Technische und organisatorische Maßnahmen. Die Vorschrift ist wortgleich aus § 9 BDSG

Absatz 6 entspricht § 4 Abs. 2 des Hessischen Datenschutzgesetzes. Die Regelung soll eine Kontrollmöglichkeit für den Landesbeauftragten für den Datenschutz schaffen, wenn im Auftrag einer öffentlichen Stelle personenbezogene Daten durch einen privaten Auftragnehmer verarbeitet werden. Der Auftraggeber hat den Landesbeauftragten für den Datenschutz von der Auftragsvergabe zu unterrichten.

Zu § 9:

(Technische und organisatorische Maßnahmen)

Die Vorschrift ist wortgleich aus § 9 BDSG übernommen.

In Absatz 1 wird festgelegt, dass alle datenverarbeitenden Stellen die notwendigen Datensicherungsmaßnahmen zu treffen haben, um die Ausführung dieses Gesetzes zu gewährleisten. Bei der Abwägung, welche Maßnahmen erforderlich sind, ist neben dem finanziellen, personellen und organisatorischen Aufwand der Maßnahmen auch die Art der zu schützenden personenbezogenen Daten und ihre Empfindlichkeit bei mißbräuchlicher Verwendung zu berücksichtigen.

Das BDSG regelt in einer Anlage zum Gesetz zehn konkrete Anforderungen an die Datensicherungsmaßnahmen. Abweichend davon übernimmt der vorliegende Entwurf diese Anlage als Absatz 2.

Nach Absatz 3 sind gewisse Mindestsicherungsmaßnahmen auch bei der Datenver-arbeitung in Akten und in nichtautomatisierten Dateien zu treffen. Durch entsprech-ende Organisationsmaßnahmen ist vor allem sicherzustellen, dass der Zugriff Unbe-fugter verhindert wird. Im BDSG ist eine entsprechende Regelung nicht vorgesehen.

Zu § 10:

(Anlagen- und Verfahrensverzeichnis)

In Absatz 1 wird den öffentlichen Stellen die Pflicht zur Führung eines Verzeichnisses über die eingesetzten Datenverarbeitungsanlagen (d. h. auch über sogenannte Arbeitsplatzrechner) und die automatisierten Verfahren auferlegt.

Das Verzeichnis ist für Zwecke der Eigenkontrolle und als Grundlage für die Kontrollen des Landesbeauftragten für den Datenschutz erforderlich. Die Vorschrift ist § 18 Abs. 2 BDSG vergleichbar.

Die Herausnahme solcher Verfahren, die nur vorübergehend eingesetzt werden und bei denen die gespeicherten Daten innerhalb von drei Monaten gelöscht werden, von der Pflicht zur Führung des Verzeichnisses (Absatz 3), erfolgt aus Gründen der Verwaltungspraktikabilität und entspricht § 18 Abs. 3 BDSG. Zweiter Abschnitt Schutzrechte Kern des Gesetzentwurfes sind die im Zweiten Abschnitt zusammengefaßten Schutzrechte des Bürgers. In acht Paragraphen werden die dem Bürger durch dieses Gesetz eingeräumten Rechte zusammengefaßt.

Zu § 11:

(Anrufung des Landesbeauftragten für den Datenschutz)

Durch §§ 35 ff. wird die Institution des Landesbeauftragten für den Datenschutz geschaffen. Zu seinen wesentlichen Funktionen gehört es, dem Bürger als Anru-fungsstelle zur Verfügung zu stehen, wenn Verletzungen des informationellen Selbstbestimmungsrechts zu besorgen sind. Die Anrufung des Landesbeauftragten für den Datenschutz ist eine Sonderform des verfassungsrechtlich garantierten Petitions-rechts. Der Bürger hat Anspruch auf Tätigwerden des Landesbeauftragten in ange-messener Frist sowie auf Bescheidung über sein Begehren. Hält der Landesbeauftragte aufgrund seiner durch Anrufung eingeleiteten Tätigkeit ein Einschreiten gegenüber öffentlichen Stellen für erforderlich, dann kann er mit einer Beanstandung nach § 39 des Entwurfs vorgehen.

