umwelt-online: Hamburgisches DatenschutzG (2)

zurück

§ 15 Übermittlung an öffentlich-rechtliche Religionsgesellschaften

Die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaften ist in entsprechender Anwendung der Vorschriften über die Datenübermittlung an öffentliche Stellen zulässig, sofern sichergestellt ist, dass bei der Stelle, der die Daten übermittelt werden, ausreichende Datenschutzmaßnahmen getroffen sind.

§ 16 Übermittlung an Stellen außerhalb des öffentlichen Bereichs

(1) Die Übermittlung personenbezogener Daten an Stellen außerhalb des öffentlichen Bereichs ist zulässig, wenn

  1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen des § 13 Absatz 1 vorliegen,
  2. die Voraussetzungen des § 13 Absatz 2 Satz 1 Nummern 1, 4, 6, 7 oder 8 vorliegen und die Daten nicht einem nach § 13 Absatz 2 Satz 2 zu wahrenden Berufs- oder Amtsgeheimnis unterliegen,
  3. die Stelle, der die Daten übermittelt werden sollen, ein rechtliches Interesse an deren Kenntnis glaubhaft macht und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der Betroffenen an der Geheimhaltung überwiegen,
  4. sie im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse geltend gemacht wird und die Betroffenen in diesen Fällen der Übermittlung nicht widersprochen haben.

In den Fällen des Satzes 1 Nummer 4 sind die Betroffenen über die beabsichtigte Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck in geeigneter Weise zu unterrichten.

(2) Die Stelle, der die Daten übermittelt werden, ist darauf hinzuweisen, dass sie sie nur zur Verarbeitung für den Zweck erhält, zu dem sie ihr übermittelt werden.

(3) Die Betroffenen können verlangen, dass die Übermittlung nach Absatz 1 Satz 1 Nummer 2 in Verbindung mit § 13 Absatz 2 Satz 1 Nummer 6 sowie nach Absatz 1 Satz 1 Nummern 3 und 4 gesperrt wird, wenn sie ein schutzwürdiges Interesse an der Sperrung darlegen.

§ 17 Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland 09

(1) Die Übermittlung personenbezogener Daten in Mitgliedstaaten der Europäischen Union sowie an Organe und Einrichtungen der Europäischen Union ist unter den Voraussetzungen der §§ 14, 16 und 28 zulässig.

(2) Die Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union und an über- oder zwischenstaatliche Stellen ist unter den Voraussetzungen der §§ 14, 16 und 28 zulässig, wenn in dem Staat außerhalb der Europäischen Union oder bei der über- oder zwischenstaatlichen Stelle ein angemessenes Schutzniveau gewährleistet ist. Die Angemessenheit des Schutzniveaus ist unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenübermittlung von Bedeutung sind, insbesondere der Art der Daten, der Zweckbestimmung und Dauer ihrer geplanten Verarbeitung, des Herkunfts- und des Endbestimmungslandes sowie der anwendbaren Rechtsvorschriften, Standesregeln und Sicherheitsmaßnahmen.

(3) Ist in Staaten außerhalb der Europäischen Union oder bei über- oder zwischenstaatlichen Stellen kein angemessenes Schutzniveau gewährleistet, so ist die Übermittlung personenbezogener Daten nur zulässig, soweit

  1. die Betroffenen eingewilligt haben,
  2. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
  3. die Übermittlung zur Wahrung lebenswichtiger Interessen der Betroffenen erforderlich ist oder
  4. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist oder das allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall erfüllt sind.

Darüber hinaus ist die Übermittlung unter den Voraussetzungen der §§ 14, 16 und 28 zulässig, wenn die Stelle, der die Daten übermittelt werden sollen, ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts der Betroffenen und der damit verbundenen Rechte bietet; die Garantien können sich insbesondere aus vertraglichen Vereinbarungen ergeben. Die Übermittlung bedarf in diesem Falle der Zulassung durch die Leiterin bzw. den Leiter der übermittelnden Stelle. Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist vorher zu hören. Zugelassene Übermittlungen sind der zuständigen Behörde mitzuteilen.

(4) § 16 Absatz 2 gilt entsprechend.

Dritter Abschnitt
Rechte der Betroffenen

§ 18 Auskunft 09

(1) Den Betroffenen ist von der Daten verarbeitenden Stelle auf Antrag gebührenfrei Auskunft zu erteilen über

