Hessisches Datenschutzgesetz (HDSG)
in der Fassung der Bekanntmachung vom 7. Januar 1999

Stand: November 2005

Inhaltsübersicht:

ERSTER TEIL
Allgemeiner Datenschutz
ERSTER ABSCHNITT
Grundsatzregelungen
Verarbeitung personenbezogener Daten im Auftrag
Behördlicher Datenschutzbeauftragter
Zulässigkeit der Datenverarbeitung
Technische und organisatorische Maßnahmen
§ 1 Aufgabe
§ 2 Begriffsbestimmungen
§ 3 Anwendungsbereich
§ 4
§ 5
§ 6 Verfahrensverzeichnis
§ 7
§ 8 Rechte des Betroffenen
§ 9 Datengeheimnis
§ 10 Hessisches Datenschutzgesetz (HDSG) Seite 2
ZWEITER ABSCHNITT
Rechtsgrundlage der Datenverarbeitung
§ 11 Erforderlichkeit
§ 12 Erheben
§ 13 Zweckbindung
§ 14
§ 15 Gemeinsame Verfahren
§ 16
§ 17
Verantwortlichkeit für die Zulässigkeit der Datenübermittlung
Übermittlung an Personen oder Stellen außerhalb des öffentlichen
Bereichs
Übermittlung an Empfänger außerhalb des Geltungsbereichs
des Grundgesetzes
DRITTER ABSCHNITT
Rechte des Betroffenen
§ 18
§ 19
§ 20 Schadensersatz
Auskunft und Benachrichtigung
Berichtigung, Sperrung und Löschung
ZWEITER TEIL
Hessischer Datenschutzbeauftragter
§ 21 Rechtsstellung
§ 22 Unabhängigkeit
§ 23 Verschwiegenheitspflicht
§ 24 Aufgaben
§ 25
§ 26 Frist
§ 27
§ 28
§ 29
Gutachten und Untersuchungen
Beanstandungen durch den Hessischen Datenschutzbeauftragten
Anrufung des Hessischen Datenschutzbeauftragten
Auskunftsrecht des Hessischen Datenschutzbeauftragten
Hessisches Datenschutzgesetz (HDSG) Seite 3
§ 30 Berichtspflicht
§ 31 Personal- und Sachausstattung
DRITTER TEIL
Besonderer Datenschutz
§ 32
§ 33
§ 34
§ 35
§ 36
§ 37
Datenverarbeitung für Planungszwecke
Datenverarbeitung für wissenschaftliche Zwecke
Datenschutz bei Dienst- und Arbeitsverhältnissen
Übermittlung an öffentlich-rechtliche Religionsgesellschaften
Fernmessen und Fernwirken
Datenverarbeitung des Hessischen Rundfunks zu journalistisch-
redaktionellen Zwecken
VIERTER TEIL
Rechte des Landtags und der kommunalen Vertretungsorgane
§ 38
§ 39
Auskunftsrecht des Landtags und der kommunalen Vertretungsorgane
Verarbeitung personenbezogener Daten durch den Landtag
und die kommunalen Vertretungsorgane
FÜNFTER TEIL
Schlußvorschriften
§ 40 Straftaten
§ 41 Ordnungswidrigkeiten
§ 42 Übergangsvorschriften
§ 43 Aufhebung bisherigen Rechts
§ 44 Inkrafttreten
Hessisches Datenschutzgesetz (HDSG) Seite 4
ERSTER TEIL
Allgemeiner Datenschutz
ERSTER ABSCHNITT
Grundsatzregelungen
§ 1
Aufgabe
(1) Aufgabe des Gesetzes ist es, die Verarbeitung personenbezogener
Daten durch die in § 3 Abs. 1 genannten Stellen zu regeln,
um
1. das Recht des einzelnen zu schützen, selbst über die Preisgabe
und Verwendung seiner Daten zu bestimmen, soweit
keine Einschränkungen in diesem Gesetz oder in anderen
Rechtsvorschriften zugelassen sind,
2. das auf dem Grundsatz der Gewaltenteilung beruhende verfassungsmäßige
Gefüge des Staates, insbesondere der Verfassungsorgane
des Landes und der Organe der kommunalen
Selbstverwaltung untereinander und zueinander, vor einer
Gefährdung infolge der automatisierten Datenverarbeitung zu
bewahren.
(2) Aufgabe der obersten Landesbehörden, Gemeinden und
Landkreise sowie der sonstigen der Aufsicht des Landes unterstehenden
juristischen Personen des öffentlichen Rechts ist es,
die Ausführung dieses Gesetzes sowie anderer Vorschriften über
den Datenschutz jeweils für ihren Bereich sicherzustellen.
Hessisches Datenschutzgesetz (HDSG) Seite 5
§ 2
Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche
und sachliche Verhältnisse einer bestimmten oder bestimmbaren
natürlichen Person (Betroffener)
(2) Datenverarbeitung ist jede Verwendung gespeicherter oder
zur Speicherung vorgesehener personenbezogener Daten. Im
Sinne der nachfolgenden Vorschriften ist
1. Erheben das Beschaffen von Daten über den Betroffenen,
2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von
Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung
gewonnener Daten an einen Dritten in der
Weise, daß die Daten durch die datenverarbeitende Stelle an
den Dritten weitergegeben werden oder daß der Dritte zum
Abruf bereitgehaltene Daten abruft,
4. Sperren das Verhindern weiterer Verarbeitung gespeicherter
Daten,
5. Löschen das Unkenntlichmachen gespeicherter Daten
ungeachtet der dabei angewendeten Verfahren.
(3) Datenverarbeitende Stelle ist jede der in § 3 Abs. 1 genannten
Stellen, die Daten für sich selbst verarbeitet oder durch andere
verarbeiten läßt.
(4) Empfänger ist jede Person oder Stelle, die Daten erhält.
Hessisches Datenschutzgesetz (HDSG) Seite 6
(5) Dritter ist jede Person oder Stelle außerhalb der datenverarbeitenden
Stelle, ausgenommen der Betroffene oder diejenigen
Personen und Stellen, die innerhalb des Geltungsbereichs der
EG-Datenschutzrichtlinie Daten im Auftrag verarbeiten.
(6) Automatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz
eines gesteuerten technischen Verfahrens selbsttätig abläuft.
(7) Eine Akte ist jede der Aufgabenerfüllung dienende Unterlage,
die nicht Teil der automatisierten Datenverarbeitung ist.
(8) Soweit andere landesrechtliche Vorschriften den Dateibegriff
verwenden, ist Datei
1. eine Sammlung von Daten, die durch automatisierte Verfahren
ausgewertet werden kann (automatisierte Datei), oder
2. eine gleichartig aufgebaute Sammlung von Daten, die nach
bestimmten Merkmalen geordnet und ausgewertet werden
kann (nicht-automatisierte Datei).
Hessisches Datenschutzgesetz (HDSG) Seite 7
§ 3
Anwendungsbereich
(1) Dieses Gesetz gilt für Behörden und sonstige öffentliche
Stellen des Landes, der Gemeinden und Landkreise sowie der
sonstigen der Aufsicht des Landes unterstehenden juristischen
Personen des öffentlichen Rechts und für deren Vereinigungen
ungeachtet ihrer Rechtsform. Dieses Gesetz gilt auch für nichtöffentliche
Stellen, soweit sie hoheitliche Aufgaben unter Aufsicht
der in Satz 1 genannten Stellen wahrnehmen.
(2) Die Vorschriften dieses Gesetzes gehen denen des Hessischen
Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung
des Sachverhalts personenbezogene Daten verarbeitet
werden.
(3) Soweit besondere Rechtsvorschriften über den Datenschutz
bei der Verarbeitung personenbezogener Daten vorhanden sind,
gehen sie den Vorschriften dieses Gesetzes vor.
(4) Dieses Gesetz gilt nicht für personenbezogene Daten, solange
sie in allgemein zugänglichen Quellen gespeichert sind sowie
für Daten des Betroffenen, die von ihm zur Veröffentlichung bestimmt
sind.
(5) Soweit der Hessische Rundfunk personenbezogene Daten
ausschließlich zu eigenen journalistischen-redaktionellen Zwekken
verarbeitet, gelten von den Vorschriften dieses Gesetzes nur
die §§ 10 und 37. Im übrigen gelten die Vorschriften dieses Gesetzes.
(6) Soweit öffentlich-rechtliche Unternehmen am Wettbewerb
teilnehmen, gelten für sie nur der Zweite Teil sowie die §§ 34 und
Hessisches Datenschutzgesetz (HDSG) Seite 8
36 dieses Gesetzes. Mit Ausnahme der Vorschriften über die
Aufsichtsbehörde sind im übrigen die für nicht-öffentliche Stellen
geltenden Vorschriften des Bundesdatenschutzgesetzes einschließlich
der Straf- und Bußgeldvorschriften anwendbar.
Hessisches Datenschutzgesetz (HDSG) Seite 9
§ 4
Verarbeitung personenbezogener Daten im Auftrag
(1) Die datenverarbeitende Stelle bleibt für die Einhaltung der
Vorschriften dieses Gesetzes und anderer Vorschriften über den
Datenschutz sowie für die Erfüllung ihrer sich aus § 8 ergebenden
Pflichten auch dann verantwortlich, wenn personenbezogene
Daten in ihrem Auftrag durch andere Personen oder Stellen verarbeitet
werden. Der Auftragnehmer darf personenbezogene
Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten.
