Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Allgemeines, Anlagentechnik, Individualrecht |
HmbDSG - Hamburgisches Datenschutzgesetz
- Hamburg -
Vom 5. Juli 1990
(HmbGVBl. S. 133, 165, 226; 18.7, 2001 S. 216; 18.11.2003 S. 537 03; 17.02.2009 S. 29 09; 15.12.2009 S. 405 09a; 21.09.2010 S. 545 10; 21.06.2011 S. 255 11; 05.04.2013 S. 148; 20.12.2016 S. 570 16; 28.05.2018 S. 145aufgehoben)
Der Senat verkündet das nachstehende von der Bürgerschaft beschlossene Gesetz: Inhaltsübersicht
Erster Abschnitt
Allgemeine Vorschriften
§ 1 Aufgabe des Datenschutzes
Dieses Gesetz regelt die Verarbeitung personenbezogener Daten durch öffentliche Stellen, um das Recht einer jeden Person zu schützen, selbst über die Preisgabe und Verwendung ihrer Daten zu bestimmen, soweit keine Einschränkungen in diesem Gesetz oder in anderen Rechtsvorschriften zugelassen sind.
§ 2 Anwendungsbereich
(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch folgende öffentliche Stellen:
Für juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, an denen die Freie und Hansestadt Hamburg oder eine ihrer Aufsicht unterstehende juristische Person des öffentlichen Rechts beteiligt ist, gelten nur die auf nichtöffentliche Stellen anzuwendenden Vorschriften des Bundesdatenschutzgesetzes in der jeweils geltenden Fassung, wenn sie keine öffentlichen Stellen des Bundes gemäß § 2 Absatz 3 des Bundesdatenschutzgesetzes sind.
(2) Soweit die in Absatz 1 Satz 1 genannten Stellen als Unternehmen am Wettbewerb teilnehmen, gelten von den Vorschriften dieses Gesetzes nur die §§ 10, 28, 29 und der Vierte Abschnitt. Im Übrigen sind die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme des § 38 in der jeweils geltenden Fassung anzuwenden.
(3) Absatz 2 gilt nicht für die Hamburgische Investitions- und Förderbank.
(4) Für die Ausübung des Gnadenrechts findet dieses Gesetz keine Anwendung.
(5) Auf die nicht-automatisierte Verarbeitung personenbezogener Daten außerhalb von Dateien
finden § 5, § 6 Absatz 1 Nummern 1 bis 9 sowie die §§ 12 bis 19 keine Anwendung. Satz 1 Nummer 1 gilt nicht für die Tätigkeit der Gerichtsvollzieherinnen und Gerichtsvollzieher.
(6) Dieses Gesetz gilt nicht für personenbezogene Daten, solange sie in allgemein zugänglichen Quellen gespeichert sind, sowie für Daten von Betroffenen, die diese zur Veröffentlichung bestimmt haben.
(7) Soweit besondere Rechtsvorschriften auf die Verarbeitung personenbezogener Daten anzuwenden sind (Rechtsvorschriften über den Datenschutz), gehen sie den Vorschriften dieses Gesetzes vor.
§ 3 Datenverarbeitung im Auftrag 09
(1) Die Vorschriften dieses Gesetzes gelten für die in § 2 Absatz 1 Satz 1 genannten Stellen auch insoweit, als personenbezogene Daten in deren Auftrag durch andere Stellen verarbeitet werden. In diesen Fällen ist die auftragnehmende Stelle unter besonderer Berücksichtigung der Eignung der von ihr getroffenen technischen und organisatorischen Maßnahmen ( § 8) sorgfältig auszuwählen. Bei Erteilung des Auftrags sind, falls erforderlich, ergänzende technische und organisatorische Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen. Die auftragnehmenden Stellen sind zu verpflichten, die Daten nur zu dem Zweck zu verarbeiten, zu dem sie ihnen überlassen worden sind, sowie nach Erledigung des Auftrags die überlassenen Datenträger zurückzugeben, zu löschen oder zu vernichten und bei ihnen gespeicherte personenbezogene Daten zu löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen.