  1. die zu ihrer Person gespeicherten Daten,
  2. die Zweckbestimmungen und die Rechtsgrundlage der Speicherung,
  3. die Herkunft der Daten und die Empfängerinnen oder Empfänger oder den Kreis der Empfängerinnen oder Empfänger; dies gilt nicht für Empfängerinnen und Empfänger, die die Daten im Einzelfall zur Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen erhalten,
  4. die an einem automatisierten Abrufverfahren teilnehmenden Stellen,
  5. in den Fällen des § 5a den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten,

auch soweit diese Angaben nicht zu ihrer Person gespeichert sind, aber mit vertretbarem Aufwand festgestellt werden können. Die Betroffenen sollen die Art der personenbezogenen Daten, über die sie Auskunft verlangen, näher bezeichnen. Aus Akten ist den Betroffenen Auskunft zu erteilen, soweit sie Angaben machen, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zum Auskunftsinteresse der Betroffenen steht. Die Daten verarbeitende Stelle bestimmt die Form der Auskunftserteilung nach pflichtgemäßem Ermessen; die Auskunft kann auch in der Form erteilt werden, dass dem Betroffenen Akteneinsicht gewährt oder ein Ausdruck aus automatisierten Dateien überlassen wird. § 29 des Hamburgischen Verwaltungsverfahrensgesetzes bleibt unberührt.

(2) Die Verpflichtung zur Auskunftserteilung gilt nicht für die personenbezogenen Daten, die nur deshalb als gesperrte Daten gespeichert sind, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, sowie für solche Daten, die ausschließlich zum Zwecke der Datensicherung oder der Datenschutzkontrolle gespeichert sind.

(3) Die Auskunftserteilung unterbleibt, soweit die Voraussetzungen für das Absehen von einer Benachrichtigung nach § 12a Absatz 3 Satz 2 Nummern 3 bis 5 vorliegen oder die Daten ausschließlich für Zwecke der wissenschaftlichen Forschung oder der Statistik verarbeitet werden.

(4) Einer Begründung für die Auskunftsverweigerung bedarf es nur insoweit nicht, als durch die Mitteilung der Gründe der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall sind die wesentlichen Gründe für die Entscheidung aufzuzeichnen.

(5) Bezieht sich die Auskunft auf die Herkunft von personenbezogenen Daten von Behörden des Verfassungsschutzes, der Staatsanwaltschaft und der Polizei, von Landesfinanzbehörden, soweit diese personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, sowie von den in § 19 Absatz 3 des Bundesdatenschutzgesetzes genannten Behörden, ist sie nur mit Zustimmung dieser Stellen zulässig. Gleiches gilt, soweit sich die Auskunft auf die Übermittlung personenbezogener Daten an diese Behörden bezieht. Für die Versagung der Zustimmung gelten, soweit dieses Gesetz auf die genannten Behörden Anwendung findet, die Absätze 3 und 4 entsprechend.

(6) Wird die Auskunft nicht gewährt, so sind die Betroffenen darauf hinzuweisen, dass sie sich an der bzw. die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit wenden können.

§ 19 Berichtigung, Sperrung und Löschung

(1) Personenbezogene Daten sind unverzüglich zu berichtigen, wenn sie unrichtig sind. Sind Daten außerhalb automatisierter Dateien zu berichtigen, reicht es aus, in geeigneter Weise kenntlich zu machen, zu welchem Zeitpunkt oder aus welchem Grund diese Daten unrichtig waren oder unrichtig geworden sind.

(2) Personenbezogene Daten sind zu sperren, wenn

  1. ihre Richtigkeit von den Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt,
  2. in den Fällen des Absatzes 3 Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange Betroffener beeinträchtigt würden, oder wenn Betroffene an Stelle der Löschung die Sperrung verlangen,
  3. sie nur zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind.

Satz 1 Nummer 1 gilt nicht, wenn personenbezogene Daten in Akten gespeichert sind; in diesen Fällen ist in den Akten lediglich zu vermerken, dass die Daten von den Betroffenen bestritten worden sind. Gesperrte Daten sind als solche zu kennzeichnen. Ohne Einwilligung der Betroffenen dürfen sie nur weiterverarbeitet werden, wenn es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der Daten verarbeitenden Stelle oder Dritter liegenden Gründen unerlässlich ist und die Voraussetzungen des § 13 oder des § 27 vorliegen.

(3) Personenbezogene Daten sind zu löschen, wenn

  1. ihre Speicherung unzulässig ist oder
  2. ihre Kenntnis für die Daten verarbeitende Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist.

Sind personenbezogene Daten in Akten gespeichert, ist die Löschung nach Satz 1 Nummer 2 nur durchzuführen, wenn die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist; soweit hiernach eine Löschung nicht in Betracht kommt, sind die personenbezogenen Daten zu sperren.

(4) Abgesehen von den Fällen des Absatzes 3 Satz 1 Nummer 1 sind die Daten vor einer Löschung dem zuständigen öffentlichen Archiv nach Maßgabe des § 3 des Hamburgischen Archivgesetzes vom 21. Januar 1991 mit der (HmbGVBl. S. 7), geändert am 30 Januar 2001 (HmbGVBl. S. 9, 16), in seiner jeweiligen Fassung anzubieten.