Ist der Auftragnehmer der Ansicht, daß eine Weisung des
Auftraggebers gegen dieses Gesetz oder andere Vorschriften
über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich
darauf hinzuweisen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der
Zuverlässigkeit und der Eignung der von ihm getroffenen technischen
und organisatorischen Maßnahmen sorgfältig auszuwählen.
Der Auftrag ist schriftlich zu erteilen; dabei sind der Gegenstand
und der Umfang der Datenverarbeitung, die technischen
und organisatorischen Maßnahmen sowie etwaige Unterauftragsverhältnisse
festzulegen. Für ergänzende Weisungen gilt
Satz 2 entsprechend. Der Auftraggeber hat zu prüfen, ob beim
Auftragnehmer die nach § 10 erforderlichen Maßnahmen getroffen
und die erhöhten Anforderungen bei der Verarbeitung von
Daten, die besonderen Amts- oder Berufsgeheimnissen unterliegen
sowie der in § 7 Abs. 4 genannten Daten eingehalten werden.
An nicht-öffentliche Stellen darf ein Auftrag nur vergeben
werden, wenn weder gesetzliche Regelungen über Berufs- oder
besondere Amtsgeheimnisse, noch überwiegende schutzwürdige
Belange entgegenstehen.
Hessisches Datenschutzgesetz (HDSG) Seite 10
(3) Sofern die Vorschriften dieses Gesetzes auf den Auftragnehmer
keine Anwendung finden, ist der Auftraggeber verpflichtet,
vertraglich sicherzustellen, daß der Auftragnehmer die Bestimmungen
dieses Gesetzes befolgt und sich der Kontrolle des Hessischen
Datenschutzbeauftragten unterwirft. Der Auftraggeber
hat den Hessischen Datenschutzbeauftragten vorab über die Beauftragung
zu unterrichten.
(4) Abs. 1 bis 3 gelten auch für Personen und Stellen, die im
Auftrag Wartungsarbeiten und vergleichbare Hilfstätigkeiten bei
der Datenverarbeitung erledigen.
Hessisches Datenschutzgesetz (HDSG) Seite 11
§ 5
Behördlicher Datenschutzbeauftragter
(1) Die datenverarbeitende Stelle hat schriftlich einen behördlichen
Datenschutzbeauftragten sowie einen Vertreter zu bestellen.
Bestellt werden dürfen nur Beschäftigte, die dadurch keinem
Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt
werden. Für die Wahrnehmung seiner Aufgaben nach
Abs. 2 muß der behördliche Datenschutzbeauftragte die erforderliche
Sachkenntnis und Zuverlässigkeit besitzen. Wegen dieser
Tätigkeit, bei der er frei von Weisungen ist, darf er nicht benachteiligt
werden. Er ist insoweit unmittelbar der Leitung der datenverarbeitenden
Stelle zu unterstellen; in Gemeinden und Gemeindeverbänden
kann er auch einem hauptamtlichen Beigeordneten
unterstellt werden. Der behördliche Datenschutzbeauftragte
ist im erforderlichen Umfang von der Erfüllung anderer
Aufgaben freizustellen sowie mit den zur Erfüllung seiner Aufgaben
notwendigen räumlichen, personellen und sachlichen Mitteln
auszustatten. Die Beschäftigten der datenverarbeitenden Stelle
können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten
des Datenschutzes an ihn wenden.
(2) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die
datenverarbeitende Stelle bei der Ausführung dieses Gesetzes
sowie anderer Vorschriften über den Datenschutz zu unterstützen
und Hinweise zur Umsetzung zu geben. Zu seinen Aufgaben
gehört es insbesondere
1. auf die Einhaltung der Datenschutzvorschriften bei der Einführung
von Maßnahmen, die das in § 1 Satz 1 Nr. 1 geschützte
Recht betreffen, hinzuwirken,
2. die bei der Verarbeitung personenbezogener Daten tätigen
Hessisches Datenschutzgesetz (HDSG) Seite 12
Personen durch geeignete Maßnahmen mit den Bestimmungen
dieses Gesetzes sowie den sonstigen Vorschriften über
den Datenschutz vertraut zu machen,
3. die datenverarbeitende Stelle bei der Umsetzung der nach
den §§ 6, 10 und 29 erforderlichen Maßnahmen zu unterstützen,
4. das nach § 6 Abs. 1 zu erstellende Verzeichnis zu führen und
für die Einsicht nach § 6 Abs. 2 bereitzuhalten,
5. das Ergebnis der Untersuchung nach § 7 Abs. 6 zu prüfen
und im Zweifelsfall den Hessischen Datenschutzbeauftragten
zu hören.
Soweit keine gesetzliche Regelung entgegensteht, kann er die
zur Erfüllung seiner Aufgaben notwendige Einsicht in Akten und
die automatisierte Datenverarbeitung nehmen. Vor einer beabsichtigten
Maßnahme nach Satz 2 Nr. 1 ist er rechtzeitig umfassend
zu unterrichten und anzuhören. Wird er nicht rechtzeitig an
einer Maßnahme beteiligt, ist die Entscheidung über die Maßnahme
auszusetzen und die Beteiligung nachzuholen.
(3) Die datenverarbeitende Stelle kann einen Beschäftigten ihrer
Aufsichtsbehörde mit deren Zustimmung zum Beauftragten für
den Datenschutz bestellen. Mehrere datenverarbeitende Stellen
können gemeinsam einen ihrer Beschäftigten zum Datenschutzbeauftragten
bestellen, wenn dadurch die Erfüllung seiner Aufgabe
nicht beeinträchtigt wird. Bestellungen von Personen, die nicht
der datenverarbeitenden Stelle angehören, sind dem Hessischen
Datenschutzbeauftragten mitzuteilen.
Hessisches Datenschutzgesetz (HDSG) Seite 13
§ 6
Verfahrensverzeichnis
(1) Wer für den Einsatz eines Verfahrens zur automatisierten
Verarbeitung personenbezogener Daten zuständig ist, hat in einem
für den behördlichen Datenschutzbeauftragten bestimmten
Verzeichnis festzulegen:
1. Name und Anschrift der datenverarbeitenden Stelle,
2. die Zweckbestimmung und die Rechtsgrundlage der Datenverarbeitung,
3. die Art der gespeicherten Daten,
4. den Kreis der Betroffenen,
5. die Art regelmäßig übermittelter Daten, deren Empfänger sowie
die Art und Herkunft regelmäßig empfangener Daten,
6. die zugriffsberechtigten Personen oder Personengruppen,
7. die technischen und organisatorischen Maßnahmen nach
§ 10,
8. die Technik des Verfahrens,
9. Fristen für die Löschung nach § 19 Abs. 3,
10. eine beabsichtigte Datenübermittlung an Drittstaaten nach
§ 17 Abs. 2,
11. das begründete Ergebnis der Untersuchung nach § 7 Abs. 6
Satz 3.
(2) Die Angaben des Verfahrensverzeichnisses können bei der
Hessisches Datenschutzgesetz (HDSG) Seite 14
datenverarbeitenden Stelle von jeder Person eingesehen werden;
dies gilt für die Angaben zu Nr. 7, 8 und 11 nur, soweit dadurch
die Sicherheit des Verfahrens nicht beeinträchtigt wird.
Satz 1 gilt nicht für
1. Verfahren des Landesamtes für Verfassungsschutz,
2. Verfahren, die der Gefahrenabwehr oder der Strafverfolgung
dienen,
3. Verfahren der Steuerfahndung,
soweit die datenverarbeitende Stelle eine Einsichtnahme im Einzelfall
mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.
Hessisches Datenschutzgesetz (HDSG) Seite 15
§ 7
Zulässigkeit der Datenverarbeitung
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig,
wenn
1. eine diesem Gesetz vorgehende Rechtsvorschrift sie vorsieht
oder zwingend voraussetzt,
2. dieses Gesetz sie zuläßt oder
3. der Betroffene ohne jeden Zweifel eingewilligt hat.
(2) Die Einwilligung bedarf der Schriftform, soweit nicht wegen
besonderer Umstände eine andere Form angemessen ist. Sie
muß sich im Falle einer Datenverarbeitung nach Abs. 4 ausdrücklich
auch auf die dort genannten Daten beziehen. Wird die
Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt,
ist der Betroffene hierauf schriftlich besonders hinzuweisen.
Der Betroffene ist in geeigneter Weise über die Bedeutung der
Einwilligung, insbesondere über den Verwendungszweck der
Daten, aufzuklären. Die Aufklärungspflicht umfaßt bei beabsichtigten
Übermittlungen auch den Empfänger der Daten. Der Betroffene
ist unter Darlegung der Rechtsfolgen darauf hinzuweisen,
daß er die Einwilligung verweigern und jederzeit mit Wirkung
für die Zukunft widerrufen kann.
(3) Unzulässig ist eine zu rechtlichen Folgen oder erheblichen
Beeinträchtigungen für den Betroffenen führende Entscheidung,
wenn sie auf einer Bewertung einzelner Merkmale seiner Person
beruht, die ausschließlich durch eine automatisierte Verarbeitung
seiner Daten erstellt wurde. Eine Entscheidung nach Satz 1 kann
durch Gesetz zugelassen werden, das die Wahrung der berech-
Hessisches Datenschutzgesetz (HDSG) Seite 16
tigten Interessen des Betroffenen sicherstellt.
(4) Soweit nicht eine Rechtsvorschrift die Verarbeitung personenbezogener
Daten über die rassische und ethnische Herkunft,
politische Meinungen, religiöse oder philosophische Überzeugungen,
die Gewerkschaftszugehörigkeit, die Gesundheit oder
das Sexualleben vorsieht oder zwingend voraussetzt, darf eine
Verarbeitung nur nach §§ 33 bis 35 und 39 erfolgen. Im übrigen
ist eine Verarbeitung aufgrund dieses Gesetzes nur zulässig,
wenn sie ausschließlich im Interesse des Betroffenen liegt und
der Hessische Datenschutzbeauftragte vorab gehört worden ist.