(2) Die Vorschriften der §§ 12 bis 20 gelten nicht für die in § 2 Absatz 1 Satz 1 genannten Stellen, soweit sie personenbezogene Daten im Auftrag verarbeiten. In diesen Fällen ist die Datenverarbeitung nur im Rahmen der Weisungen der auftraggebenden Stelle zulässig. Ist die auftragnehmende Stelle der Ansicht, dass eine solche Weisung gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, so hat sie die auftraggebende Stelle unverzüglich darauf hinzuweisen.
(3) Sofern die §§ 7 und 8 auf die auftragnehmende Stelle keine Anwendung finden, ist die auftraggebende Stelle verpflichtet, vertraglich sicherzustellen, dass die auftragnehmende Stelle die in diesen Bestimmungen für auftragnehmende Stellen enthaltenen Regelungen befolgt und sich, sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes durchgeführt wird, der Überwachung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit unterwirft. Bei einer Auftragsdurchführung außerhalb des Geltungsbereichs dieses Gesetzes ist die zuständige Datenschutzaufsichtsbehörde zu unterrichten.
(4) Die Absätze 1 bis 3 gelten entsprechend, soweit Stellen im Auftrag
§ 4 Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen (Betroffene, betroffene Personen).
(2) Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen und Nutzen personenbezogener Daten. Im Einzelnen ist
(3) Daten verarbeitende Stelle ist jede der in § 2 Absatz 1 Satz 1 genannten Stellen, die allein oder gemeinsam mit anderen Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt.
(4) Dritte sind alle Stellen außerhalb der Daten verarbeitenden Stelle, ausgenommen die Betroffenen und diejenigen Stellen, die in einem Mitgliedstaat der Europäischen Union personenbezogene Daten im Auftrag verarbeiten.
(5) Empfängerinnen und Empfänger sind alle Personen oder Stellen, die Daten erhalten.
(6) Eine Datei ist eine Sammlung personenbezogener Daten, die
(7) Stellen sind natürliche Personen, juristische Personen und ihre Handlungseinheiten, Gesellschaften und andere Personenvereinigungen des privaten Rechts.
(8) Ein Datenträger ist jedes Material, auf dem Einzelangaben wahrnehmbar festgehalten werden.
(9) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(10) Pseudonymisieren ist das Verändern personenbezogener Daten mittels einer Zuordnungsregel derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Kenntnis dieser Regel nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
§ 5 Zulässigkeit der Datenverarbeitung 09
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, soweit
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben ist nur zulässig, soweit
Satz 2 gilt nicht für
Vor der Entscheidung, personenbezogene Daten nach Satz 2 Nummer 6 zu verarbeiten, ist die bzw. der behördliche Datenschutzbeauftragte oder, falls keine behördliche Datenschutzbeauftragte bzw. kein behördlicher Datenschutzbeauftragter bestellt wurde, die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit zu hören.
(2) Die Einwilligung in die Verarbeitung personenbezogener Daten bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Gegenstand, Inhalt und Umfang der erlaubten Verarbeitung, insbesondere die Art der Daten, die Adressaten der Übermittlung, der Verwendungszweck und die Dauer der Aufbewahrung, sind in der Einwilligungserklärung klar und verständlich zu bezeichnen; die Betroffenen sind unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen können. Wird die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben. Die Einwilligung ist unwirksam, wenn sie durch unangemessene Androhung von Nachteilen, durch fehlende Aufklärung oder in sonstiger gegen die Gebote von Treu und Glauben verstoßender Weise erlangt wurde.
(3) Machen Betroffene schriftlich den Einwand geltend, dass einer Verarbeitung ihrer personenbezogenen Daten schutzwürdige, sich aus ihrer besonderen persönlichen Lage ergebende Gründe entgegenstehen, so ist die weitere Verarbeitung nur zulässig, nachdem eine Abwägung im Einzelfall ergeben hat, dass die geltend gemachten Gründe hinter dem öffentlichen Interesse an der Verarbeitung zurückstehen müssen. Satz 1 gilt nicht, soweit die Verarbeitung personenbezogener Daten
Wird dem Einwand entsprochen, so sind unverzüglich die Stellen zu verständigen, denen die Daten übermittelt worden sind; die Verständigung kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und schutzwürdige Interessen der Betroffenen nicht entgegenstehen. Wird dem Einwand nicht entsprochen, so sind die Betroffenen darauf hinzuweisen, dass sie sich an der bzw. die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit wenden können.