(5) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener oder unzulässig gespeicherter Daten und der Löschung unzulässig gespeicherter Daten sind unverzüglich die Stellen zu verständigen, denen die Daten übermittelt worden sind; die Verständigung kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und schutzwürdige Interessen der Betroffenen nicht entgegenstehen. Im Übrigen liegt die Verständigung im pflichtgemäßen Ermessen der Daten verarbeitenden Stelle.

(6) In automatisierten Dateien gespeicherte Daten sind regelmäßig alle vier Jahre auf ihre Erforderlichkeit hin zu überprüfen und die Datenbestände gemäß Absatz 3 zu bereinigen.

§ 20 Schadensersatz 03

(1) Werden Betroffene durch eine unzulässige oder unrichtige Datenverarbeitung in ihren schutzwürdigen Belangen beeinträchtigt, so hat ihnen der Träger der in § 2 Absatz 1 Satz 1 genannten Stelle den daraus entstehenden Schaden zu ersetzen. In schweren Fällen können Betroffene auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld verlangen. Die Ersatzpflicht tritt nicht ein, soweit die Daten verarbeitende Stelle den Umstand, durch den der Schaden eingetreten ist, nicht zu vertreten hat. Beruht der Schaden auf einer unzulässigen oder unrichtigen automatisierten Datenverarbeitung, so tritt die Ersatzpflicht auch im Falle des Satzes 3 ein, beschränkt sich jedoch in diesem Falle gegenüber jeder betroffenen Person auf zweihundertfünfzigtausend Euro für jedes schädigende Ereignis.

(2) Auf das Mitverschulden von Verletzten sind § 54, § 839 Absatz 3 des Bürgerlichen Gesetzbuchs und auf die Verjährung die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechend anzuwenden.

(3) Weitergehende sonstige Schadensersatzansprüche bleiben unberührt.

Vierter Abschnitt 09
Die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

§ 21 Ernennungsvoraussetzungen 09 16

Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit muss die Befähigung zum Richteramt oder zum höheren Verwaltungsdienst haben und die zur Erfüllung ihrer bzw. seiner Aufgaben erforderliche Fachkunde besitzen. Sie oder er muss bei ihrer bzw. seiner Ernennung das 35. Lebensjahr vollendet haben.

§ 22 Rechtsstellung 09 09a 11 16

(1) Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit steht in einem öffentlich-rechtlichen Amtsverhältnis zur Freien und Hansestadt Hamburg, in das sie bzw. er gemäß Artikel 60a Absatz 3 der Verfassung der Freien und Hansestadt Hamburg berufen wird.

(2) Das Amtsverhältnis beginnt mit der Aushändigung der Ernennungsurkunde durch die Präsidentin oder den Präsidenten der Bürgerschaft. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit leistet vor der Präsidentin oder dem Präsidenten der Bürgerschaft folgenden Eid:

"Ich schwöre, das Grundgesetz für die Bundesrepublik Deutschland, die Verfassung der Freien und Hansestadt Hamburg und alle in der Bundesrepublik Deutschland geltenden Gesetze zu wahren und meine Amtspflichten gewissenhaft zu erfüllen, so wahr mir Gott helfe.

Der Eid kann auch ohne religiöse Beteuerungsformel geleistet werden.

(3) Das Amtsverhältnis endet mit Ablauf der Amtszeit oder durch Entlassung. Die Entlassung wird mit der Zustellung der Entlassungsurkunde wirksam.

(4) Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit darf neben ihrem bzw. seinem Amt kein anderes besoldetes Amt ausüben. Sie oder er darf keine entgeltlichen oder unentgeltlichen Tätigkeiten ausüben, die mit ihrem bzw. seinem Amt nicht vereinbar sind. § 10 Absätze 1 bis 3 und § 11 Absatz 1 des Senatsgesetzes vom 18. Februar 1971 (HmbGVBl. S. 23), zuletzt geändert am 12. November 2014 (HmbGVBl. S. 484), in der jeweils geltenden Fassung, gelten entsprechend. Sie oder er darf kein Gewerbe und keinen Beruf ausüben, gegen Entgelt keine außergerichtlichen Gutachten abgeben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft eines Landes oder des Bundes angehören. Sie oder er hat der Präsidentin oder dem Präsidenten der Bürgerschaft Mitteilung über Geschenke zu machen, die sie bzw. er in Bezug auf das Amt erhält; diese oder dieser entscheidet dann über die Verwendung der Geschenke.

(5) Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist, auch nach Beendigung ihres oder seines Amtsverhältnisses, verpflichtet, über die ihr bzw. ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Sie oder er entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit sie bzw. er über solche Angelegenheiten vor Gericht oder außergerichtlich aussagt oder Erklärungen abgibt; wenn sie oder er nicht mehr im Amt ist, ist die Genehmigung der oder des amtierenden Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erforderlich. Sagt sie oder er als Zeugin oder Zeuge aus und betrifft die Aussage Vorgänge, die dem Kernbereich exekutiver Eigenverantwortung des Senats zuzurechnen sind oder sein könnten, darf sie bzw. er nur im Benehmen mit dem Senat aussagen.