(5) Wenn der Betroffene schriftlich begründet, daß der rechtmäßigen
Verarbeitung seiner Daten aufgrund dieses Gesetzes
schutzwürdige, sich aus seiner besonderen persönlichen Lage
ergebende Gründe entgegenstehen, ist die Verarbeitung nur zulässig,
nachdem eine Abwägung im Einzelfall ergeben hat, daß
seine Gründe hinter dem öffentlichen Interesse an der Verarbeitung
zurückstehen müssen. Dem Betroffenen ist das Ergebnis
mit Begründung schriftlich mitzuteilen.
(6) Wer für den Einsatz oder die wesentliche Änderung eines
Verfahrens zur automatisierten Datenverarbeitung zuständig ist,
hat vor dem Beginn der Verarbeitung zu untersuchen, ob damit
Gefahren für die in § 1 Abs. 1 Nr. 1 geschützten Rechte verbunden
sind; dies gilt in besonderem Maße für die in § 7 Abs. 4 genannten
Daten. Das Verfahren darf nur eingesetzt werden, wenn
sichergestellt ist, daß diese Gefahren nicht bestehen oder durch
technische und organisatorische Maßnahmen verhindert werden
können. Das Ergebnis der Untersuchung und dessen Begründung
sind aufzuzeichnen und dem behördlichen Datenschutzbeauftragten
zur Prüfung zuzuleiten.
Hessisches Datenschutzgesetz (HDSG) Seite 17
(7) Die in § 3 Abs. 1 Satz 2 und Abs. 6 genannten Stellen dürfen
Daten, die Straftaten betreffen, nur unter behördlicher Aufsicht
verarbeiten oder wenn eine Rechtsvorschrift dies vorsieht.
Hessisches Datenschutzgesetz (HDSG) Seite 18
§ 8
Rechte der Betroffenen
(1) Jeder hat nach Maßgabe dieses Gesetzes ein Recht auf
1. Auskunft und Benachrichtigung über die zu seiner Person
gespeicherten Daten (§ 18),
2. Überprüfung der rechtmäßigen Verarbeitung seiner Daten
aufgrund von ihm vorgebrachter besonderer persönlicher
3. Einsicht in das Verfahrensverzeichnis (§ 6 Abs. 2),
4. Berichtigung, Sperrung oder Löschung der zu seiner Person
Gründe (§ 7 Abs. 5),
gespeicherten Daten (§ 19),
5. Schadensersatz (§ 20),
6. Anrufung des Datenschutzbeauftragten (§§ 28 und 37
Abs. 2).
(2) Wenn eine in § 3 Abs. 1 genannte Stelle für die Gewährung
einer Leistung, das Erkennen einer Person oder für einen anderen
Zweck einen Datenträger herausgibt, auf dem personenbezogene
Daten des Inhabers automatisiert verarbeitet werden,
etwa in Form einer Chipkarte, dann hat sie sicherzustellen, daß
er dies erkennen und seine ihm nach Abs. 1 Nr. 1 bis 5 zustehenden
Rechte ohne unvertretbaren Aufwand geltend machen
kann. Der Inhaber ist bei Ausgabe des Datenträgers über die ihm
nach Abs. 1 zustehenden Rechte sowie über die von ihm bei
Verlust des Datenträgers zu treffenden Maßnahmen und über die
Folgen aufzuklären.
Hessisches Datenschutzgesetz (HDSG) Seite 19
§ 9
Datengeheimnis
Den bei der datenverarbeitenden Stelle oder in deren Auftrag
beschäftigten Personen, die Zugang zu personenbezogenen
Daten haben, ist eine Verarbeitung dieser Daten zu einem anderen
als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden
Zweck während und nach Beendigung ihrer Tätigkeit
untersagt. Diese Personen sind über die bei ihrer Tätigkeit zu
beachtenden Vorschriften über den Datenschutz zu unterrichten.
Hessisches Datenschutzgesetz (HDSG) Seite 20
§ 10
Technische und organisatorische Maßnahmen
(1) Die datenverarbeitende oder in ihrem Auftrag tätige Stelle hat
die technischen und organisatorischen Maßnahmen zu treffen,
die nach Abs. 2 und 3 erforderlich sind, um die Ausführung dieses
Gesetzes sowie anderer Vorschriften über den Datenschutz
zu gewährleisten. Erforderlich sind diese Maßnahmen, soweit der
damit verbundene Aufwand unter Berücksichtigung der Art der
personenbezogenen Daten und ihrer Verarbeitung zum Schutz
des in § 1 Abs. 1 Nr. 1 genannten Rechts angemessen ist.
(2) Werden personenbezogene Daten automatisiert verarbeitet,
ist das Verfahren auszuwählen oder zu entwickeln, welches geeignet
ist, so wenig personenbezogene Daten zu verarbeiten, wie
zur Erreichung des angestrebten Zwecks erforderlich ist. Außerdem
sind Maßnahmen schriftlich anzuordnen, die nach dem jeweiligen
Stand der Technik und der Art des eingesetzten Verfahrens
erforderlich sind, um zu gewährleisten, daß
1. Unbefugte keinen Zutritt zu Datenverarbeitungsanlagen, mit
denen personenbezogene Daten verarbeitet werden, erhalten
(Zutrittskontrolle),
2. Unbefugte an der Benutzung von Datenverarbeitungsanlagen
und -verfahren gehindert werden (Benutzerkontrolle),
3. die zur Benutzung eines Datenverarbeitungsverfahrens
Befugten ausschließlich auf die ihrer Zugriffsberechtigung
unterliegenden personenbezogenen Daten zugreifen können
(Zugriffskontrolle),
4. personenbezogene Daten nicht unbefugt oder nicht zufällig
gespeichert, zur Kenntnis genommen, verändert, kopiert,
Hessisches Datenschutzgesetz (HDSG) Seite 21
übermittelt, gelöscht, entfernt, vernichtet oder sonst verarbeitet
werden (Datenverarbeitungskontrolle),
5. es möglich ist, festzustellen, wer welche personenbezogenen
Daten zu welcher Zeit verarbeitet hat und wohin sie
übermittelt werden sollen oder übermittelt worden sind
(Verantwortlichkeitskontrolle),
6. personenbezogene Daten, die im Auftrag verarbeitet werden,
nur entsprechend den Weisungen des Auftraggebers
verarbeitet werden können (Auftragskontrolle),
7. durch eine Dokumentation aller wesentlichen Verarbeitungsschritte
die Überprüfbarkeit der Datenverarbeitungsanlage
und des -verfahrens möglich ist (Dokumentationskontrolle),
8. die innerbehördliche oder innerbetriebliche Organisation
den besonderen Anforderungen des Datenschutzes gerecht
wird (Organisationskontrolle).
(3) Werden personenbezogene Daten nicht automatisiert verarbeitet,
dann sind insbesondere Maßnahmen zu treffen, um den
Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem
Transport und der Vernichtung zu verhindern.
Hessisches Datenschutzgesetz (HDSG) Seite 22
ZWEITER ABSCHNITT
Rechtsgrundlage der Datenverarbeitung
§ 11
Erforderlichkeit
(1) Die Verarbeitung personenbezogener Daten ist nach Maßgabe
der nachfolgenden Vorschriften zulässig, wenn sie zur rechtmäßigen
Erfüllung der in der Zuständigkeit der datenverarbeitenden
Stelle liegenden Aufgaben und für den jeweils damit verbundenen
Zweck erforderlich ist. Die Erforderlichkeit einer Datenübermittlung
muß nur bei einer der beteiligten Stellen vorliegen.
(2) Sind personenbezogene Daten in Akten derart verbunden,
daß ihre Trennung nach erforderlichen und nicht erforderlichen
Daten nicht oder nur mit unverhältnismäßig großem Aufwand
möglich ist, dann sind die Kenntnisnahme, die Weitergabe innerhalb
der datenverarbeitenden Stelle und die Übermittlung der
Daten, die nicht zur Erfüllung der jeweiligen Aufgabe erforderlich
sind, über Abs. 1 hinaus zulässig. Diese Daten unterliegen insoweit
einem Verwertungsverbot.
Hessisches Datenschutzgesetz (HDSG) Seite 23
§ 12
Erheben
(1) Personenbezogene Daten sind grundsätzlich bei dem Betroffenen
mit seiner Kenntnis zu erheben. Werden Daten nicht über
eine bestimmte Person, sondern über einen bestimmbaren Personenkreis,
etwa durch Videoüberwachung, erhoben, dann genügt
es, wenn er die seinen schutzwürdigen Belangen angemessene
Möglichkeit zur Kenntnisnahme hat.
(2) Bei öffentlichen Stellen dürfen Daten im Einzelfall ohne seine
Kenntnis nur erhoben werden, wenn
1. eine Rechtsvorschrift dies vorsieht, zwingend voraussetzt
oder der Betroffene eingewilligt hat,
2. die Bearbeitung eines vom Betroffenen gestellten Antrags
ohne Kenntnis der Daten nicht möglich ist oder Angaben des
Betroffenen überprüft werden müssen; der Betroffenen ist
darauf hinzuweisen, bei welchen Personen oder Stellen seine
Daten erhoben werden können,
3. die Abwehr erheblicher Nachteile für das Allgemeinwohl oder
von Gefahren für Leben, Gesundheit und persönliche Freiheit
dies gebietet,
4. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung
Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben
oder
5. die Erhebung beim Betroffenen einen unverhältnismäßigen
Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen,
daß schutzwürdige Belange des Betroffenen beeinträchtigt
werden können.