(4) Die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung technischer Einrichtungen haben sich auch an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben und weiter zu verarbeiten. Dabei ist jeweils zu prüfen, inwieweit es möglich ist, personenbezogene Daten anonym oder pseudonym zu verarbeiten. Erforderlich sind Maßnahmen zur anonymen oder pseudonymen Datenverarbeitung nur, wenn ihr Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit der Daten steht.
§ 5a Automatisierte Einzelentscheidungen
(1) Entscheidungen, die für die Betroffenen rechtliche Folgen nach sich ziehen oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient.
(2) Absatz 1 gilt nicht, soweit
§ 5b Mobile Datenverarbeitungsmedien
Gibt eine in § 2 Absatz 1 Satz 1 genannte Stelle mobile Datenverarbeitungsmedien, insbesondere Chipkarten heraus, die mit von ihr oder Dritten bereitgestellten technischen Einrichtungen personenbezogene Daten mit oder ohne Mitwirkung der Betroffenen automatisiert austauschen können, so hat sie sicherzustellen, dass die Betroffenen den Datenaustausch jeweils erkennen und die ihnen nach diesem Gesetz zustehenden Rechte ohne unvertretbaren Aufwand geltend machen können. Spätestens bei der Ausgabe sind die Betroffenen über die ihnen nach § 6 zustehenden Rechte sowie darüber aufzuklären, welche Maßnahmen bei Verlust oder beim Verdacht nicht ordnungsgemäßer Verarbeitung zu ergreifen sind.
(1) Die Betroffenen haben nach Maßgabe dieses Gesetzes ein Recht auf
(2) Auf diese Rechte kann nicht im Vorwege verzichtet werden.
§ 7 Datengeheimnis
Denjenigen Personen, die bei den in § 2 Absatz 1 Satz 1 genannten Stellen oder ihren auftragnehmenden Stellen dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, geschützte personenbezogene Daten unbefugt zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten, insbesondere bekannt zu geben oder zugänglich zu machen. Dieses Verbot besteht auch nach Beendigung der Tätigkeit fort.
§ 8 Technische und organisatorische Maßnahmen; Vorabkontrolle 09
(1) Die Daten verarbeitenden Stellen und ihre auftragnehmenden Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind technische und organisatorische Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit der Daten steht.
(2) Werden personenbezogene Daten automatisiert verarbeitet, sind technische und organisatorische Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass
(3) Werden personenbezogene Daten nicht-automatisiert verarbeitet, sind technische und organisatorische Maßnahmen zu treffen, um insbesondere den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.
(4) Vor der Entscheidung über die Einführung oder die wesentliche Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden sollen, haben die Daten verarbeitenden Stellen zu untersuchen, ob und in welchem Umfang mit der Nutzung dieses Verfahrens Gefahren für die Rechte der Betroffenen verbunden sind. Die Einführung und die wesentliche Änderung eines automatisierten Verfahrens sind nur zulässig, soweit derartige Gefahren durch technische und organisatorische Maßnahmen wirksam beherrscht werden können, es sei denn, dass solche Maßnahmen gemäß Absatz 1 Satz 2 nicht erforderlich sind. Ergibt die Untersuchung, dass von einem Verfahren eine besondere Gefährdung für die Rechte der Betroffenen ausgeht, so ist das Ergebnis der Untersuchung vor der Einführung oder wesentlichen Änderung des Verfahrens der bzw. dem behördlichen Datenschutzbeauftragten oder, falls keine behördliche Datenschutzbeauftragte bzw. kein behördlicher Datenschutzbeauftragter bestellt wurde, der bzw. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zur Stellungnahme zuzuleiten.
(1) Die Daten verarbeitende Stelle legt in einer laufend auf dem neuesten Stand zu haltenden Verfahrensbeschreibung für jedes automatisierte Verfahren, mit dem personenbezogene Daten verarbeitet werden sollen, fest
zur Übermittlung, Sperrung, Löschung, Auskunftserteilung und Benachrichtigung. Die Daten verarbeitende Stelle kann die Angaben nach Satz 1 für mehrere gleichartige Verfahren in einer Verfahrensbeschreibung zusammenfassen.