Die Regelung des Absatz 1 ist § 21 BDSG nachgebildet. Abweichend zu § 21 BDSG genügt es aber, wenn der Betroffene vorträgt, in seinen schutzwürdigen Belangen beeinträchtigt zu sein; er muss nicht eine bereits abgeschlossene Rechtsverletzung behaupten.

Das Benachteiligungsverbot in Absatz 2 findet bespielsweise dann Anwendung, wenn ein Angehöriger des öffentlichen Dienstes in eigener Sache den Landesbeauftragten für den Datenschutz anruft, ohne sich zuvor an seinen Dienstherrn gewandt zu haben.

In Absatz 3 wird der Landesbeauftragte verpflichtet, in Fällen, in denen eine spei-chernde Stelle aufgrund entsprechender Vorschriften dem Betroffenen keine Aus-kunft erteilt, in seiner Mitteilung gegenüber dem Betroffenen keine Angaben zu machen, die Rückschlüsse auf den Erkenntnisstand der speichernden Stelle zulassen, sofern diese einer solchen Auskunft nicht zugestimmt hat. Dies entspricht der Regelung in § 19 Abs. 6 Satz 2 BDSG.

Zu § 12:

(Einsicht in das Datenschutzregister)

Beim Landesbeauftragten wird ein Datenschutzregister eingerichtet. Es enthält alle Angaben über die automatisierte Verarbeitung personenbezogener Daten in der öffentlichen Verwaltung, die der Bürger benötigt, um seine Schutzrechte sachgerecht geltend machen zu können. Darüber hinaus dient das Datenschutzregister der Transparenz der öffentlichen Verwaltung: Jedermann kann sich dort kostenfrei über die Verarbeitung personenbezogener Daten in der öffentlichen Verwaltung unterrichten. Schließlich erlaubt es das Datenschutzregister sowie die zu seiner Führung von den öffentlichen Stellen zu liefernden Angaben dem Landesbeauftragten für den Datenschutz, wertvolle Grundlagen für seine Tätigkeit zu gewinnen. Die vorgesehene Regelung ist mit § 26 Abs. 5 BDSG vergleichbar.

Die in Absatz 2 normierten Einträge im Datenschutzregister erlauben einen umfassenden Überblick darüber, welche der öffentlichen Stellen welche personenbezogenen Daten verarbeiten. Den Einträgen kann im Einzelfall aber nicht entnommen werden, ob personenbezogene Daten bestimmter Personen verarbeitet werden. Solches würde die Funktion eines Datenschutzregisters übersteigen, zudem im Ergebnis datenschutzwidrig sein. Welche Daten zu seiner Person von einer bestimmten Stelle gespeichert werden, kann der Betroffene durch Ausübung seines Auskunftsrechts (§ 13) feststellen.

Die Rechtsverordnung nach Absatz 4 regelt Einzelheiten über Aufbau und Inhalt des Registers, die Art und Weise der Registerführung sowie die Form der Auskunftserteilung. Sie kann Beschränkungen des Inhalts des Registers und des Einsichtsrechts festlegen; auch können Regelungen zur Verfahrensweise getroffen werden, wenn automatisierte Verfahren nur vorübergehend zur Erledigung einer zeitlich begrenzten Aufgabe eingerichtet werden. Vor Erlaß der Rechtsverordnung wird die Landesregierung den Landesbeauftragten für den Datenschutz hören.

Zu § 13:

(Auskunftsanspruch)

Die Vorschrift entspricht weitgehend § 19 BDSG. Hat der Bürger Anlaß zu der Annahme, dass eine öffentliche Stelle Daten zu seiner Person speichert, dann kann er ihr gegenüber einen Auskunftsanspruch geltend machen (Absatz 1). Der Anspruch richtet sich gegen die speichernde Stelle, nicht gegen die in deren Auftrag lediglich die Daten verarbeitende Stelle (§ 8). Der Auskunftsanspruch umfaßt grundsätzlich alle gespeicherten personenbezogenen Daten, auch solche in Akten. Er bezieht sich ferner auf den Zweck der Speicherung sowie auf Herkunft und Empfänger dieser Daten. Über Herkunft und Empfänger der Daten braucht allerdings nur Auskunft erteilt zu werden, soweit diese gespeichert oder sonst bekannt sind. § 13 verlangt nicht, dass die Herkunft der Daten und deren Empfänger zu Auskunftszwecken dokumentiert werden. Soweit sich aus anderen Vorschriften eine Verpflichtung zur Aufzeichnung dieser Angaben ergibt, bleiben diese Vorschriften unberührt.