Hessisches Datenschutzgesetz (HDSG) Seite 24
(3) Beim Betroffenen und bei Dritten außerhalb des öffentlichen
Bereichs dürfen Daten ohne seine Kenntnis nur erhoben werden,
wenn der Schutz von Leben und Gesundheit oder die Abwehr
einer erheblichen Gefährdung der natürlichen Lebensgrundlagen
dies im Einzelfall gebietet oder eine Rechtsvorschrift dies vorsieht
oder, soweit es sich um eine Rechtsvorschrift des Bundes
handelt, zwingend voraussetzt.
(4) Werden Daten beim Betroffenen mit seiner Kenntnis erhoben,
dann ist er von der datenverarbeitenden Stelle in geeigneter
Weise über deren Anschrift, den Zweck der Datenerhebung sowie
über seine Rechte nach § 8 aufzuklären. Die Aufklärungspflicht
umfaßt bei beabsichtigten Übermittlungen auch den Empfänger
der Daten. Werden Daten bei dem Betroffenen auf Grund
einer durch Rechtsvorschrift festgelegten Auskunftspflicht erhoben,
dann ist er auf die Rechtsgrundlage hinzuweisen. Im übrigen
ist er darauf hinzuweisen, daß er die Auskunft verweigern
kann. Sind die Angaben für die Gewährung einer Leistung erforderlich,
ist er über die möglichen Folgen einer Nichtbeantwortung
aufzuklären.
(5) Werden Daten beim Betroffenen ohne seine Kenntnis erhoben,
dann ist er davon zu benachrichtigen, sobald die rechtmäßige
Erfüllung der Aufgaben dadurch nicht mehr gefährdet wird.
Die Benachrichtigung umfaßt die Angabe der Rechtsgrundlage
und die in Abs. 4 Satz 1 und 2 vorgesehene Aufklärung.
Hessisches Datenschutzgesetz (HDSG) Seite 25
§ 13
Zweckbindung
(1) Personenbezogene Daten dürfen grundsätzlich nur für den
Zweck weiterverarbeitet werden, für den sie erhoben oder gespeichert
worden sind.
(2) Sollen personenbezogene Daten zu Zwecken verarbeitet
werden, für die sie nicht erhoben oder gespeichert worden sind,
dann ist dies nur aus den in § 12 Abs. 2 und 3 genannten Gründen
zulässig. Besondere Amts- oder Berufsgeheimnisse bleiben
unberührt.
(3) Sind personenbezogene Daten in Akten derart verbunden,
daß ihre Trennung nach verschiedenen Zwecken nicht oder nur
mit unvertretbar großem Aufwand möglich ist, so tritt an die Stelle
der Trennung ein Verwertungsverbot nach Maßgabe von Abs. 2
für die Daten, die nicht dem Zweck der jeweiligen Verarbeitung
dienen.
(4) Personenbezogene Daten, die für andere Zwecke erhoben
worden sind, dürfen auch zur Ausübung von Aufsichts- und Kontrollbefugnissen
sowie zu Ausbildungs- und Prüfungszwecken in
dem dafür erforderlichen Umfang verwendet werden.
(5) Personenbezogene Daten, die ausschließlich zu Zwecken der
Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung
des ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage
gespeichert werden, dürfen nicht für andere Zwecke verwendet
werden.
Hessisches Datenschutzgesetz (HDSG) Seite 26
§ 14
Verantwortlichkeit für die Zulässigkeit der Datenübermittlung
Die Verantwortung für die Zulässigkeit der Übermittlung trägt die
übermittelnde Stelle. Ist die Übermittlung zur Erfüllung von Aufgaben
eines in § 3 Abs. 1 genannten Empfängers erforderlich, so
trägt auch dieser hierfür die Verantwortung und hat sicherzustellen,
daß die Erforderlichkeit nachträglich überprüft werden kann.
Die übermittelnde Stelle hat in diesem Fall die Zuständigkeit des
Empfängers und die Schlüssigkeit der Anfrage zu überprüfen.
Bestehen im Einzelfall Zweifel an der Schlüssigkeit, so hat sie
darüber hinaus die Erforderlichkeit zu überprüfen. Der Empfänger
hat der übermittelnden Stelle die für ihre Prüfung erforderlichen
Angaben zu machen.
Hessisches Datenschutzgesetz (HDSG) Seite 27
§ 15
Gemeinsame Verfahren
(1) Die Einrichtung eines automatisierten Verfahrens, das mehreren
datenverarbeitenden Stellen gemeinsam die Verarbeitung
personenbezogener Daten ermöglicht, ist nur zulässig, wenn dies
unter Berücksichtigung der schutzwürdigen Belange der Betroffenen
und der Aufgaben der beteiligten Stellen angemessen ist.
Die Benutzung des Verfahrens ist im Einzelfall nur erlaubt, wenn
hierfür die Zulässigkeit der Datenverarbeitung gegeben ist. Vor
der Einrichtung oder Änderung eines gemeinsamen Verfahrens
ist der Hessische Datenschutzbeauftragte zu hören. Ihm sind die
Festlegungen nach Abs. 2 Satz 1, das Verfahrensverzeichnis
nach § 6 Abs. 1 und das Ergebnis der Untersuchung nach § 7
Abs. 6 Satz 3 vorzulegen.
(2) Die beteiligten Stellen bestimmen eine Stelle, der die Planung,
Einrichtung und Durchführung des gemeinsamen Verfahrens
obliegt und legen schriftlich fest
1. die Bezeichnung und die Aufgaben jeder beteiligten datenverarbeitenden
Stelle sowie den Bereich der Datenverarbeitung,
für deren Rechtmäßigkeit sie im Einzelfall verantwortlich
ist und
2. die für die Durchführung des gemeinsamen Verfahrens nach
§ 10 Abs. 2 getroffenen technischen und organisatorischen
Maßnahmen.
Die mit der Durchführung des gemeinsamen Verfahrens betraute
Stelle verwahrt ein Doppel des von den beteiligten Stellen gem.
§ 6 Abs. 1 zu erstellenden Verfahrensverzeichnisses und hält es
zusammen mit den Angaben nach Satz 1 Nr. 1 zur Einsicht für
Hessisches Datenschutzgesetz (HDSG) Seite 28
die Öffentlichkeit bereit; dies gilt auch für die Angaben nach
Satz 1 Nr. 2, soweit dadurch die Sicherheit des Verfahrens nicht
beeinträchtigt wird. § 6 Abs. 2 gilt entsprechend.
(3) Stellen, auf die dieses Gesetz keine Anwendung findet, können
am gemeinsamen Verfahren beteiligt werden, wenn vertraglich
sichergestellt ist, daß sie in diesem Verfahren die Bestimmungen
dieses Gesetzes beachten und sich der Kontrolle des
Hessischen Datenschutzbeauftragten unterwerfen.
(4) Die Betroffenen können ihre Rechte nach § 8 Abs. 1 Nr. 1 bis
5 gegenüber jeder der beteiligten Stellen geltend machen, unabhängig
davon, welche Stelle im Einzelfall für die Verarbeitung der
betroffenen Daten verantwortlich ist. Die Stelle, an die der Betroffene
sich wendet, leitet das Anliegen an die jeweils zuständige
Stelle weiter. Das Auskunftsrecht nach § 18 erstreckt sich
auch auf die Angaben nach Abs. 2 Satz 1 Nr. 1.
(5) Die Abs. 1, 2 und 4 Satz 3 gelten entsprechend, wenn innerhalb
einer datenverarbeitenden Stelle ein gemeinsames automatisiertes
Verfahren zur Verarbeitung personenbezogener Daten
für verschiedene Zwecke eingerichtet wird.
Hessisches Datenschutzgesetz (HDSG) Seite 29
§ 16
Übermittlung an Personen oder Stellen außerhalb des öffentlichen
Bereichs
(1) Die Übermittlung personenbezogener Daten an Personen
oder Stellen außerhalb des öffentlichen Bereichs ist über §§ 11
und 13 hinaus zulässig, wenn der Empfänger ein berechtigtes
Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft
macht und keine Anhaltspunkte dafür bestehen, daß schutzwürdige
Belange des Betroffenen beeinträchtigt werden können.
(2) Der Empfänger darf die übermittelten Daten nur zu dem
Zweck verwenden, zu dessen Erfüllung sie ihm übermittelt wurden.
Hessisches Datenschutzgesetz (HDSG) Seite 30
§ 17
Übermittlung an Empfänger außerhalb des Geltungsbereichs
des Grundgesetzes
(1) Für die Zulässigkeit der Übermittlung personenbezogener
Daten innerhalb des Geltungsbereichs der EGDatenschutzrichtlinie
gelten die Vorschriften dieses Gesetzes.
(2) Eine Übermittlung an Empfänger außerhalb des in Abs. 1 genannten
Bereichs ist aufgrund dieses Gesetzes nur zulässig,
wenn sie ausschließlich im Interesse des Betroffenen liegt oder
beim Empfänger ein angemessener Datenschutz gewährleistet
ist. Vor der Entscheidung über die Angemessenheit ist der Hessische
Datenschutzbeauftragte zu hören. Sofern beim Empfänger
kein angemessener Datenschutz gewährleistet ist, dürfen personenbezogene
Daten übermittelt werden, wenn
1. der Betroffene seine Einwilligung gegeben hat,
2. die Übermittlung für die Wahrung eines überwiegenden öffentlichen
Interesses oder zur Geltendmachung, Ausübung
oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich
ist,
3. die Übermittlung für die Wahrung lebenswichtiger Interessen
des Betroffenen erforderlich ist oder
4. die Übermittlung aus einem Register erfolgt, das zur Information
der Öffentlichkeit bestimmt ist und entweder der gesamten
Öffentlichkeit oder allen Personen, die ein berechtigtes
Interesse nachweisen können, zur Einsichtnahme offensteht,
soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben
sind.