(2) Absatz 1 gilt nicht für Verfahren,
(3) Daten verarbeitende Stellen, die keine behördlichen Datenschutzbeauftragten bestellt haben, übersenden ihre Verfahrensbeschreibungen und deren Änderungen unverzüglich, jedenfalls aber vor der Einführung oder wesentlichen Änderung eines Verfahrens an der bzw. die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Die Verfahrensbeschreibungen können bei der Daten verarbeitenden Stelle von jeder Person eingesehen werden; für die Angaben nach Absatz 1 Satz 1 Nummern 8 und 9 gilt dies nur, soweit dadurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. Satz 2 gilt nicht für die Verfahrensbeschreibungen der in § 23 Absatz 6 genannten Stellen.
§ 10 Durchführung des Datenschutzes
Die in § 2 Absatz 1 Satz 1 genannten Stellen haben die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz jeweils für ihren Geschäftsbereich sicherzustellen. Sie haben insbesondere dafür zu sorgen, dass die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, überwacht wird. Der Senat kann die Überwachung nach Satz 2 für die Stellen der Freien und Hansestadt Hamburg einer anderen Stelle zuweisen, wenn die Überwachung besondere Fachkenntnisse hinsichtlich der verwendeten Datenverarbeitungssysteme erfordert.
§ 10a Behördliche Datenschutzbeauftragte bzw. behördlicher Datenschutzbeauftragter 09
(1) Die in § 2 Absatz 1 Satz 1 genannten Stellen können eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten bestellen. Die Bestellung einer oder eines Beschäftigten einer anderen in § 2 Absatz 1 Satz 1 genannten Stelle ist zulässig.
(2) Zu behördlichen Datenschutzbeauftragten dürfen nur Personen bestellt werden, die die zur Aufgabenerfüllung erforderliche Fachkunde und Zuverlässigkeit besitzen.
(3) Die Bestellung kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs widerrufen werden. Vor der Entscheidung über den Widerruf sind die bzw. der behördliche Datenschutzbeauftragte sowie die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit zu hören.
(4) Die behördlichen Datenschutzbeauftragten können sich unmittelbar an die Leitung der Daten verarbeitenden Stelle wenden. Sie sind bei ihrer Tätigkeit weisungsfrei und dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. Sie sind in erforderlichem Umfang von der Erfüllung anderer Aufgaben freizustellen und bei der Erfüllung ihrer Aufgaben zu unterstützen.
(5) Die behördlichen Datenschutzbeauftragten haben die Aufgabe, die Daten verarbeitenden Stellen und deren Personalvertretungen in der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen. Sie können sich zu diesem Zweck jederzeit unmittelbar an der bzw. die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit wenden. Zu ihren Aufgaben gehört es insbesondere,
Soweit Rechtsvorschriften nicht entgegenstehen, können sie die zur Erfüllung ihrer Aufgaben erforderliche Einsicht in alle Unterlagen und Akten und die automatisierte Datenverarbeitung nehmen.
(6) Betroffene und Beschäftigte der Daten verarbeitenden Stellen können sich in allen Angelegenheiten des Datenschutzes jederzeit unmittelbar an die behördlichen Datenschutzbeauftragten wenden; niemand darf deswegen gemaßregelt oder benachteiligt werden.
(7) Die behördlichen Datenschutzbeauftragten sind, auch nach Beendigung ihrer Tätigkeit, zur Verschwiegenheit über die Identität Betroffener und Beschäftigter, die sich an sie gewandt haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, verpflichtet. Dies gilt nicht, soweit die Betroffenen oder Beschäftigten sie von der Pflicht zur Verschwiegenheit entbunden haben oder eine Übermittlung der Daten nach Absatz 5 Satz 2 erforderlich ist.
(8) Die in § 2 Absatz 1 Satz 1 genannten Stellen melden die Bestellung und den Widerruf der Bestellung oder die sonstige Beendigung des Amtes behördlicher Datenschutzbeauftragter unverzüglich der bzw. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.
§ 11 Automatisiertes Abrufverfahren 09
(1) Ein automatisiertes Verfahren zum Abruf personenbezogener Daten durch Dritte darf nur eingerichtet werden, wenn eine Rechtsvorschrift dies ausdrücklich zulässt.