(6) Für den Fall ihrer oder seiner Verhinderung bestimmt die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit eine Beamtin oder einen Beamten ihrer bzw. seiner Behörde zur Vertreterin oder zum Vertreter. Die Vertretungsbefugnis besteht nach dem Ende der Amtszeit der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit bis zur Ernennung einer Amtsnachfolgerin oder eines Amtsnachfolgers fort.

(7) Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit erhält Fürsorge und Schutz wie eine Beamtin oder ein Beamter der Besoldungsgruppe B 4 des Hamburgischen Besoldungsgesetzes vom 26. Januar 2010 (HmbGVBl. S. 23), zuletzt geändert am 22. September 2015 (HmbGVBl. S. 223, 224), in der jeweils geltenden Fassung im Beamtenverhältnis auf Zeit, insbesondere Besoldung, Versorgung, Erholungsurlaub und Beihilfe im Krankheitsfall. Die Inanspruchnahme von Urlaub hat sie oder er ihrer oder seiner Vertretung anzuzeigen.

(8) Der oder dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit wird die zur Aufgabenerfüllung notwendige Personal- und Sachausstattung zur Verfügung gestellt.

§ 23 Aufgaben 09 11 16

(1) Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit überwacht bei den in § 2 Absatz 1 Satz 1 genannten Stellen und bei anderen Stellen, soweit sie sich auf Grund gesetzlicher Vorschriften ihrer bzw. seiner Überwachung unterworfen haben, die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. Die Bürgerschaft, die Gerichte und der Rechnungshof unterliegen der Überwachung durch die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit nur, soweit sie in Verwaltungsangelegenheiten tätig werden; die Einschränkung gilt nicht für Gerichtsvollzieherinnen und Gerichtsvollzieher. Bei den Gerichten und beim Rechnungshof überwacht die bzw. der Hamburgische Datenschutzbeauftragte darüber hinaus, ob die erforderlichen technischen und organisatorischen Maßnahmen getroffen und eingehalten werden.

(2) Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kann Empfehlungen zur Verbesserung des Datenschutzes geben; insbesondere soll sie bzw. er den Senat und die übrigen in § 2 Absatz 1 Satz 1 genannten Stellen in Fragen des Datenschutzes beraten.

(3) Sie oder er erstattet Bürgerschaft und Senat mindestens alle zwei Jahre einen Tätigkeitsbericht. Sie oder er kann sich jederzeit an die Bürgerschaft und den Senat wenden.

(4) Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit soll zu den Auswirkungen der Nutzung neuer Informations- und Kommunikationstechniken auf den Datenschutz Stellung nehmen. Sie bzw. er ist über Planungen neuer Anwendungen zur Nutzung der Informations- und Kommunikationstechnik rechtzeitig zu unterrichten, sofern dabei personenbezogene Daten verarbeitet werden sollen.

(5) Die in Absatz 1 Satz 1 genannten Stellen sind verpflichtet, der bzw. die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit und ihre bzw. seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist dabei insbesondere

  1. Auskunft zu ihren Fragen sowie die Einsicht in alle Unterlagen und Akten zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, namentlich in die gespeicherten Daten und in die Datenverarbeitungsprogramme,
  2. jederzeit Zutritt zu allen Diensträumen zu gewähren.

Gesetzliche Geheimhaltungsvorschriften können einem Auskunfts- oder Einsichtsverlangen nicht entgegengehalten werden.

(6) Absatz 5 Sätze 1 und 2 gilt für das Landesamt für Verfassungsschutz, die Behörden der Staatsanwaltschaft und der Polizei sowie gegenüber Landesfinanzbehörden, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, mit der Maßgabe, dass die Unterstützung nur der bzw. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit selbst und den von ihr bzw. ihm schriftlich damit betrauten Beauftragten zu gewähren ist. Absatz 5 Satz 2 gilt für die genannten Behörden nicht, soweit der Senat im Einzelfall feststellt, dass die Einsicht in Akten die Sicherheit des Bundes oder eines Landes gefährdet.

(7) Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist im Rahmen der ihr oder ihm durch § 24 zugewiesenen Aufgaben zuständig für die Verfolgung und Ahndung von Ordnungswidrigkeiten.

§ 24 Aufsichtsbehörde zur Überwachung nichtöffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen 11 16

Die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist Aufsichtsbehörde nach § 38 des Bundesdatenschutzgesetzes. Auch über diesen Tätigkeitsbereich ist ein Bericht nach § 23 Absatz 3 Satz 1 zu erstatten.