Hessisches Datenschutzgesetz (HDSG) Seite 31
Der Empfänger, an den die Daten übermittelt werden, ist darauf
hinzuweisen, daß die übermittelten Daten nur zu Zwecken verarbeitet
werden dürfen, die mit den Zwecken zu vereinbaren sind,
zu deren Erfüllung sie ihm übermittelt werden.
Hessisches Datenschutzgesetz (HDSG) Seite 32
DRITTER ABSCHNITT
Rechte des Betroffenen
§ 18
Auskunft und Benachrichtigung
(1) Datenverarbeitende Stellen, die personenbezogene Daten
automatisiert speichern, haben die Betroffenen von dieser Tatsache
schriftlich zu benachrichtigen und dabei die Art der Daten
sowie die Zweckbestimmung und die Rechtsgrundlage der Speicherung
zu nennen. Die Benachrichtigung erfolgt zum Zeitpunkt
der Speicherung oder im Fall einer beabsichtigten Übermittlung
spätestens mit deren Durchführung. Dienen die Daten der Erstellung
einer beabsichtigten Mitteilung an den Betroffenen, kann
die Benachrichtigung mit dieser Mitteilung verbunden werden.
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
1. die Daten beim Betroffenen erhoben oder von ihm mitgeteilt
2. die Verarbeitung der personenbezogenen Daten durch Ge-
3. der Betroffene auf andere Weise Kenntnis von der Verarbei-
4. die Benachrichtigung des Betroffenen unmöglich ist oder eiworden
sind,
setz ausdrücklich vorgesehen ist,
tung seiner Daten erlangt hat,
nen unverhältnismäßigen Aufwand erfordert.
(3) Datenverarbeitende Stellen, die personenbezogene Daten
automatisiert speichern, haben dem Betroffenen auf Antrag gebührenfrei
Auskunft zu erteilen über
Hessisches Datenschutzgesetz (HDSG) Seite 33
1. die zu seiner Person gespeicherten Daten
2. den Zweck und die Rechtsgrundlage der Verarbeitung sowie
3. die Herkunft der Daten und die Empfänger übermittelter Daten,
soweit dies gespeichert ist.
In dem Antrag soll die Art der Daten, über die Auskunft erteilt
werden soll, näher bezeichnet werden.
(4) Abs. 1 und 3 gelten nicht für personenbezogene Daten, die
deshalb gesperrt sind, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften
nicht gelöscht werden dürfen, sowie für solche
Daten, die ausschließlich zum Zwecke der Datensicherung oder
Datenschutzkontrolle gespeichert werden.
(5) Sind personenbezogene Daten in Akten gespeichert, die zur
Person des Betroffenen geführt werden, dann kann er bei der
aktenführenden Stelle Einsicht in die von ihm bezeichneten Akten
verlangen. Werden die Akten nicht zur Person des Betroffenen
geführt, hat er Angaben zu machen, die das Auffinden der zu
seiner Person gespeicherten Daten mit angemessenem Aufwand
ermöglichen. Die Einsichtnahme ist unzulässig, wenn die Daten
des Betroffenen mit Daten Dritter oder geheimhaltungsbedürftigen
nicht personenbezogenen Daten derart verbunden sind, daß
ihre Trennung nicht oder nur mit unverhältnismäßig großem Aufwand
möglich ist. In diesem Fall ist dem Betroffenen Auskunft
nach Abs. 3 zu erteilen. Im übrigen kann ihm statt Einsicht Auskunft
gewährt werden.
(6) Abs. 1 und 3 gelten nicht, soweit eine Abwägung ergibt, daß
die dort gewährten Rechte des Betroffenen hinter dem öffentlichen
Interesse an der Geheimhaltung oder einem überwiegenden
Geheimhaltungsinteresse Dritter zurücktreten müssen. Die
Hessisches Datenschutzgesetz (HDSG) Seite 34
Entscheidung trifft der Leiter der verpflichteten Stelle oder dessen
Stellvertreter. Werden Auskunft oder Einsicht nicht gewährt, ist
der Betroffene unter Mitteilung der wesentlichen Gründe darauf
hinzuweisen, daß er sich an den Hessischen Datenschutzbeauftragten
wenden kann.
(7) Bei Prüfungs- und Berufungsverfahren können die in Abs. 1
bis 6 gewährten Rechte erst nach dem Verfahrensabschluß geltend
gemacht werden.
Hessisches Datenschutzgesetz (HDSG) Seite 35
§ 19
Berichtigung, Sperrung und Löschung
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig
sind.
(2) Personenbezogene Daten sind zu sperren, wenn
1. ihre Richtigkeit vom Betroffenen bestritten wird und sich weder
die Richtigkeit noch die Unrichtigkeit feststellen läßt,
2. ihre Verarbeitung unzulässig ist und die Löschung den Betroffenen
in der Verfolgung seiner Rechte beeinträchtigen
würde.
Bei automatisierten Verfahren ist die Sperrung grundsätzlich
durch technische Maßnahmen sicherzustellen; im übrigen ist ein
entsprechender Vermerk anzubringen. Gesperrte Daten dürfen
über die Speicherung hinaus nicht mehr verarbeitet werden, es
sei denn, daß die Verarbeitung zur Behebung einer bestehenden
Beweisnot oder aus sonstigen im rechtlichen Interesse eines
Dritten liegenden Gründen unerläßlich ist oder der Betroffene in
die Verarbeitung eingewilligt hat.
(3) Personenbezogene Daten sind unverzüglich zu löschen, sobald
feststeht, daß ihre Speicherung nicht mehr erforderlich ist,
um die Zwecke zu erfüllen, für die sie erhoben worden sind oder
für die sie nach § 13 Abs. 2 und 4 weiterverarbeitet werden dürfen.
Wenn bei der Speicherung nicht absehbar ist, wie lange die
Daten benötigt werden, ist nach einer aufgrund der Erfahrung zu
bestimmenden Frist zu prüfen, ob die Erforderlichkeit der Speicherung
noch besteht. Satz 1 findet keine Anwendung, wenn
Grund zu der Annahme besteht, daß durch die Löschung
Hessisches Datenschutzgesetz (HDSG) Seite 36
schutzwürdige Belange des Betroffenen beeinträchtigt werden.
(4) Personenbezogene Daten sind zu löschen, wenn ihre Verarbeitung
unzulässig ist.
(5) Empfänger personenbezogener Daten sind unverzüglich von
der Berichtigung nach Abs. 1 sowie von der Sperrung nach
Abs. 2 und der Löschung nach Abs. 4 zu unterrichten. Die Unterrichtung
kann unterbleiben, wenn sie einen unverhältnismäßigen
Aufwand erfordern würde und keine Anhaltspunkte bestehen,
daß dadurch schutzwürdige Belange des Betroffenen beeinträchtigt
werden können.
(6) Sind personenbezogene Daten in Akten gespeichert, ist die
Löschung nach Abs. 3 nur durchzuführen, wenn die gesamte zur
Person des Betroffenen geführte Akte zur Erfüllung der dort genannten
Aufgaben nicht mehr erforderlich ist. Die Abs. 1 bis 4
gelten nicht für Stellen, die Akten nur vorübergehend beigezogen
haben.
Hessisches Datenschutzgesetz (HDSG) Seite 37
§ 20
Schadensersatz
(1) Wird der Betroffene durch eine unzulässige oder unrichtige
automatisierte Verarbeitung personenbezogener Daten in seinen
Rechten nach § 1 Abs. 1 Nr. 1 beeinträchtigt, so hat ihm der Träger
der datenverarbeitenden Stelle den daraus entstehenden
Schaden zu ersetzen. In schweren Fällen kann der Betroffene
auch wegen des Schadens, der nicht Vermögensschaden ist,
eine billige Entschädigung in Geld verlangen. Der Ersatzpflichtige
haftet jedem Betroffenen für jedes schädigende Ereignis bis zu
einem Betrag von fünfhunderttausend Deutsche Mark.
(2) Auf das Mitverschulden des Betroffenen und auf die Verjährung
sind die §§ 254 und 852 des Bürgerlichen Gesetzbuches
entsprechend anzuwenden.
(3) Weitergehende sonstige Schadensersatzansprüche bleiben
unberührt.
(4) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
Hessisches Datenschutzgesetz (HDSG) Seite 38
ZWEITER TEIL
Hessischer Datenschutzbeauftragter
§ 21
Rechtsstellung
(1) Der Landtag wählt auf Vorschlag der Landesregierung den
Hessischen Datenschutzbeauftragten.
(2) Der Präsident des Landtags verpflichtet den Hessischen Datenschutzbeauftragten
vor dem Landtag, sein Amt gerecht zu
verwalten und die Verfassung des Landes Hessen und das
Grundgesetz für die Bundesrepublik Deutschland getreulich zu
wahren.
(3) Der Hessische Datenschutzbeauftragte steht nach Maßgabe
dieses Gesetzes in einem öffentlich-rechtlichen Amtsverhältnis.
Das Amt kann auch einem Beamten im Nebenamt, einem beurlaubten
Beamten oder einem Ruhestandsbeamten übertragen
werden.