(2) Der Senat wird ermächtigt, die Einrichtung automatisierter Abrufverfahren durch Rechtsverordnung zuzulassen. die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist vorher zu hören. Ein solches Verfahren ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die Verordnung hat die abrufende Stelle, die Datenart und den Zweck des Abrufs festzulegen. Sie hat technische und organisatorische Maßnahmen und Maßnahmen zur Datenschutzkontrolle vorzusehen, die in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt.
(3) Die Einrichtung eines automatisierten Abrufverfahrens innerhalb einer Daten verarbeitenden Stelle bedarf der Zulassung durch die Leiterin bzw. den Leiter der Stelle, wenn die Einheit, die die Daten zum Abruf bereithält, und die abrufende Einheit unterschiedliche Aufgaben wahrnehmen. Für die Zulassung findet Absatz 2 Sätze 2 bis 6 entsprechende Anwendung.
(4) Personenbezogene Daten dürfen für Stellen außerhalb des öffentlichen Bereichs zum automatisierten Abruf nicht bereitgehalten werden; dies gilt nicht für Betroffene.
(5) Die Absätze 1 bis 4 gelten nicht für Datenbestände, die jeder oder jedem ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.
§ 11a Gemeinsame und verbundene automatisierte Dateien
(1) Die Einrichtung gemeinsamer oder verbundener automatisierter Dateien, in oder aus denen mehrere Daten verarbeitende Stellen personenbezogene Daten verarbeiten sollen, bedarf der ausdrücklichen Zulassung durch eine Rechtsvorschrift. Der Senat wird ermächtigt, die Einrichtung automatisierter Dateien im Sinne des Satzes 1 durch Rechtsverordnung zuzulassen. § 11 Absatz 2 Sätze 2, 3 und 5 und Absatz 5 gilt entsprechend. Die Verordnung hat die Art der zu verarbeitenden Daten, die Stellen, die in der gemeinsamen Datei oder in verbundenen Dateien Daten verarbeiten dürfen, sowie den Umfang ihrer Verarbeitungsbefugnis anzugeben und festzulegen, welche Stelle die datenschutzrechtliche Verantwortung gegenüber den Betroffenen trägt und die technischen und organisatorischen Maßnahmen trifft. Die Vorschriften über die Zulässigkeit der lesenden und schreibenden Datenverarbeitung im Einzelnen bleiben unberührt.
(2) Innerhalb einer Daten verarbeitenden Stelle bedarf die Einrichtung gemeinsamer oder verbundener automatisierter Dateien, mit denen personenbezogene Daten aus unterschiedlichen Aufgabengebieten verarbeitet werden sollen, der Zulassung durch die Leiterin bzw. den Leiter der Stelle. Für die Zulassung gilt Absatz 1 Sätze 3 bis 5 entsprechend.
Zweiter Abschnitt
Rechtsgrundlagen der Datenverarbeitung
(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist.
(2) Personenbezogene Daten sollen bei den Betroffenen mit ihrer Kenntnis erhoben werden. Werden Daten nicht über einzelne Betroffene, sondern über einen bestimmbaren Personenkreis erhoben, so genügt es, wenn die Betroffenen in zumutbarer Weise von der Datenerhebung Kenntnis nehmen können. Bei anderen Stellen dürfen personenbezogene Daten unter den in § 13 Absatz 2 Satz 1 genannten Voraussetzungen erhoben werden. Bei Betroffenen dürfen Daten ohne ihre Kenntnis nur erhoben werden, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder der Schutz von Leben oder Gesundheit oder die Abwehr einer erheblichen Gefährdung der natürlichen Lebensgrundlagen dies erforderlich macht. Durch die Art und Weise des Erhebens dürfen schutzwürdige Interessen der Betroffenen nicht beeinträchtigt werden.
§ 12a Unterrichtung bei der Erhebung 09
(1) Werden Daten bei Betroffenen mit ihrer Kenntnis erhoben, so sind sie, sofern sie nicht bereits auf andere Weise Kenntnis erlangt haben, von der Daten verarbeitenden Stelle über
rechnen müssen, dass diese die Daten erhalten,
aufzuklären. Werden die Daten auf Grund einer Rechtsvorschrift erhoben, so sind die Betroffenen in geeigneter Weise über diese aufzuklären. Soweit eine Auskunftspflicht besteht oder die Angaben Voraussetzung für die Gewährung von Rechtsvorteilen sind, sind die Betroffenen hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. Werden die Daten schriftlich oder zur Niederschrift erhoben, so sollen die Betroffenen auch über bestehende Auskunfts- und Berichtigungsrechte aufgeklärt werden.
