Hessisches Datenschutzgesetz

Basisdaten
Titel: Hessisches Datenschutzgesetz
Früherer Titel: Datenschutzgesetz
Abkürzung: HDSG
Art: Landesgesetz
Geltungsbereich: Hessen
Rechtsmaterie: Datenschutzrecht, Verwaltungsrecht
Fundstellennachweis: GVBl. I 2016, 121 (GVBl. II 300-28)
Ursprüngliche Fassung vom: 7. Oktober 1970
(GVBl. I S. 625)
Inkrafttreten am: 13. Oktober 1970
Neubekanntmachung vom: 7. Januar 1999
(GVBl. I S. 98)
Letzte Neufassung vom: 11. November 1986
(GVBl. I S. 309)
Inkrafttreten der
Neufassung am:
1. Januar 1987
Letzte Änderung durch: Art. 1 G vom 20. Mai 2011
(GVBl. I S. 208)
Inkrafttreten der
letzten Änderung:
1. Juli 2011
(Art. 3 G vom 20. Mai 2011)
Außerkrafttreten: 1. Januar 2019
(§ 44 Satz 2 HDSG)
Weblink: Text des Gesetzes
Bitte den Hinweis zur geltenden Gesetzesfassung beachten.

Das Hessische Datenschutzgesetz ist das Datenschutzgesetz für die öffentliche Verwaltung des Landes Hessen. Es trat 1970 in Kraft und ist damit das erste und älteste formelle Datenschutzgesetz der Welt.[1]

Gesetzeszweck

Das Gesetz regelt, wann die öffentliche Verwaltung des Landes Hessen personenbezogene Daten verarbeiten darf und welche Vorgaben sie dabei beachten muss. Durch diese Reglementierung der Datenverarbeitung soll sichergestellt werden, dass die Personen, deren Daten verarbeitet werden, nicht in ihrem Recht auf informationelle Selbstbestimmung verletzt werden (§ 1 Abs. 1 Nr. 1).

Außerdem soll durch das Gesetz „das auf dem Grundsatz der Gewaltenteilung beruhende verfassungsmäßige Gefüge des Staates […] vor einer Gefährdung infolge der automatisierten Datenverarbeitung“ bewahrt werden (§ 1 Abs. 1 Nr. 2). Dieses – für ein Datenschutzgesetz ungewöhnliche – Ziel soll durch Regelungen erreicht werden, die das Informationsgefälle der Legislative gegenüber der Exekutive nivellieren.

Geltungsbereich

Dieses Gesetz gilt gemäß § 3 Abs. 1 für Behörden und sonstige öffentliche Stellen des Landes Hessen und für die hessische Kommunalverwaltung. Es gilt auch für die sonstigen der Aufsicht des Landes Hessen unterstehenden juristischen Personen des öffentlichen Rechts, z. B. die Johann Wolfgang Goethe-Universität Frankfurt am Main, und für deren Vereinigungen. Unternehmen der Privatwirtschaft sind nur dann an das Hessische Datenschutzgesetz gebunden, wenn und soweit sie hoheitliche Aufgaben unter Aufsicht der hessischen Behörden wahrnehmen, z. B. Schornsteinfeger oder wenn sie Daten im Auftrag hoheitlicher Stellen verarbeiten (§ 4).

Für den Hessischen Rundfunk und für öffentlich-rechtliche Unternehmen, die am Wettbewerb teilnehmen, gelten gemäß § 3 Abs. 5 und 6 nur bestimmte Teile des Gesetzes, ebenso für den Hessischen Landtag (§ 39).

Inhalt

Das Hessische Datenschutzgesetz ist in fünf Teile gegliedert:

  • Erster Teil: Allgemeiner Datenschutz (§§ 1–20)
  • Zweiter Teil: Hessischer Datenschutzbeauftragter (§§ 21–31)
  • Dritter Teil: Besonderer Datenschutz (§§ 32–37)
  • Vierter Teil: Rechte des Landtags und der kommunalen Vertretungsorgane (§§ 38, 39)
  • Fünfter Teil: Schlussvorschriften (§§ 40–44)

Erster Teil: Allgemeiner Datenschutz

Der Erste Teil des Hessischen Datenschutzgesetzes ist in drei Abschnitte untergliedert. Der Erste Abschnitt (§§ 1 bis 10) enthält Grundsatzregelungen.

In § 1 ist der Gesetzeszweck genannt.