(4) Der Hessische Datenschutzbeauftragte wird für die Dauer der
jeweiligen Wahlperiode des Landtags gewählt; nach dem Ende
der Wahlperiode bleibt er bis zur Neuwahl im Amt. Die Wiederwahl
ist zulässig. Vor Ablauf der Amtszeit kann er nur abberufen
werden, wenn Tatsachen vorliegen, die bei einem Beamten die
Entlassung aus dem Dienst rechtfertigen. Er kann jederzeit von
seinem Amt zurücktreten. Er bestellt für den Fall seiner Verhinderung
oder für den Fall seines vorzeitigen Ausscheidens aus dem
Amt für die Zeit bis zur Wahl seines Nachfolgers einen Beschäftigten
seiner Dienststelle zum Vertreter. Als Verhinderung gilt
auch, wenn im Einzelfall in der Person des Hessischen Daten-
Hessisches Datenschutzgesetz (HDSG) Seite 39
schutzbeauftragten Gründe vorliegen, die bei einem Richter zum
Ausschluß von der Mitwirkung oder zur Ablehnung wegen Besorgnis
der Befangenheit führen können.
(5) Der Hessische Datenschutzbeauftragte kann an den Sitzungen
des Landtags und seiner Ausschüsse nach Maßgabe der
Geschäftsordnung des Landtags teilnehmen und sich zu Fragen
äußern, die für den Datenschutz von Bedeutung sind. Der Landtag
und seine Ausschüsse können seine Anwesenheit verlangen .
(6) Die Vergütung des Hessischen Datenschutzbeauftragten ist
durch Vertrag zu regeln.
Hessisches Datenschutzgesetz (HDSG) Seite 40
§ 22
Unabhängigkeit
Der Hessische Datenschutzbeauftragte ist als oberste Landesbehörde
in Ausübung seines Amtes unabhängig und nur dem
Gesetz unterworfen.
Hessisches Datenschutzgesetz (HDSG) Seite 41
§ 23
Verschwiegenheitspflicht
Der Hessische Datenschutzbeauftragte ist auch nach Beendigung
seines Amtsverhältnisses verpflichtet, über die ihm bei seiner
amtlichen Tätigkeit bekanntgewordenen Angelegenheiten
Verschwiegenheit zu wahren. Dies gilt nicht für Mitteilungen im
dienstlichen Verkehr oder über Tatsachen, die offenkundig sind
oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der
Hessische Datenschutzbeauftragte gilt als oberste Dienstbehörde
im Sinne des § 96 der Strafprozeßordnung. Er entscheidet entsprechend
nach den Bestimmungen über die Vorlage- und Auskunftspflichten
von Behörden in den gerichtlichen Verfahrensordnungen.
Er trifft die Entscheidungen nach §§ 75 und 76 des Hessischen
Beamtengesetzes für sich und die ihm zugewiesenen
Bediensteten in eigener Verantwortung.
Hessisches Datenschutzgesetz (HDSG) Seite 42
§ 24
Aufgaben
(1) Der Hessische Datenschutzbeauftragte überwacht die Einhaltung
der Vorschriften dieses Gesetzes sowie anderer Vorschriften
über den Datenschutz bei den datenverarbeitenden
Stellen. Zu diesem Zwecke kann er Empfehlungen zur Verbesserung
des Datenschutzes geben; insbesondere kann er die Landesregierung
und einzelne Minister sowie die übrigen datenverarbeitenden
Stellen in Fragen des Datenschutzes beraten. Die
Gerichte unterliegen der Kontrolle des Hessischen Datenschutzbeauftragten,
soweit sie nicht in richterlicher Unabhängigkeit tätig
werden. Der Hessische Datenschutzbeauftragte kontrolliert die
Einhaltung der Datenschutzvorschriften auch bei den Stellen, die
sich und soweit sie sich nach § 4 Abs. 3 Satz 1 seiner Kontrolle
unterworfen haben.
(2) Der Hessische Datenschutzbeauftragte beobachtet die Auswirkungen
der automatisierten Datenverarbeitung auf die Arbeitsweise
und die Entscheidungsbefugnisse der datenverarbeitenden
Stellen. Er hat insbesondere darauf zu achten, ob sie zu
einer Verschiebung in der Gewaltenteilung zwischen den Verfassungsorganen
des Landes, zwischen den Organen der kommunalen
Selbstverwaltung und zwischen der staatlichen und der
kommunalen Selbstverwaltung führen. Er soll Maßnahmen anregen,
die ihm geeignet erscheinen, derartige Auswirkungen zu
verhindern.
(3) Der Hessische Datenschutzbeauftragte arbeitet mit den Behörden
und sonstigen Stellen, die für die Kontrolle der Einhaltung
der Vorschriften über den Datenschutz im Bund und in den Ländern
zuständig sind, zusammen.
Hessisches Datenschutzgesetz (HDSG) Seite 43
(4) Zum Zwecke der Zusammenarbeit kann der Hessische Datenschutzbeauftragte
von den nach den Vorschriften des Bundesdatenschutzgesetzes
in Hessen für nicht-öffentliche Stellen
zuständigen Aufsichtsbehörden Auskünfte verlangen. Bei der
Überprüfung nicht-öffentlicher Stellen kann er mit seiner Zustimmung
beteiligt werden. Gibt er der zuständigen Aufsichtsbehörde
Verstöße gegen Datenschutzvorschriften bei nicht-öffentlichen
Stellen bekannt, unterrichtet ihn die Aufsichtsbehörde von Zeitpunkt,
Umfang und Ergebnis der Überprüfung.
Hessisches Datenschutzgesetz (HDSG) Seite 44
§ 25
Gutachten und Untersuchungen
(1) Der Landtag und die Landesregierung können den Hessischen
Datenschutzbeauftragten mit der Erstattung von Gutachten
und der Durchführung von Untersuchungen in Datenschutzfragen
und Fragen des freien Zugangs zu Informationen betrauen.
(2) Der Landtag, der Präsident des Landtags und die in § 38
Abs. 3 genannten Vertretungsorgane können verlangen, daß der
Hessische Datenschutzbeauftragte untersucht, aus welchen
Gründen Auskunftsersuchen nach § 38 nicht oder nicht ausreichend
beantwortet wurden.
Hessisches Datenschutzgesetz (HDSG) Seite 45
§ 26 Frist
Soweit der Hessische Datenschutzbeauftragte aufgrund einer
Rechtsvorschrift gehört wird, teilt er unverzüglich mit, ob und innerhalb
welcher Frist er eine Stellungnahme abgeben wird.
Hessisches Datenschutzgesetz (HDSG) Seite 46
§ 27
Beanstandungen durch den Hessischen Datenschutzbeauftragten
(1) Stellt der Hessische Datenschutzbeauftragte Verstöße gegen
die Vorschriften dieses Gesetzes oder gegen andere Datenschutzbestimmungen
oder sonstige Mängel bei der Verarbeitung
personenbezogener Daten fest, so beanstandet er dies
1. bei der Landesverwaltung gegenüber der zuständigen obersten
Landesbehörde,
2. bei den Körperschaften, Anstalten und Stiftungen des öffentlichen
Rechts sowie bei Vereinigungen solcher Körperschaften,
Anstalten und Stiftungen gegenüber dem Vorstand oder
dem sonst vertretungsberechtigten Organ
und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden
Frist auf. In den Fällen von Satz 1 Nr. 2 unterrichtet
der Hessische Datenschutzbeauftragte gleichzeitig auch die zuständige
Aufsichtsbehörde.
(2) Der Hessische Datenschutzbeauftragte kann von einer Beanstandung
absehen oder auf eine Stellungnahme der betroffenen
Stelle verzichten, insbesondere wenn es sich um unerhebliche
oder inzwischen beseitigte Mängel handelt.
(3) Mit der Beanstandung kann der Hessische Datenschutzbeauftragte
Vorschläge zur Beseitigung der Mängel und zur sonstigen
Verbesserung des Datenschutzes verbinden.
(4) Die gemäß Abs. 1 abzugebende Stellungnahme soll auch
eine Darstellung der Maßnahmen enthalten, die auf Grund der
Beanstandung des Hessischen Datenschutzbeauftragten getrof-
Hessisches Datenschutzgesetz (HDSG) Seite 47
fen worden sind. Die in Abs. 1 Satz 1 Nr. 2 genannten Stellen
leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer
Stellungnahme an den Hessischen Datenschutzbeauftragten zu.
Hessisches Datenschutzgesetz (HDSG) Seite 48
§ 28
Anrufung des Hessischen Datenschutzbeauftragten
(1) Jeder kann sich an den Hessischen Datenschutzbeauftragten
wenden, wenn er annimmt, bei der Verarbeitung seiner personenbezogenen
Daten durch datenverarbeitende Stellen, ausgenommen
die Gerichte, soweit sie nicht in Verwaltungsangelegenheiten
tätig werden, in seinen Rechten verletzt worden zu sein.
Niemand darf dafür gemaßregelt oder benachteiligt werden, daß
er sich auf Grund tatsächlicher Anhaltspunkte für einen Verstoß
gegen dieses Gesetz oder andere Vorschriften über den Datenschutz
an den Hessischen Datenschutzbeauftragten wendet.
(2) Beschäftigte öffentlicher Stellen können sich ohne Einhaltung
des Dienstweges an den Hessischen Datenschutzbeauftragten
wenden. Die dienstrechtlichen Pflichten der Beschäftigten bleiben
im übrigen unberührt.
