Änderungsantrag zum Entwurf eines Gesetzes zur Anpassung des Hamburgischen Datenschutzgesetzes sowie weitere Vorschriften an die Verordnung (EU) 2016/679 (Drs. 21/11638)

Mittwoch, 16.05.2018

Der Ausschuss für Justiz und Datenschutz befasste sich in seiner Sitzung am 27. März 2018 im Rahmen einer Expertenanhörung mit dem Entwurf eines Gesetzes zur Anpassung des Hamburgischen Datenschutzgesetzes sowie weitere Vorschriften an die Verordnung (EU) 2016/679 (Drs. 21/11638). Im Wortprotokoll Nr. 21/23 des Ausschusses für Justiz und Datenschutz sind die Meinungen der geladenen Experten sowie des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit dokumentiert (S. 31 - 60). In der Sitzung des Ausschusses für Justiz und Datenschutz am 24. April 2018 erfolgte die ebenfalls als Wortprotokoll (Nr. 21/24) dokumentierte Senatsanhörung und abschließende Befassung mit der Drs. 21/11638. Wesentlicher Bestandteil der Erörterungen waren die Verarbeitung von Beschäftigtendaten in Artikel 1 § 10 Absatz 7, die Beschränkung der Informationspflichten in Artikel 1 § 15 Absatz 1 Nummer 1 anknüpfend an das im Entwurf aufgeführte Merkmal der öffentlichen Ordnung, die Zuständigkeit für die Kontrolle des Verbots mit dem Amt nicht zu vereinbarender Tätigkeiten nach der Beendigung der Amtszeit als Datenschutzbeauftragte/r in Artikel 1 § 23 Absatz 3 Satz 1 sowie die dienstrechtliche Stellung des derzeit amtierenden Beauftragten für Datenschutz und Informationsfreiheit in Artikel 7 Absatz 2 des Entwurfs. Ebenso wurde die Konkretisierung des Anwendungsbereichs des Anpassungsgesetzes (Artikel 1 § 2) mit Blick auf Kirchen und religiöse Vereinigungen oder Gemeinschaften erörtert. Folge der aufgezählten Erörterungen sind die nachstehenden Gesetzesänderungsanträge sowie eine klarstellende Entschließung für Kirchen und religiöse Vereinigungen oder Gemeinschaften.

Die Einfügung eines Artikel 1 a in den Gesetzentwurf ist notwendig, da andernfalls die datenschutzrechtliche Aufsicht über diese öffentlichen Stellen in Hamburg mit Außerkrafttreten des HmbDSG am 25. Mai 2018 nicht mehr gewährleistet wäre. Eine landesrechtliche Lösung ist geboten, weil bislang entsprechende Regelungen in der Strafprozessordnung (StPO) fehlen.

 

Vor diesem Hintergrund möge die Hamburgische Bürgerschaft beschließen:

 

I. Änderungsanträge zum Gesetzentwurf der Drs. 21/11638:

 

1.

Einfügung eines Artikels 1a

Nach Artikel 1 wird folgender Artikel 1a eingefügt:

 

Artikel 1a

Hamburgisches Gesetz

zur Aufsicht über die Anwendung der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften

 

Abschnitt 1

Allgemeine Vorschriften

 

§ 1

Zweck

Dieses Gesetz dient der Errichtung einer unabhängigen datenschutzrechtlichen Aufsicht über Datenverarbeitungen im Anwendungsbereich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. EU Nr. L 119 S. 89).

 

§ 2

Anwendungsbereich

(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch öffentliche Stellen der Freien und Hansestadt Hamburg, soweit deren Tätigkeit der Richtlinie (EU) 2016/680 unterfällt.

 

(2) Soweit in dem in Absatz 1 genannten Anwendungsbereich besondere Rechtsvorschriften auf die Verarbeitung personenbezogener Daten anwendbar sind, gehen sie den Vorschriften dieses Gesetzes vor.

 

Abschnitt 2

Datenschutzbeauftragte der öffentlichen Stellen

 

§ 3

Entsprechende Anwendung des Bundesdatenschutzgesetzes

Für die Benennung, Stellung und die Aufgaben der oder des Datenschutzbeauftragten der öffentlichen Stellen der Freien und Hansestadt Hamburg im Anwendungsbereich dieses Gesetzes gelten §§ 5 bis 7 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) in der jeweils geltenden Fassung entsprechend. Dies gilt nicht für Gerichte im Rahmen ihrer justiziellen Tätigkeit.

 

Abschnitt 3

Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes

 

§ 4

Zuständigkeit und Stellung

(1) Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist zuständig für die Aufsicht über die Verarbeitung personenbezogener Daten durch die in § 2 Absatz 1 genannten öffentlichen Stellen.

 

(2) Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist nicht zuständig für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

 

(3) Artikel 52 und Artikel 53 Absatz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU Nr. L 119 S. 1; L 314 S. 72) und §§ 20 bis 23 des Hamburgischen Datenschutzgesetzes vom … (HmbGVBl. S. …) [einfügen: Ausfertigungsdatum und Fundstelle] in der jeweils geltenden Fassung sind im Anwendungsbereich dieses Gesetzes entsprechend anwendbar.