In § 2 werden grundlegende Begriffe des Gesetzes definiert, u. a. die Begriffe „personenbezogene Daten“, „datenverarbeitende Stelle“, „Dritter“, „Empfänger“, „Akte“ und „Datei“. § 2 Abs. 2 stellt klar, was unter dem Begriff der „Datenverarbeitung“ zu verstehen ist, nämlich „jede Verwendung gespeicherter oder zur Speicherung vorgesehener personenbezogener Daten“. Der Datenverarbeitungsbegriff des HDSG umfasst also auch die erstmalige Erhebung von personenbezogenen Daten. Darin unterscheidet er sich von der Datenverarbeitung im Sinne des Bundesdatenschutzgesetzes, die den Vorgang der Datenerhebung nicht umfasst.

In § 3 wird der Anwendungsbereich bestimmt.

§ 4 regelt die Datenverarbeitung im Auftrag. Ist der Auftragnehmer eine Stelle, die nicht dem Geltungsbereich des HDSG unterfällt, so muss vertraglich sichergestellt werden, dass der Auftragnehmer die Bestimmungen des HDSG befolgt und sich der Kontrolle durch den Hessischen Datenschutzbeauftragten unterwirft. Dadurch soll verhindert werden, dass der Datenschutz durch eine Verlagerung der Datenverarbeitung ausgehebelt wird.

§ 5 legt fest, dass jede datenverarbeitende Stelle einen Datenschutzbeauftragten zu bestellen hat, und bestimmt dessen Aufgabenbereich. Die Pflicht zur Führung von Verfahrensverzeichnissen ist in § 6 festgelegt. § 7 Abs. 1 regelt, in welchen Fällen überhaupt Daten verarbeitet werden dürfen, nämlich dann, wenn das Hessische Datenschutzgesetz oder eine diesem vorgehende Rechtsvorschrift dies vorsieht, zulässt oder zwingend voraussetzt oder wenn der Betroffene eingewilligt hat. § 7 Abs. 2 enthält Details zu den Voraussetzungen einer wirksamen Einwilligung. § 8 zählt auf, welche Rechte die Personen haben, deren Daten verarbeitet werden. Das Datengeheimnis ist in § 9 statuiert. § 10 verpflichtet die datenverarbeitenden Stellen, bestimmte organisatorische und technische Maßnahmen zu ergreifen, um den Datenschutz und die Datensicherheit zu gewährleisten.

Der Zweite Abschnitt des Ersten Teils (§§ 11–17) enthält die Rechtsgrundlagen der Datenverarbeitung. Gemäß § 11 Abs. 1 S. 1 ist die Verarbeitung personenbezogener Daten nur zulässig, „wenn sie zur rechtmäßigen Erfüllung der in der Zuständigkeit der datenverarbeitenden Stelle liegenden Aufgaben und für den jeweils damit verbundenen Zweck erforderlich ist“. Wie personenbezogene Daten zu erheben sind, ist in § 12 geregelt. § 13 verbietet es grundsätzlich, Daten zu anderen Zwecken als ursprünglich vorgesehen zu verwenden (sog. Zweckbindung). Die §§ 14, 16–17 regeln die Übermittlung von Daten an anderen Stellen und Personen, § 15 die Zulässigkeit von so genannten gemeinsamen Verfahren. Dies sind automatisierten Verfahren, die mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten ermöglichen, also insbesondere zentralisierte Datenbanken.

Der Dritte Abschnitt (§§ 18–20) präzisiert die bereits in § 8 genannten Betroffenenrechte auf Auskunft und Benachrichtigung (§ 18), Datenberichtigung, -sperrung und -löschung (§ 19) und auf Schadensersatz (§ 20).

Zweiter Teil: Hessischer Datenschutzbeauftragter

Im Zweiten Teil des Gesetzes (§§ 21–31) sind die Rechtsstellung, die Aufgaben und Befugnisse sowie die Pflichten des Hessischen Datenschutzbeauftragten geregelt. Gemäß § 22 ist der Datenschutzbeauftragte „in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen“. Er wird gemäß § 21 Abs. 1 vom Landtag gewählt.