Hessisches Datenschutzgesetz (HDSG) Seite 49
§ 29
Auskunftsrecht des Hessischen Datenschutzbeauftragten
(1) Alle datenverarbeitenden Stellen und ihre Auftragnehmer sind
verpflichtet, den Hessischen Datenschutzbeauftragten bei der
Erfüllung seiner Aufgaben zu unterstützen. Ihm ist dabei insbesondere
1. Auskunft zu seinen Fragen sowie Einsicht in alle Unterlagen
zu gewähren, die in Zusammenhang mit der Verarbeitung
personenbezogener Daten stehen,
2. Zutritt zu allen Diensträumen zu gewähren.
(2) Die Rechte nach Abs. 1 dürfen nur vom Hessischen Datenschutzbeauftragten
persönlich ausgeübt werden, wenn die oberste
Landesbehörde im Einzelfall feststellt, daß die Sicherheit des
Bundes oder eines Landes dies gebietet. In diesem Fall müssen
personenbezogene Daten eines Betroffenen, dem von der datenverarbeitenden
Stelle Vertraulichkeit besonders zugesichert worden
ist, auch ihm gegenüber nicht offenbart werden.
(3) Der Hessische Datenschutzbeauftragte ist über Verfahrensentwicklungen
und Gesetzesvorhaben im Zusammenhang mit
der automatisierten Verarbeitung personenbezogener Daten
rechtzeitig und umfassend zu unterrichten.
Hessisches Datenschutzgesetz (HDSG) Seite 50
§ 30
Berichtspflicht
(1) Zum 31. Dezember jeden Jahres hat der Hessische Datenschutzbeauftragte
dem Landtag und der Landesregierung einen
Bericht über das Ergebnis seiner Tätigkeit vorzulegen. Er gibt
dabei auch einen Überblick über die technischen und organisatorischen
Maßnahmen nach § 10 und regt Verbesserungen des
Datenschutzes an. Zwischenberichte sind zulässig.
(2) Die Landesregierung legt ihre Stellungnahme zu dem Hauptoder
Zwischenbericht dem Landtag vor. Zusammen mit der Stellungnahme
zum Hauptbericht gibt sie einen Bericht über die Tätigkeit
der für den Datenschutz im nicht-öffentlichen Bereich zuständigen
Aufsichtsbehörden.
Hessisches Datenschutzgesetz (HDSG) Seite 51
§ 31
Personal- und Sachausstattung
(1) Dem Hessischen Datenschutzbeauftragten ist vom Präsidenten
des Landtags die für die Erfüllung seiner Aufgaben notwendige
Personal- und Sachausstattung zur Verfügung zu stellen; sie
ist im Einzelplan des Landtags in einem eigenen Kapitel auszuweisen.
(2) Die Beamten werden auf Vorschlag des Hessischen Datenschutzbeauftragten
ernannt. Ihr Dienstvorgesetzter ist der Hessische
Datenschutzbeauftragte, an dessen Weisungen sie ausschließlich
gebunden sind. Für sonstige Beschäftigte gelten
Satz 1 und 2 entsprechend .
Hessisches Datenschutzgesetz (HDSG) Seite 52
DRITTER TEIL
Besonderer Datenschutz
§ 32
Datenverarbeitung für Planungszwecke
(1) Für Zwecke der öffentlichen Planung können personenbezogene
Daten gesondert verarbeitet werden. Die Verarbeitung soll
von der übrigen Verwaltung personell und organisatorisch getrennt
erfolgen.
(2) Die zu Planungszwecken gespeicherten personenbezogenen
Daten dürfen nicht für andere Verwaltungszwecke genutzt werden.
Sobald es der Zweck der Planungsaufgabe erlaubt, sind die
zu diesem Zweck verarbeiteten personenbezogenen Daten so zu
verändern, daß sie sich weder auf eine bestimmte Person beziehen
noch eine solche erkennen lassen. Eine Übermittlung von
Daten, aus denen Rückschlüsse auf Einzelpersonen gezogen
werden können, ist unzulässig.
Hessisches Datenschutzgesetz (HDSG) Seite 53
§ 33
Datenverarbeitung für wissenschaftliche Zwecke
(1) Zum Zwecke wissenschaftlicher Forschung dürfen datenverarbeitende
Stellen personenbezogene Daten ohne Einwilligung
des Betroffenen im Rahmen bestimmter Forschungsvorhaben
verarbeiten, soweit dessen schutzwürdige Belange wegen der Art
der Daten, ihrer Offenkundigkeit oder der Art ihrer Verwendung
nicht beeinträchtigt werden. Der Einwilligung des Betroffenen
bedarf es auch nicht, wenn das öffentliche Interesse an der
Durchführung des Forschungsvorhabens die schutzwürdigen
Belange des Betroffenen überwiegt und der Zweck der Forschung
nicht auf andere Weise oder nur mit unverhältnismäßigem
Aufwand erreicht werden kann. Im Falle des Satz 2 bedarf
die Verarbeitung durch Stellen des Landes der vorherigen Genehmigung
der obersten Landesbehörde oder einer von dieser
bestimmten Stelle. Die Genehmigung muß den Empfänger, die
Art der zu übermittelnden personenbezogenen Daten, den Kreis
der Betroffenen und das Forschungsvorhaben bezeichnen und ist
dem Hessischen Datenschutzbeauftragten mitzuteilen.
(2) Sobald der Forschungszweck dies erlaubt, sind die Merkmale,
mit deren Hilfe ein Personenbezug hergestellt werden kann, gesondert
zu speichern; die Merkmale sind zu löschen, sobald der
Forschungszweck dies zuläßt.
(3) Eine Verarbeitung der nach Abs. 1 übermittelten Daten zu
anderen als Forschungszwecken ist unzulässig. Die nach Abs. 1
Satz 2 übermittelten Daten dürfen nur mit Einwilligung des Betroffenen
weiterübermittelt werden.
(4) Soweit die Vorschriften dieses Gesetzes auf den Empfänger
Hessisches Datenschutzgesetz (HDSG) Seite 54
keine Anwendung finden, dürfen personenbezogene Daten nur
übermittelt werden, wenn sich der Empfänger verpflichtet, die
Vorschriften der Abs. 2 und 3 einzuhalten und sich der Kontrolle
des Hessischen Datenschutzbeauftragten unterwirft.
Hessisches Datenschutzgesetz (HDSG) Seite 55
§ 34
Datenschutz bei Dienst- und Arbeitsverhältnissen
(1) Der Dienstherr oder Arbeitgeber darf Daten seiner Beschäftigten
nur verarbeiten, wenn dies zur Eingehung, Durchführung,
Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses
oder zur Durchführung innerdienstlicher planerischer, organisatorischer,
sozialer und personeller Maßnahmen erforderlich ist
oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung
es vorsieht. Die für das Personalaktenrecht geltenden
Vorschriften des Hessischen Beamtengesetzes sind, soweit tarifvertraglich
nichts anderes geregelt ist, auf Angestellte und Arbeiter
im öffentlichen Dienst entsprechend anzuwenden.
(2) Abweichend von § 16 Abs. 1 ist eine Übermittlung der Daten
von Beschäftigten an Personen und Stellen außerhalb des öffentlichen
Bereichs nur zulässig, wenn der Empfänger ein rechtliches
Interesse darlegt, der Dienstverkehr es erfordert oder der
Betroffene eingewilligt hat. Die Übermittlung an einen künftigen
Dienstherrn oder Arbeitgeber ist nur mit Einwilligung des Betroffenen
zulässig.
(3) Das Auskunftsrecht nach § 18 Abs. 3 umfaßt auch die Art der
automatisierten Auswertung der Daten des Beschäftigten. § 18
Abs. 6 findet keine Anwendung.
(4) Im Falle des § 19 Abs.3 Satz 1 sind die Daten der Beschäftigten
zu löschen. Daten, die vor der Eingehung eines Dienstoder
Arbeitsverhältnisses erhoben wurden, sind unverzüglich zu
löschen, sobald feststeht, daß ein Dienst- oder Arbeitsverhältnis
nicht zustande kommt. Dies gilt nicht, wenn Grund zu der Annahme
besteht, daß durch die Löschung schutzwürdige Belange
Hessisches Datenschutzgesetz (HDSG) Seite 56
des Betroffenen beeinträchtigt werden.
(5) Vor Einführung, Anwendung, Änderung oder Erweiterung eines
automatisierten Verfahrens zur Verarbeitung von Daten der
Beschäftigten hat die Dienststelle das Verfahrensverzeichnis
(§ 6) der Personalvertretung im Rahmen des personalvertretungsrechtlichen
Beteiligungsverfahrens mit dem Hinweis vorzulegen,
daß sie eine Stellungnahme des Hessischen Datenschutzbeauftragten
fordern kann. Macht die Personalvertretung
von dieser Möglichkeit Gebrauch, beginnt die von ihr einzuhaltende
Frist erst mit der Vorlage der von der Dienststellenleitung
einzuholenden Stellungnahme.
(6) Daten der Beschäftigten, die im Rahmen der Durchführung
der technischen und organisatorischen Maßnahmen nach § 10
Abs. 2 gespeichert werden, dürfen nicht zu Zwecken der Verhaltens-
oder Leistungskontrolle ausgewertet werden.
Hessisches Datenschutzgesetz (HDSG) Seite 57
§ 35
Übermittlung an öffentlich-rechtliche Religionsgesellschaften
Die Übermittlung personenbezogener Daten an Stellen der öffentlich-
rechtlichen Religionsgesellschaften ist in entsprechender
Anwendung der Vorschriften über die Übermittlung an öffentliche
Stellen nur zulässig, sofern sichergestellt ist, daß bei dem Empfänger
gleichwertige Datenschutzmaßnahmen getroffen werden.