Die Auskunft wird unentgeltlich erteilt, wie dies auch § 19 Abs. 7 BDSG vorsieht.

Wenn eine Auskunft bereits erteilt wurde, die gespeicherten Daten sich nicht geändert haben und auch aufgrund der Umstände des einzelnen Falles die Schlußfolgerung gerechtfertigt ist, dass die Auskunft mißbräuchlich verlangt wird, ist der Auskunftsantrag unbeachtlich. Insoweit findet der allgemeine Gedanke des Rechtsmißbrauchs Anwendung, weshalb von einer entsprechenden Regelung abgesehen worden ist.

Die Vorschrift über den Antrag auf Auskunftserteilung (Absatz 3) sieht vor, dass den Auskunftsersuchenden eine Obliegenheit trifft, im Antrag die Art der personenbezogen Daten, über die Auskunft verlangt wird, näher zu bezeichnen. Dadurch wird die Auskunftserteilung in vielen Fällen erst ermöglicht. Bei Akten wird der Auskunftsanspruch ferner davon abhängig gemacht, dass der Betroffene Angaben macht, die ein Auffinden der Daten möglich machen und dass der für die Auskunftserteilung erforderliche Aufwand nicht im Mißverhältnis zum Informationsinteresse des Betroffenen steht. Danach kann beispielsweise nicht verlangt werden, dass große Aktenbestände nach relativ belanglosen Daten durchsucht werden.

Nach Absatz 4 ist die Auskunftserteilung öffentlicher Stellen über die Übermittlung personenbezogener Daten an bestimmte Sicherheitsbehörden nur mit Zustimmung dieser Stellen zulässig. Damit wird der Geheimhaltungsbedürftigkeit solcher Datenübermittlungen und dem Umstand Rechnung getragen, dass regelmäßig nur die genannten Stellen aufgrund ihrer besonderen Sachkenntnis darüber entscheiden können, ob dem Auskunftsersuchen stattgegeben werden kann.

In Absatz 5 werden wie in § 19 Abs. 4 BDSG die Fälle geregelt, in denen die Auskunftserteilung unterbleibt, weil öffentliche Interessen oder berechtigte Interessen eines Dritten im Einzelfall das Interesse des Betroffenen auf Auskunftserteilung überwiegen. Damit wird vor allem den Urteilen des Bundesverwaltungsgerichts vom 20. Februar 1990 (NJW 1990, 2761 und 2765) Rechnung getragen, in denen darauf hingewiesen wird, dass es bestimmte staatliche Aufgaben gibt, die zu ihrer Erfüllung der Geheimhaltung bedürfen und dass die Wahrnehmung derartiger Aufgaben (etwa im Verfassungsschutzbereich oder bei der Verbrechensbekämpfung) erheblich erschwert oder unmöglich gemacht würde, wenn personenbezogene Daten gegenüber dem Bürger uneingeschränkt offengelegt werden müßten.

Ein schriftlicher Verwaltungsakt - wie die Ablehnung der Auskunftserteilung - ist grundsätzlich zu begründen. Das Bundesverwaltungsgericht hat in den bereits genannten Urteilen darauf hingewiesen, dass in Fällen, in denen ein Geheimhaltungsbedürfnis besteht, die Pflicht zur Begründung nicht soweit geht, dass die Begründung Rückschlüsse auf die geheimzuhaltenden Umstände eröffnet (Absatz 6). Durch die Verweigerung der Auskunft wird das Recht des einzelnen auf informationelle Selbstbestimmung tangiert. Kennt der Betroffene die Gründe für die Verweigerung der Auskunft nicht, ist er zur Wahrnehmung seines Rechtsschutzinteresses auf die Möglichkeit hinzuweisen, den Landesbeauftragten für den Datenschutz anzurufen.