§ 25 Beanstandungen 09

(1) Stellt die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Verstöße gegen dieses Gesetz oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Datenverarbeitung fest, so beanstandet sie bzw. er dies

  1. im Bereich der Verwaltung und der Gerichte der Freien und Hansestadt Hamburg gegenüber dem für die Behörde oder das Gericht verantwortlichen Senatsmitglied, im Bereich der Bezirksverwaltung gegenüber dem für die Aufsichtsbehörde verantwortlichen Senatsmitglied,
  2. im Bereich der der Aufsicht der Freien und Hansestadt Hamburg unterstehenden juristischen Personen des öffentlichen Rechts und deren öffentlich-rechtlich organisierten Einrichtungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ,
  3. im Bereich der Bürgerschaft und des Rechnungshofs gegenüber der jeweiligen Präsidentin bzw. dem jeweiligen Präsidenten

und fordert zur Behebung der Mängel und zur Stellungnahme innerhalb einer von ihr bzw. ihm zu bestimmenden Frist auf. Werden die Mängel nicht fristgemäß behoben, richtet die bzw. der Hamburgische Datenschutzbeauftragte eine weitere Beanstandung in den Fällen des Satzes 1 Nummer 1 an den Senat, in den Fällen des Satzes 1 Nummer 2 an die zuständige Aufsichtsbehörde; im Übrigen gilt Satz 1 entsprechend.

(2) Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen, insbesondere wenn die Mängel von geringer Bedeutung sind, bereits behoben sind oder ihre Behebung sichergestellt ist.

(3) Mit der Beanstandung kann die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden.

(4) Die gemäß Absatz 1 abzugebenden Stellungnahmen sollen auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung getroffen worden sind. Die in Absatz 1 Satz 1 Nummer 2 genannten Stellen leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme zu.

§ 26 Anrufung 09

(1) Jede Person kann sich an der bzw. die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten im Überwachungsbereich nach § 23 Absatz 1 in ihren Rechten verletzt worden zu sein.

(2) Niemand darf wegen der Mitteilung von Tatsachen, die geeignet sind, den Verdacht aufkommen zu lassen, das Hamburgische Datenschutzgesetz oder eine andere Rechtsvorschrift über den Datenschutz sei verletzt worden, gemaßregelt oder benachteiligt werden. Bedienstete der Freien und Hansestadt Hamburg sind nicht verpflichtet, der bzw. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegenüber den Dienstweg einzuhalten.

Fuenfter Abschnitt
Besondere Vorschriften über den Datenschutz

§ 27 Datenverarbeitung zum Zwecke wissenschaftlicher Forschung 09

(1) Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene Daten ohne Einwilligung der Betroffenen für ein bestimmtes Forschungsvorhaben verarbeiten, soweit deren schutzwürdige Interessen wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Verwendung nicht beeinträchtigt werden. Der Einwilligung der Betroffenen bedarf es auch nicht, wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Interessen der Betroffenen erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

(2) Über die Übermittlung entscheidet die Leiterin bzw. der Leiter der übermittelnden Stelle oder die von ihr bzw. ihm bestimmte Mitarbeiterin oder ein entsprechender Mitarbeiter. Die Entscheidung muss die Stelle, der die Daten übermittelt werden, die Art der zu übermittelnden personenbezogenen Daten, den Kreis der Betroffenen und das Forschungsvorhaben bezeichnen; sie ist der bzw. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mitzuteilen.

(3) Die Daten sind, sobald der Forschungszweck es gestattet, zu anonymisieren. Die Merkmale, mit denen ein Bezug auf eine bestimmte natürliche Person wiederhergestellt werden kann, sind gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck dies gestattet.

(4) Die übermittelten personenbezogenen Daten dürfen nur mit Einwilligung der Betroffenen weiter übermittelt oder für einen anderen als den ursprünglichen Zweck verarbeitet werden.

(5) Die wissenschaftliche Forschung betreibenden in § 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene Daten ohne Einwilligung der Betroffenen nur veröffentlichen, wenn dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.

(6) Soweit die Vorschriften dieses Gesetzes auf die Stelle, der die Daten übermittelt werden sollen, keine Anwendung finden, dürfen sie ihr nur übermittelt werden, wenn sie sich verpflichtet, die Vorschriften der Absätze 3 bis 5 einzuhalten, und sich der Überwachung der bzw. des für den Ort der Forschungsstätte zuständigen Datenschutzbeauftragten unterwirft. Befindet sich der Ort der Forschungsstätte außerhalb der Europäischen Union, ist eine Übermittlung nur zulässig, wenn kein Grund zu der Annahme besteht, dass bei der Durchführung des Forschungsvorhabens gegen Inhalt und Zweck eines deutschen Gesetzes verstoßen wird.

(7) Die Absätze 1, 3 und 4 gelten entsprechend bei der Datenverarbeitung zur Vorbereitung oder Überprüfung von Regelungen allgemeiner Art durch eine in § 2 Absatz 1 Satz 1 genannte Stelle.