Hessisches Datenschutzgesetz (HDSG) Seite 58
§ 36
Fernmessen und Fernwirken
Wer eine Datenverarbeitungs- oder Übertragungseinrichtung zu
dem Zweck nutzt, bei einem Betroffenen, insbesondere in der
Wohnung oder in den Geschäftsräumen ferngesteuert Messungen
vorzunehmen oder andere Wirkungen auszulösen, bedarf
dessen Einwilligung.
Hessisches Datenschutzgesetz (HDSG) Seite 59
§ 37
Datenverarbeitung des Hessischen Rundfunks zu journalistisch-
redaktionellen Zwecken
(1) Führt die journalistisch-redaktionelle Verarbeitung personenbezogener
Daten zur Veröffentlichung von Gegendarstellungen
der Betroffenen, so sind diese Gegendarstellungen zu den gespeicherten
Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren
wie die Daten selbst.
(2) Der Rundfunkrat bestellt einen Beauftragten für den Datenschutz,
der die Ausführung von Abs. 1 und § 10 sowie anderer
Vorschriften über den Datenschutz im journalistischredaktionellen
Bereich frei von Weisungen überwacht. An ihn
kann sich jedermann wenden, wenn er annimmt, bei der Verarbeitung
personenbezogener Daten zu journalistischredaktionellen
Zwecken in seinen Rechten verletzt worden zu
sein. Beanstandungen richtet der Beauftragte für den Datenschutz
an den Intendanten und unterrichtet gleichzeitig den
Rundfunkrat. Die Dienstaufsicht obliegt dem Verwaltungsrat.
(3) Dem nach Abs. 2 zu bestellenden Beauftragten für den Datenschutz
können auch die Aufgaben nach § 5 zugewiesen werden.
Hessisches Datenschutzgesetz (HDSG) Seite 60
VIERTER TEIL
Rechte des Landtags und der kommunalen Vertretungsorgane
§ 38
Auskunftsrecht des Landtags und der kommunalen Vertretungsorgane
(1) Die Hessische Zentrale für Datenverarbeitung, die Kommunalen
Gebietsrechenzentren und die Landesbehörden, die Datenverarbeitungsanlagen
betreiben, sind verpflichtet, dem Landtag,
dem Präsidenten des Landtags und den Fraktionen des
Landtags die von diesen im Rahmen ihrer Zuständigkeit verlangten
Auskünfte auf Grund der gespeicherten Daten zu geben,
soweit Programme zur Auswertung vorhanden sind. Die Auskünfte
dürfen keine personenbezogenen Daten enthalten. Den
Auskünften darf ein gesetzliches Verbot oder ein öffentliches Interesse
nicht entgegenstehen; dem Auskunftsrecht des Landtags
steht ein öffentliches Interesse in der Regel nicht entgegen. Der
Landtag hat Zugriff zu den Daten, soweit durch technische Maßnahmen
sichergestellt ist, daß die Grenzen der Sätze 1 bis 3 eingehalten
werden.
(2) Der Landtag kann von der Landesregierung Auskünfte über
die bestehenden Verfahren verlangen, die für Auskünfte oder den
Zugriff nach Abs. 1 geeignet sind. Das Auskunftsverlangen kann
sich erstrecken auf
1. den Namen des Verfahrens mit kurzer Funktionsbeschreibung,
2. die vorhandenen Verfahren,
Hessisches Datenschutzgesetz (HDSG) Seite 61
3. den Aufbau der Datensätze mit Angaben über den Inhalt und
die Ordnungskriterien,
4. die vorhandenen Auswertungsprogramme,
5. die zuständige Behörde
(3) Das Auskunftsrecht nach Abs. 1 steht im Rahmen ihrer Zuständigkeiten
den Gemeindevertretungen und den Kreistagen
sowie deren Fraktionen und den entsprechenden Organen anderer
in § 3 Abs. 1 genannten Körperschaften und Anstalten gegenüber
der Hessischen Zentrale für Datenverarbeitung, dem
zuständigen Kommunalen Gebietsrechenzentrum und den Behörden
der Gemeinden und Gemeindeverbände zu, die Datenverarbeitungsanlagen
betreiben. Der Antrag der Fraktionen ist in
den Gemeinden über den Gemeindevorstand, in den Kreisen
über den Kreisausschuß zu leiten.
Hessisches Datenschutzgesetz (HDSG) Seite 62
§ 39
Verarbeitung personenbezogener Daten durch den Landtag
und die kommunalen Vertretungsorgane
(1) Mit Ausnahme der §§ 1 Abs. 1 Nr. 2, 25 und 38 gelten die
Vorschriften dieses Gesetzes für den Landtag nur, soweit er in
Verwaltungsangelegenheiten tätig wird, insbesondere wenn es
sich um die wirtschaftlichen Angelegenheiten des Landtags, die
Personalverwaltung oder die Ausführung von gesetzlichen Vorschriften,
deren Vollzug dem Präsidenten des Landtags zugewiesen
ist, handelt. Im übrigen gibt sich der Landtag unter Berücksichtigung
seiner verfassungsrechtlichen Stellung eine Datenschutzordnung.
Sie findet auf die für die Fraktionen und Abgeordneten
tätigen Personen entsprechende Anwendung.
(2) Die Landesregierung darf personenbezogene Daten, die für
andere Zwecke erhoben worden sind, zur Beantwortung parlamentarischer
Anfragen sowie zur Vorlage von Unterlagen und
Berichten im Rahmen der Geschäftsordnung des Hessischen
Landtags in dem dafür erforderlichen Umfang verwenden. Dies
gilt nicht, wenn die Übermittlung der Daten wegen ihres streng
persönlichen Charakters für die Betroffenen unzumutbar ist. Besondere
gesetzliche Übermittlungsverbote bleiben unberührt.
(3) Von der Landesregierung übermittelte personenbezogene
Daten dürfen nicht in Landtagsdrucksachen aufgenommen oder
in sonstiger Weise allgemein zugänglich gemacht werden. Dies
gilt nicht, wenn keine Anhaltspunkte dafür bestehen, daß
schutzwürdige Belange der Betroffenen beeinträchtigt werden.
(4) Abs. 2 gilt entsprechend für die Verwaltungsbehörden der
Gemeinden und Gemeindeverbände im Rahmen ihrer jeweiligen
Hessisches Datenschutzgesetz (HDSG) Seite 63
Auskunftspflichten nach der Hessischen Gemeindeordnung und
der Hessischen Landkreisordnung.
Hessisches Datenschutzgesetz (HDSG) Seite 64
FÜNFTER TEIL
Schlußvorschriften
§ 40
Straftaten
(1) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen
zu bereichern oder einen anderen zu schädigen, personenbezogene
Daten entgegen den Vorschriften dieses Gesetzes
1. erhebt, speichert, zweckwidrig verwendet, verändert, übermittelt,
zum Abruf bereithält oder löscht,
2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher
Tatsachen ihre Übermittlung an sich oder einen Dritten
veranlaßt,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe
bestraft.
(2) Abs. 1 findet nur Anwendung, soweit die Tat nicht in anderen
Vorschriften mit Strafe bedroht ist.
Hessisches Datenschutzgesetz (HDSG) Seite 65
§ 41
Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer entgegen § 16 Abs. 2 oder § 33
Abs. 3 Daten nicht nur für den Zweck verwendet, zu dessen Erfüllung
sie ihm übermittelt wurden.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend
Deutsche Mark geahndet werden.
Hessisches Datenschutzgesetz (HDSG) Seite 66
§ 42
Übergangsvorschrift
Auf Akten, die bei Inkrafttreten des Gesetzes vorhanden waren,
ist § 19 Abs. 1, 4 und 6 nur anwendbar, wenn die speichernde
Stelle die Voraussetzungen für die Berichtigung, Löschung oder
Sperrung bei der Erfüllung ihrer laufenden Aufgaben feststellt.
Hessisches Datenschutzgesetz (HDSG) Seite 67
§ 43
Aufhebung bisherigen Rechts
Das Hessische Datenschutzgesetz vom 31. Januar 1978 (GVBl. I
S. 96), geändert durch Gesetz vom 14. Oktober 1980 (GVBl. I S.
377)), sowie die Hessische Verordnung über die Veröffentlichung
der Angaben über gespeicherte personenbezogene Daten vom
1. November 1978 (GVBl. I S. 553) und die Hessische Verordnung
über die vom Hessischen Datenschutzbeauftragten zu führenden
Dateienregister vom 8. Dezember 1978 (GVBl. I S. 682)
werden aufgehoben.
Hessisches Datenschutzgesetz (HDSG) Seite 68
Dok-Ende
§ 44
Inkrafttreten
Dieses Gesetz tritt am 1. Januar 1987 in Kraft.
Anm.: § 44 betrifft das Inkrafttreten des Gesetzes vom 11. November 1986.
Das Dritte Gesetz zur Änderung des Hessischen Datenschutzgesetzes ist -
mit Ausnahme des § 6 - am Tage nach seiner Verkündung in Kraft getreten.
§ 6 tritt am 1. Juni 1999 in Kraft.
Vorstehend sind die Änderungen des Artikels 1 des Dritten Gesetzes zur
Änderung des Hessischen Datenschutzgesetzes eingearbeitet. Die Änderungen
anderer Gesetze (Hessisches Krankenhausgesetz, Hessisches
Schulgesetz, Hessisches Privatrundfunkgesetz, Gesetz über das Landesamt
für Verfassungsschutz) durch Artikel 3 des Gesetzes sind hier nicht
enthalten.
Stand: November 2005