Hauptaufgabe des Hessischen Datenschutzbeauftragte ist es gemäß § 24 Abs. 1 S. 1, die Einhaltung des Datenschutzes bei den datenverarbeitenden Stellen zu überwachen. Dabei liegt der Schwerpunkt auf einer Beratung der Stellen. Führt die Beratung nicht zum Erfolg, so kann der Hessische Datenschutzbeauftragte festgestellte Datenschutzverstöße gemäß § 27 beanstanden, d. h. der obersten Landesbehörde oder der zuständigen Aufsichtsbehörde melden. Schwerwiegende Datenschutzmängel stellt der Datenschutzbeauftragte in seinem Jahresbericht dar, den er gemäß § 30 Abs. 1 dem Landtag vorzulegen hat. Die Landesregierung hat dazu eine Stellungnahme abzugeben (§ 30 Abs. 2).

Die für seine Tätigkeit erforderliche Personal- und Sachausstattung ist dem Hessischen Datenschutzbeauftragten durch den Präsidenten des Landtages zur Verfügung zu stellen (§ 31 Abs. 1). Auf seinen Vorschlag ernennt der Präsident des Landtages die Beamten (§ 31 Abs. 2 Satz 1), ihr Dienstvorgesetzter ist aber der Hessische Datenschutzbeauftragte, an dessen Weisungen sie ausschließlich gebunden sind. Dies gilt analog für alle übrigen Mitarbeiter (§ 31 Abs. 2 Satz 2 und 3).

Dritter Teil: Besonderer Datenschutz

Der Dritte Teil des Gesetzes (§§ 32–37) enthält Sondervorschriften, die den Vorschriften des Ersten Teils vorgehen. Einige von ihnen (§§ 32, 33 und 35) erlauben bestimmte Datenverarbeitungen unter erleichterten Voraussetzungen, andere (§§ 34 und 36) legen für besonders datenschutzkritische Verarbeitungen einen erhöhten Maßstab an.

Unter erleichterten Umständen dürfen Daten für Planungszwecke und für wissenschaftliche Zwecke verarbeitet werden (§§ 32, 33). Die Übermittlung von Daten an öffentlich-rechtliche Religionsgesellschaften ist durch § 35 privilegiert.

Verschärfte Regelungen gelten hingegen für den Datenschutz bei Dienst- und Arbeitsverhältnissen (§ 34). Diese Regelungen schützen ausschließlich Beschäftigte der in § 3 Abs. 1 genannten Stellen, also insbesondere Landesbedienstete. § 36 bestimmt, dass ferngesteuerte Messungen und Fernwirkungen nur mit Zustimmung der davon betroffenen Person zulässig sind.

§ 37 regelt die Datenverarbeitung des Hessischen Rundfunks zu journalistisch-redaktionellen Zwecken und betrifft unter anderen den Umgang mit Gegendarstellungen.

Vierter Teil: Rechte des Landtags und der kommunalen Vertretungsorgane

Der Vierte Teil besteht aus den §§ 38 und 39. Dies sind Sondervorschriften für den Hessischen Landtag und bestimmte kommunale Organe.

§ 38 Abs. 1 gewährt dem Landtag, dem Landtagspräsidenten und den im Landtag vertretenen Fraktionen umfassende Auskunftsrechte gegenüber Landesbehörden und staatlichen bzw. kommunalen Rechenzentren, z. B. gegenüber der Hessischen Zentrale für Datenverarbeitung. Die Auskunftsrechte beziehen sich nicht auf einzelne personenbezogene Daten, sondern auf Informationen, die durch Auswertung dieser Daten gewonnen werden. Dadurch soll ein mögliches Informationsgefälle zwischen hessischen Behörden einerseits und dem hessischen Gesetzgeber andererseits nivelliert werden. Damit der Landtag überhaupt in die Lage versetzt wird, sein Auskunftsrecht sinnvoll auszuüben, kann er von der Landesregierung verlangen, dass diese ihn über die existierenden Datenverarbeitungsverfahren und Datenbanken informiert (§ 38 Abs. 2). § 38 Abs. 3 weitet das Auskunftsrecht auf hessische Gemeindevertretungen und Kreistage sowie die dort vertretenen Fraktionen aus.

Für den Landtag gilt das Hessische Datenschutzgesetz nur teilweise, um seiner besonderen verfassungsrechtlichen Stellung gerecht zu werden: Die Verwaltung des Landtages ist (bis auf drei Vorschriften) an das HDSG gebunden (§ 39 Abs. 1 Satz 1), in seiner Eigenschaft als Verfassungsorgan hat er sich selbst eine Datenschutzordnung für die Abgeordneten, die Fraktionen und deren Mitarbeiter zu geben (§ 39 Abs. 1 Satz 2 und 3).