§ 28 Datenverarbeitung bei Beschäftigungsverhältnissen 09a

(1) Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene Daten ihrer Bewerberinnen und Bewerber, Beschäftigten, früheren Beschäftigten und von deren Hinterbliebenen nur verarbeiten, soweit dies eine Rechtsvorschrift, ein Tarifvertrag, eine allgemeine Regelung der obersten Dienstbehörde, die mit den Spitzenorganisationen der zuständigen Gewerkschaften und Berufsverbände beziehungsweise mit den Berufsverbänden der Richterinnen und Richter verbindlich vereinbart worden ist, oder eine Dienstvereinbarung vorsieht. Soweit derartige Regelungen nicht bestehen, gelten die nachfolgenden Absätze.

(2) Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen, soweit die nachfolgenden Absätze keine besonderen Regelungen enthalten, personenbezogene Daten der in Absatz 1 genannten Personen nur verarbeiten, soweit dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses oder zur Durchführung organisatorischer, personeller oder sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung oder des Personaleinsatzes, erforderlich ist.

(3) Die §§ 85 bis 92 HmbBG sind in der jeweils geltenden Fassung auf diejenigen in Absatz 1 genannten Personen entsprechend anzuwenden, die nicht in den Anwendungsbereich dieser Vorschriften fallen.

(4) Eine Übermittlung der Daten von Beschäftigten an Stellen außerhalb des öffentlichen Bereichs ist abweichend von § 16 Absatz 1 nur zulässig, soweit

  1. die Stelle, der die Daten übermittelt werden sollen, ein überwiegendes rechtliches Interesse darlegt,
  2. Art oder Zielsetzung der Aufgaben, die der oder dem Beschäftigten übertragen sind, die Übermittlung erfordert oder
  3. offensichtlich ist, dass die Übermittlung im Interesse der betroffenen Person liegt, und keine Anhaltspunkte vorliegen, dass diese in Kenntnis des Übermittlungszweckes ihre Einwilligung nicht erteilen würde.

Die Übermittlung an eine künftige Dienstherrin oder Arbeitgeberin oder einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung der betroffenen Person zulässig, es sei denn, dass eine Abordnung oder Versetzung vorbereitet wird, die der Zustimmung der oder des Beschäftigten nicht bedarf. Absatz 3 in Verbindung mit § 89 HmbBG bleibt unberührt.

(5) Verlangt eine in § 2 Absatz 1 Satz 1 genannte Stelle medizinische oder psychologische Untersuchungen oder Tests (Untersuchungen), so hat sie Anlass und Zweck der Untersuchung anzugeben sowie erforderlichenfalls auf die der betroffenen Person obliegenden Aufgaben hinzuweisen. Sie darf von der untersuchenden Stelle nur die Mitteilung der Untersuchungsergebnisse sowie derjenigen festgestellten Risikofaktoren verlangen, deren Kenntnis für ihre Entscheidung in personellen Angelegenheiten der betroffenen Person erforderlich ist; darüber hinausgehende Daten darf sie nur verlangen, soweit auch deren Kenntnis für ihre Entscheidung erforderlich ist. Führt eine in § 2 Absatz 1 Satz 1 genannte Stelle die Untersuchungen durch, so gilt für die Weitergabe der erhobenen Daten Satz 2 entsprechend. Im Übrigen ist eine Weiterverarbeitung der bei den Untersuchungen erhobenen Daten ohne schriftliche Einwilligung der betroffenen Person nur zu dem Zweck zulässig, zu dem sie erhoben worden sind.

(6) Personenbezogene Daten, die vor der Eingehung eines Beschäftigungsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Beschäftigungsverhältnis nicht zustande kommt. Dies gilt nicht, soweit überwiegende berechtigte Interessen der Daten verarbeitenden Stelle der Löschung entgegenstehen oder die betroffene Person in die weitere Speicherung einwilligt. Nach Beendigung eines Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, soweit diese Daten nicht mehr benötigt werden, es sei denn, dass Rechtsvorschriften entgegenstehen. § 19 Absatz 4 findet Anwendung.

(7) Soweit Daten der Beschäftigten im Rahmen der technischen und organisatorischen Maßnahmen nach § 8 Absatz 2 gespeichert werden, dürfen sie nicht zu anderen Zwecken, insbesondere nicht zu Zwecken der Verhaltens- oder Leistungskontrolle, genutzt werden.

(8) § 27 findet Anwendung.

§ 29 Fernmessen und Fernwirken

(1) In § 2 Absatz 1 Satz 1 genannte Stellen dürfen ferngesteuerte Messungen oder Beobachtungen (Fernmessdienste) in Wohn- oder Geschäftsräumen Privater nur vornehmen, wenn die Betroffenen zuvor über den Verwendungszweck sowie über Art, Umfang und Zeitraum des Einsatzes unterrichtet worden sind und nach der Unterrichtung schriftlich eingewilligt haben. Entsprechendes gilt, soweit eine Übertragungseinrichtung dazu dienen soll, in Wohn- oder Geschäftsräumen Privater andere als die in Satz 1 genannten Wirkungen auszulösen (Fernwirkdienste). Die Einrichtung von Fernmess- und Fernwirkdiensten ist nur zulässig, wenn die Betroffenen erkennen können, wann ein Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist. Die Betroffenen können ihre Einwilligung jederzeit widerrufen, soweit dies mit der Zweckbestimmung des Dienstes vereinbar ist. Das Abschalten eines Dienstes gilt im Zweifel als Widerruf der Einwilligung.