Zu § 14:

(Berichtigungsanspruch)

Ein Berichtigungsanspruch löst Ermittlungen über die Richtigkeit der Daten aus. Sie können zu dem Ergebnis führen, dass die gespeicherten Daten dem tatsächlichen Lebenssachverhalt jedenfalls nicht entsprechen, ohne dass der zutreffende Sachverhalt ermittelt werden kann. Damit steht fest, dass die gespeicherten Daten unrichtig sind; bei Daten in Dateien kann der Betroffene deren Löschung verlangen (§ 16 Abs. 1 Nr. 1). Bei Daten in Akten ist deren Unrichtigkeit bzw. die Tatsache, dass der Betroffene die Richtigkeit der Daten bestreitet, in der Akte oder auf sonstige Weise festzuhalten. Läßt sich weder die Richtigkeit noch die Unrichtigkeit der Daten fest-stellen, dann bleiben sie in Dateien oder Akten gespeichert, werden aber gesperrt (§ 15).

Zu § 15:

(Anspruch auf Sperrung) Absatz 1 enthält zusammenfassend die Regelungen über die Sperrung personenbezogener Daten in Dateien.

Die Sperrung einzelner personenbezogener Daten in Akten (Absatz 2) wird im Hinblick auf die Besonderheiten im Aktenbereich (Vielzahl von Akten und der darin enthaltenen, zur Aufgabenerfüllung teilweise nicht mehr erforderlichen Daten) nur für Fälle angeordnet, in den die speichernde Stelle im Einzelfall feststellt, dass die Daten unzulässig gespeichert oder zur Aufgabenerfüllung nicht mehr erforderlich sind und ohne die Sperrung schutzwürdige Belange des Betroffenen beeinträchtigt würden.

Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur unter den einschränkenden Voraussetzungen des Absatzes 3 übermittelt und genutzt werden. Dies entspricht weitgehend § 20 Abs. 6 BDSG. Als Ausgleich für die in Absatz 2 getroffene Regelung, die eine Sperrung genügen läßt, sieht Absatz 3 Satz 2 zum Schutze des Betroffenen das Verbot vor, unzulässig in Akten gespeicherte Daten ohne Einwilligung des Betroffenen zu übermitteln oder zu nutzen. Diese Vorschrift geht über die in § 20 Abs. 6 BDSG enthaltene Regelung hinaus.

Zu § 16:

(Anspruch auf Löschung) Absatz 1 enthält zusammenfassend die Regelungen über die Löschung personenbezogener Daten in Dateien. Bei der Entscheidung darüber, ob Daten zur Aufgabenerfüllung der speichernden Stelle noch erforderlich sind, ist zu berücksichtigen, dass die öffentliche Verwaltung verpflichtet ist, Verwaltungsvorgänge zum Zwecke der Kon-trolle durch die Rechts- und Fachaufsichtsbehörden, die Gerichte, den Rechnungshof sowie den Landtag verfügbar zu halten. Der Begriff der Aufgabenerfüllung umfaßt daher nicht nur die Daten, die zur aktuellen Erledigung der Verwaltungsaufgabe erforderlich sind, sondern ist einschließlich der genannten Dokumentationspflichten zu verstehen.

Nach Absatz 2 sind in Akten gespeicherte personenbezogene Daten nur dann zu löschen, wenn die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist. Diese Vorschrift geht über § 20 Abs. 5 BDSG hinaus, der bezüglich dieser Daten keine Löschung, sondern nur eine Sperrung unter einschränkenden Voraussetzungen vorsieht.

Die Verpflichtung zur Löschung darf nicht dazu führen, dass die Überlieferung historisch bedeutsamer Vorgänge an die Nachwelt unmöglich gemacht wird. Daher hat die Löschung nicht mehr benötigter Daten in denjenigen Fällen zu unterbleiben, in denen aufgrund der Vorschriften des noch zu schaffenden Landesarchivgesetzes die Übernahme der gespeicherten Daten durch das zuständige staatliche oder kommunale Archiv in Betracht kommt (Absatz 3).