Fünfter Teil: Schlussvorschriften

Der Fünfte Teil des Gesetzes (§§ 40–44) stellt in § 40 bestimmte rechtswidrige Datenverarbeitungen unter Strafe. § 41 definiert Ordnungswidrigkeiten. § 42 enthält eine Übergangsregelung für alte Akten, die unrichtige oder rechtswidrig gespeicherte Daten enthalten. Die Daten müssen nur dann aus den Akten korrigiert oder getilgt werden, wenn die „speichernde Stelle die Voraussetzungen für die Berichtigung, Löschung oder Sperrung bei der Erfüllung ihrer laufenden Aufgaben feststellt“. Durch diese Vorschrift wird klargestellt, dass die datenverarbeitenden Stelle nicht verpflichtet sind, ihre Altaktenbestände auf mögliche unrichtige Daten zu untersuchen.

Durch § 43 wurden drei Gesetze aufgehoben, nämlich das Hessische Datenschutzgesetz vom 31. Januar 1978 (GVBl. I S. 96), die Hessische Verordnung über die Veröffentlichung der Angaben über gespeicherte personenbezogene Daten vom 1. November 1978 (GVBl. I S. 553) und die Hessische Verordnung über die vom Hessischen Datenschutzbeauftragten zu führenden Dateienregister vom 8. Dezember 1978 (GVBl. I S. 682). § 44 regelt das Inkrafttreten und das Außerkrafttreten des Gesetzes.

Geschichte

Das Datenschutzgesetz des Landes Hessen trat am 13. Oktober 1970 in Kraft, verfasst wurde es von Spiros Simitis, der seither auch als „Vater des Datenschutzes“ bezeichnet wird.[2] Den Auftrag dazu hatte der seinerzeitige hessische Ministerpräsident Georg-August Zinn gegeben, inspiriert durch einen Leitartikel von Hanno Kühnert in der Frankfurter Allgemeinen Zeitung über die „Tücken der Computer“ am 10. Juni 1969.[3] Noch am selben Tage wurde Willi Birkelbach, seinerzeit Chef der hessischen Staatskanzlei und später der erste Datenschutzbeauftragte Hessens, mit der Ausarbeitung betraut.[4]

Das Gesetz war das erste seiner Art und setzte den Maßstab für alle später beschlossenen Datenschutzgesetze des Bundes und der Länder. Ministerpräsident Albert Osswald erklärte anlässlich der Verabschiedung des Gesetzes, die Orwellsche Vision des allwissenden Staates werde in Hessen nicht Wirklichkeit werden.[5] Kennzeichnend für das Datenschutzgesetz 1970 waren die Überwachung des Datenschutzes durch eine unabhängige Institution – den Landesdatenschutzbeauftragten – und die Festlegung von organisatorischen, personellen und technischen Datenschutzmaßnahmen.[6] Damit war das hessische Gesetz Vorbild sowohl für das 1977 erlassene Bundesdatenschutzgesetz als auch für die Datenschutzgesetze der Länder.

Dem Gesetz vom 13. Oktober 1970 fehlten hingegen Regelungen, die nach heutigem Verständnis unverzichtbar für den Datenschutz sind. Es erlaubte eine Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage und ohne Einwilligung der betroffenen Personen. Daten durften auch dann erhoben und verarbeitet werden, wenn dies für die Aufgabenerfüllung der datenverarbeitenden Stelle nicht zwingend erforderlich war. Zudem unterlagen die Daten keinerlei Zweckbindung. Diese Situation hatte man 1970 nicht als problematisch angesehen. Erst 13 Jahre nach Inkrafttreten des Datenschutzgesetzes stellte das Bundesverfassungsgericht im Volkszählungsurteil fest, dass in das Recht auf informationelle Selbstbestimmung nur auf gesetzlicher Grundlage eingegriffen werden darf,[7] dass Daten vor einer Zweckentfremdung geschützt sein müssen[8] und dass nur die Daten erhoben und verarbeitet werden dürfen, die für den gesetzlich zugelassenen Zweck zwingend erforderlich sind.[9] Diesen verfassungsrechtlichen Vorgaben genügte das Gesetz vom 13. Oktober 1970 nicht. Nach heutigen Maßstäben wäre es deshalb vermutlich verfassungswidrig.