(2) Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses dürfen nicht davon abhängig gemacht werden, dass die Betroffenen nach Absatz 1 Satz 1 oder Satz 2 einwilligen. Verweigern oder widerrufen sie ihre Einwilligung, so dürfen ihnen keine Nachteile entstehen, die über die nachweisbaren Mehrkosten einer anderen Art der Datenerhebung hinausgehen.

(3) Soweit im Rahmen von Fernmess- und Fernwirkdiensten personenbezogene Daten erhoben werden, dürfen diese nur zu den vereinbarten Zwecken verarbeitet werden. Sie sind zu löschen, sobald sie zur Erfüllung dieser Zwecke nicht mehr erforderlich sind.

(4) Die Absätze 1 und 2 gelten nicht für Fernmess- und Fernwirkdienste der Versorgungsunternehmen und für entsprechende Dienste von Wohnungsunternehmen.

§ 30 Videobeobachtung und Videoaufzeichnung (Videoüberwachung) 10

(1) Die Beobachtung öffentlich zugänglicher und besonders gefährdeter nicht öffentlich zugänglicher Bereiche innerhalb und außerhalb von Dienstgebäuden mit optischelektronischen Einrichtungen (Videobeobachtung) ist nur zulässig, soweit sie in Ausübung des Hausrechts der verantwortlichen Stelle

  1. zum Schutz von Personen und Sachen oder
  2. zur Überwachung von Zugangsberechtigungen erforderlich ist und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

(2) Die nach Absatz 1 erhobenen Daten dürfen nur gespeichert werden (Videoaufzeichnung), wenn Tatsachen die Annahme rechtfertigen, dass mit einer Verletzung der Rechtsgüter nach Absatz 1 künftig zu rechnen ist und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Eine weitere Verarbeitung der erhobenen Daten ist zulässig für den Zweck, für den sie erhoben wurden; für einen anderen Zweck nur, soweit dies zur Verfolgung von Straftaten oder zur Abwehr von Gefahren für Leib, Leben oder Freiheit einer Person oder für bedeutende Sach- oder Vermögenswerte erforderlich ist.

(3) Videobeobachtung und Videoaufzeichnung sowie die verantwortliche Stelle sind durch geeignete Maßnahmen für die Betroffenen erkennbar zu machen.

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über die Tatsache der Speicherung und gegebenenfalls der weiteren Verarbeitung in entsprechender Anwendung des § 12a zu benachrichtigen.

(5) Aufzeichnungen einschließlich Kopien und daraus gefertigter Unterlagen sind spätestens nach einer Woche zu löschen oder zu vernichten, soweit sie zum Erreichen des verfolgten Zwecks nicht mehr zwingend erforderlich sind. Sie sind unverzüglich zu löschen, soweit schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

(6) § 8 Absatz 1 findet Anwendung. Wird Videoüberwachung eingesetzt, sind technische und organisatorische Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass

  1. nur Befugte die durch Videoüberwachung erhobenen Daten zur Kenntnis nehmen können (Vertraulichkeit),
  2. die durch Videoüberwachung erhobenen Daten bei der Verarbeitung unverfälscht, vollständig und widerspruchsfrei bleiben (Integrität),
  3. die durch Videoüberwachung erhobenen Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
  4. die durch Videoüberwachung erhobenen Daten ihrem Ursprung zugeordnet werden können (Authentizität),
  5. festgestellt werden kann, wer wann welche durch Videoüberwachung erhobenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit).

(7) Die Daten verarbeitende Stelle legt in einer laufend auf dem neusten Stand zu haltenden Dokumentation fest:

  1. den Namen und die Anschrift der Daten verarbeitenden Stelle,
  2. den Zweck der Videoüberwachung,
  3. die Rechtsgrundlage der Videoüberwachung,
  4. den Kreis der Betroffenen,
  5. den Personenkreis, der Zugang zu den durch Videoüberwachung erhobenen Daten erhält,
  6. die Abwägung der mit der Videoüberwachung verfolgten Ziele mit den mit der Videoüberwachung konkret verbundenen Gefahren für die Rechte der Betroffenen,
  7. die technischen und organisatorischen Maßnahmen nach Absatz 6,
  8. die Art der Geräte, ihr Standort und den räumlichen Überwachungsbereich,
  9. die Art der Überwachung,
  10. die Dauer der Überwachung.

