgefertigt Hamburg, den 5. Juli 1990.

Der Senat

 

_____________________________________________________________________________________________________________

1) GVBl. (Hamburgisches Gesetz- und Verordnungsblatt) S. 133, 165, 226. §23 Absatz 3 Satz 1 des Gesetzes entspricht §18 Absatz 4 Satz 2 und §20 Absatz 2 Satz 1 des Hamburgischen Datenschutzgesetzes vom 31.3.1981 (GVBl. S. 71). Diese Vorschriften sind nach den Erfordernissen des Artikels 51 der Verfassung (Verfassungsdurchbrechung) beschlossen worden.

Geändert durch Gesetz vom 18.03.1997 (GVBl. S. 76)