Im Rahmen der Diskussion um das Bundesdatenschutzgesetz gelangte der hessische Gesetzgeber zu der Auffassung, dass das Datenschutzgesetz reformbedürftig war. Das Gesetz vom 13. Oktober 1970 wurde daher aufgehoben und durch das Hessische Datenschutzgesetz vom 31. Januar 1978 (GVBl. I S. 96) ersetzt. Eine wesentliche Neuerung bestand darin, die Verarbeitung von personenbezogenen Daten unter den Vorbehalt des Gesetzes zu stellen bzw. von der Einwilligung des Betroffenen abhängig zu machen.

Die zweite Novellierung erfolgte durch das Gesetz vom 11. November 1986 (GVBl. I S. 309) zum 1. Januar 1987. Sie stand unter dem Eindruck des Volkszählungsurteils und der damit verbundenen Notwendigkeit einer Reform des bestehenden Gesetzes. Hessen setzt jedoch nicht nur die Vorgaben des Bundesverfassungsgerichts zum Schutz des Rechts auf informationelle Selbstbestimmung um, sondern traf auch als erstes Bundesland eine Regelung zum Arbeitnehmerdatenschutz. Der damalige Hessische Datenschutzbeauftragte Spiros Simitis bescheinigte dem Gesetz, „weit über die Grenzen der Bundesrepublik Deutschland hinaus als der wohl wichtigste Beitrag zur Fortentwicklung des Datenschutzes“ zu gelten.[10]

Im Jahr 1995 erließ die Europäische Gemeinschaft die Richtlinie 95/46/EG (Datenschutzrichtlinie). Die EG-Mitgliedstaaten waren verpflichtet, die Ziele der Richtlinie binnen drei Jahren in nationales Recht umzusetzen. In Hessen geschah dies durch das Dritte Gesetz zur Änderung des Hessischen Datenschutzgesetzes vom 5. November 1998 (GVBl. I S. 421). Die geänderte Fassung des Hessischen Datenschutzgesetzes wurde im Januar 1999 neu bekannt gemacht. Sie gilt im Wesentlichen bis heute.

Literatur

Grundlegend

  • Hans-Hermann Schild, Michael Ronellenfitsch u. a.: Hessisches Datenschutzgesetz. Kommentar. Kommunal- und Schul-Verlag. Wiesbaden 2009, ISBN 978-3-88061-810-7.

Zur Novellierung 1987

  • Gerhard Fuckner: Das neue Hessische Datenschutzgesetz. In: CR 1988, S. 144–147.
  • Spiros Simitis, Stefan Walz: Das neue Hessische Datenschutzgesetz. In: RDV 1987, S. 157–169.
  • H.-A. Lennartz: Neues Datenschutzrecht in Hessen. In: RDV 1987, S. 74–78.

Zur Novellierung 1999

  • Hans-Hermann Schild: Hessisches Datenschutzgesetz novelliert. JurPC Web-Dok. 45/1999.
  • Hans-Hermann Schild: Das neue Hessische Datenschutzgesetz. In: RDV 1999, S. 52–60.

Einzelnachweise

  1. Alexander Genz: Datenschutz in Europa und den USA. Deutscher Universitäts-Verlag. Wiesbaden 2004. ISBN 3-8244-2185-2. S. 9.
  2. Anne Hardy: Spiros Simitis: „Es geht um Eure Daten!“, idw online, abgerufen am 8. Oktober 2020
  3. Monika Dittrich: Eine Idee wird 50: Wie in Hessen der Datenschutz erfunden wurde, Deutschlandfunk, abgerufen am 8. Oktober 2020
  4. Netzpolitik.org (Hrsg.): Spiros Simitis: „Man spielt nicht mehr mit dem Datenschutz!“, netzpolitik.org, abgerufen am 8. Oktober 2020
  5. EDV im Odenwald. In: Der Spiegel 20/1971, S. 88.
  6. Hessischer Datenschutzbeauftragter: Dritter Tätigkeitsbericht. Landtags-Drucksache 7/5146 vom 1. April 1974. S. 9.
  7. Bundesverfassungsgericht, Urteil vom 15. Dezember 1983, 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfGE 65, 1 (44). (Memento vom 29. März 2010 im Internet Archive)
  8. BVerfGE 65, 1 (46).
  9. BVerfGE 65, 1 (46).
  10. Hessischer Datenschutzbeauftragter: Sechzehnter Tätigkeitsbericht. Landtags-Drucksache 12/1742 vom 26. Februar 1988. S. 8.