(2) Werden Daten bei Dritten oder bei Betroffenen ohne ihre Kenntnis erhoben, so sind die Betroffenen, sofern sie nicht bereits auf andere Weise Kenntnis erlangt haben, von der Daten verarbeitenden Stelle bei Beginn der Speicherung in einer Datei ( § 4 Absatz 6) oder im Fall einer beabsichtigten Übermittlung spätestens bei deren erster Durchführung zu benachrichtigen und dabei
anzugeben. Bei schriftlicher Benachrichtigung sind die Betroffenen auch über bestehende Auskunfts- und Berichtigungsrechte aufzuklären. Dienen die Daten der Erstellung einer Mitteilung an die Betroffenen, kann die Benachrichtigung mit der Mitteilung verbunden werden.
(3) Absatz 2 gilt nicht für die Verarbeitung personenbezogener Daten zur Wahrnehmung von Aufgaben der Gefahrenabwehr und der Verfolgung von Straftaten. Er gilt ferner nicht, soweit
Vor der Entscheidung, nach Satz 2 Nummer 1 oder 2 von einer Benachrichtigung abzusehen, ist die bzw. der behördliche Datenschutzbeauftragte oder, falls keine behördliche Datenschutzbeauftragte bzw. kein behördlicher Datenschutzbeauftragter bestellt wurde, der bzw. die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit zu hören, wenn sich die Entscheidung auf eine Vielzahl von Einzelfällen auswirkt.
(4) Werden Daten bei Dritten außerhalb des öffentlichen Bereichs auf Grund einer Rechtsvorschrift erhoben, so sind diese in geeigneter Weise über die Rechtsvorschrift aufzuklären. Soweit eine Auskunftspflicht besteht oder die Angaben Voraussetzung für die Gewährung von Rechtsvorteilen sind, sind sie hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
§ 13 Zulässigkeit der weiteren Datenverarbeitung; Zweckbindung
(1) Die weitere Datenverarbeitung ist zulässig, wenn sie
Daten, von denen die Stelle ohne Erhebung Kenntnis erlangt hat oder die bei ihr neu entstanden sind, dürfen für Zwecke verarbeitet werden, für die sie erstmals gespeichert worden sind.
(2) Die Datenverarbeitung für andere Zwecke ist nur zulässig, wenn
überwiegende schutzwürdige Interessen der Betroffenen nicht entgegenstehen. Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis und sind sie der öffentlichen Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden, findet Satz 1 Nummern 2 bis 8 keine Anwendung.
(3) Eine Datenverarbeitung zu anderen Zwecken liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient. Zulässig ist auch die Verarbeitung zu Ausbildungs- und Prüfungszwecken, soweit nicht schutzwürdige Interessen der Betroffenen an der Geheimhaltung der Daten offensichtlich überwiegen.
§ 14 Übermittlung innerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der Aufgaben der übermittelnden oder der Stelle, der die Daten übermittelt werden, erforderlich ist und die Voraussetzungen des § 13 erfüllt sind. Die Übermittlung ist ferner zulässig, soweit es zur Entscheidung in einem Verwaltungsverfahren der Beteiligung mehrerer öffentlicher Stellen bedarf.
(2) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten von Betroffenen oder von Dritten in Akten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht schutzwürdige Interessen der Betroffenen oder Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig.
(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Grund eines Ersuchens der Stelle, der die Daten übermittelt werden sollen, so hat die übermittelnde Stelle von den in die Sphäre der ersuchenden Stelle fallenden Übermittlungsvoraussetzungen lediglich zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben der ersuchenden Stelle liegt. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht; die ersuchende Stelle hat ihr die für diese Prüfung erforderlichen Angaben zu machen. Erfolgt die Übermittlung durch Abruf in einem automatisierten Verfahren ( §§ 11, 11a), trägt die abrufende Stelle die Verantwortung für die Rechtmäßigkeit des Abrufs.
(4) Absatz 2 gilt entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden.
weiter . |
(Stand: 18.07.2018)
Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)
(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)
Die Zugangskennung wird kurzfristig übermittelt
? Fragen ?
Abonnentenzugang/Volltextversion