Die Daten verarbeitende Stelle kann die Angaben nach Satz 1 für mehrere gleichartige Videoüberwachungen in einer Dokumentation zusammenfassen. Die behördlichen Datenschutzbeauftragten führen die Dokumentation und halten sie zur Einsicht bereit. Daten verarbeitende Stellen, die keine behördlichen Datenschutzbeauftragten bestellt haben, übersenden eine Ausfertigung ihrer Dokumentationen und deren Änderungen unverzüglich, jedenfalls aber vor der Einführung oder wesentlichen Änderung einer Videoüberwachung an die Hamburgische Beauftragte bzw. den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Die Dokumentationen können bei der Daten verarbeitenden Stelle von jeder Person eingesehen werden; für die Angaben nach Satz 1 Nummern 7 und 8 gilt dies nur, soweit die Sicherheit der Videoüberwachung nicht beeinträchtigt wird.

(8) Die Videoüberwachung ist mindestens alle zwei Jahre auf ihre weitere Erforderlichkeit zu überprüfen.

(9) Beim Einsatz von Videokamera-Attrappen finden die Absätze 1, 3 und 8 entsprechende Anwendung.

§ 31 Datenverarbeitung für Planungszwecke 10

(1) Für Zwecke der öffentlichen Planung können personenbezogene Daten verarbeitet werden, wenn der Planungszweck auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann und das öffentliche Interesse an der Planung die schutzwürdigen Interessen der Betroffenen erheblich überwiegt.

(2) Die zu Planungszwecken gespeicherten personenbezogenen Daten dürfen nicht für andere Zwecke genutzt werden. Sobald es der Zweck der Planungsaufgabe erlaubt, sind die zu diesem Zweck verarbeiteten personenbezogenen Daten zu anonymisieren. Eine Übermittlung von Daten, aus denen Rückschlüsse auf Einzelpersonen gezogen werden können, ist unzulässig.

(3) Soweit Daten für längere Zeit gespeichert werden, ist durch geeignete Maßnahmen sicherzustellen, dass sie innerhalb der Daten verarbeitenden Stelle getrennt von der Erfüllung anderer Verwaltungsaufgaben verarbeitet werden.

Sechster Abschnitt
Straf- und Bußgeldvorschriften; Gebührenvorschrift; In-Kraft-Treten

§ 32 Straftaten

(1) Wer gegen Entgelt oder in der Absicht, sich oder eine andere bzw. einen anderen zu bereichern oder eine andere bzw. einen anderen zu schädigen, personenbezogene Daten, die nicht offenkundig sind,

  1. unbefugt erhebt, speichert, löscht, sperrt, verändert, übermittelt oder nutzt oder
  2. durch Vortäuschung falscher Tatsachen an sich oder eine andere bzw. einen anderen übermitteln lässt,

wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

(3) Die Tat wird nur auf Antrag verfolgt.

(4) Die Absätze 1 bis 3 finden nur Anwendung, soweit die Tat nicht nach anderen Vorschriften mit Strafe bedroht ist.

§ 33 Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer personenbezogene Daten, die nicht offenkundig sind,

  1. unbefugt erhebt, speichert, löscht, sperrt, verändert, übermittelt oder nutzt oder
  2. durch Vortäuschung falscher Tatsachen an sich oder eine andere bzw. einen anderen übermitteln lässt.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfundzwanzigtausend Euro geahndet werden.

§ 34 Verwaltungsgebühren 16

(1) Für Amtshandlungen, die der Kontrolle nicht-öffentlicher Stellen durch die Aufsichtsbehörde nach § 38 des Bundesdatenschutzgesetzes dienen, werden Gebühren, Zinsen und Auslagen erhoben. Der Senat wird ermächtigt, die gebührenpflichtigen Tatbestände und die Gebührensätze im Einvernehmen mit der oder dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheitdurch Rechtsverordnung festzulegen.

(2) Zur Zahlung der Gebühren, Zinsen und Auslagen ist die kontrollierte Stelle verpflichtet. Wird die Kontrolle weder von der Aufsichtsbehörde noch von der oder dem Datenschutzbeauftragten der kontrollierten Stelle veranlasst, gilt dies jedoch nur, wenn Mängel festgestellt werden. Werden im Fall des Satzes 2 keine Mängel festgestellt, sind die Gebühren, Zinsen und Auslagen von denjenigen zu tragen, die die Kontrolle veranlasst haben, soweit dies der Billigkeit entspricht.

§ 35 In-Kraft-Treten

(1) Dieses Gesetz tritt am 1. August 1990 in Kraft. Abweichend davon tritt § 9 Absätze 3 und 4 am 1. Januar 1991 in Kraft.

(2) Zum gleichen Zeitpunkt tritt das Hamburgische Datenschutzgesetz vom 31. März 1981 (HmbGVBl. S. 71) in der geltenden Fassung außer Kraft.

ENDE

umwelt-online - Demo-Version


(Stand: 04.09.2023)

Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)

(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)

Preise & Bestellung

Die Zugangskennung wird kurzfristig übermittelt

? Fragen ?
Abonnentenzugang/Volltextversion