 

§ 5

Aufgaben

Für die Aufgaben der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes gelten §§ 14 und 82 des Bundesdatenschutzgesetzes entsprechend mit der Maßgabe, dass daneben nicht die in der Verordnung (EU) 2016/679 genannten Aufgaben bestehen. Dabei treten

 

1. an die Stelle der oder des Bundesbeauftragen die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit,

 

2. an die Stelle der Verantwortlichen und der öffentlichen Stellen des Bundes die in § 2 Absatz 1 genannten öffentlichen Stellen,

 

3. an die Stelle des Deutschen Bundestages und des Bundesrates die Bürgerschaft,

 

4. an die Stelle eines Ausschusses des Deutschen Bundestages ein Ausschuss der Bürgerschaft,

 

5. an die Stelle der Bundesregierung der Senat, und

 

6. an die Stelle der Aufgabe nach § 60 des Bundesdatenschutzgesetzes die Aufgabe nach § 8 dieses Gesetzes.

 

§ 6

Befugnisse

Für die Befugnisse der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes gilt § 43 des Hamburgischen Justizvollzugsdatenschutzgesetzes vom … (HmbGVBl. S. …) [einfügen: Ausfertigungsdatum und Fundstelle] in der jeweils geltenden Fassung entsprechend.

 

§ 7

Tätigkeitsbericht

Ergänzend zu Artikel 59 der Verordnung (EU) 2016/679 und § 24 Absatz 2 des Hamburgischen Datenschutzgesetzes nimmt die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in den Jahresbericht auch ihre oder seine Tätigkeit im Anwendungsbereich dieses Gesetzes auf. Der Bericht kann eine Liste der Arten der gemeldeten Verstöße und der getroffenen Maßnahmen enthalten.

 

§ 8

Anrufung

(1) Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an die Hamburgische Beauftragte oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit wenden, wenn sie der Auffassung ist, bei der Verarbeitung ihrer personenbezogenen Daten durch öffentliche Stellen der Freien und Hansestadt Hamburg im Anwendungsbereich dieses Gesetzes in ihren Rechten verletzt worden zu sein. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die betroffene Person über den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die Möglichkeit gerichtlichen Rechtsschutzes nach § 9 hinzuweisen.

 

(2) Absatz 1 gilt nicht für die Verarbeitung von personenbezogenen Daten durch Gerichte, soweit diese die Daten im Rahmen ihrer justiziellen Tätigkeit verarbeitet haben.

 

(3) Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine bei ihr oder ihm eingelegte Beschwerde über eine Verarbeitung, die in die Zuständigkeit einer anderen Aufsichtsbehörde fällt, unverzüglich an die zuständige Aufsichtsbehörde weiterzuleiten. Sie oder er hat in diesem Fall die betroffene Person über die Weiterleitung zu unterrichten und ihr auf deren Ersuchen weitere Unterstützung zu leisten.

 

§ 9

Rechtsschutz gegen Entscheidungen oder bei Untätigkeit

(1) Jede natürliche oder juristische Person kann unbeschadet anderer Rechtsbehelfe gerichtlich gegen eine verbindliche Entscheidung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vorgehen.

 

(2) Absatz 1 gilt entsprechend zugunsten betroffener Personen, wenn sich die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit mit einer Beschwerde nach § 8 nicht befasst oder die betroffene Person nicht innerhalb von drei Monaten nach Einlegung der Beschwerde über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

 

§ 10

Sonstige Beteiligungen

Soweit auf die Verarbeitung personenbezogenen Daten durch öffentliche Stellen der Freien und Hansestadt Hamburg im Rahmen von unter die Richtlinie (EU) 2016/680 fallenden Tätigkeiten die Vorschriften aus Teil 3 des Bundesdatenschutzgesetzes Anwendung finden, tritt

 

1. in § 55 Nummern 4 und 5, § 57 Absatz 1 Satz 2 Nummern 7 und 8 und Absatz 7, § 65, § 66 Absatz 4, §§ 68, 69, § 70 Absatz 4, § 76 Absätze 3 und 5, § 79 Absätze 2 und 3 und § 84 in Verbindung mit § 42 Absatz 3 Satz 2 des Bundesdatenschutzgesetzes an die Stelle der oder des Bundesbeauftragten die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit,

 

2. in § 57 Absatz 1 Satz 2 Nummer 7 und Absatz 7 Satz 2 des Bundesdatenschutzgesetzes an die Stelle von § 60 des Bundesdatenschutzgesetzes § 8 dieses Gesetzes, und

 

3. in § 57 Absatz 7 Satz 3 des Bundesdatenschutzgesetzes an die Stelle der zuständigen obersten Bundesbehörde die zuständige Behörde der Freien und Hansestadt Hamburg.

 

2.

In Artikel 1 § 10 Absatz 7 wird das Wort „gespeichert“ durch das Wort „verarbeitet“ ersetzt.

 

3.

In Artikel 1 § 15 Absatz 1 Nummer 1 werden die Wörter „oder Ordnung“ gestrichen.

 

4.

In Artikel 1 § 23 Absatz 2 Satz 1 werden die Wörter „der Präsidentin oder dem Präsidenten der Bürgerschaft“ ersetzt durch die Wörter „der oder dem amtierenden Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit“.

 

5.

In Artikel 1 § 23 Absatz 3 Satz 1 werden die Wörter „Die Präsidentin oder der Präsident der Bürgerschaft“ ersetzt durch die Wörter „Die oder der amtierende Hamburgische Beauftragte für Datenschutz und Informationsfreiheit“.

 

6.

Artikel 7 Absatz 2 wird wie folgt gefasst: „(2) Die oder der zum Zeitpunkt des Inkrafttretens dieses Gesetzes im Amt befindliche Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gilt als nach Artikel 60a der Verfassung der Freien und Hansestadt Hamburg in ein Amt nach Artikel 1 § 21 dieses Gesetzes berufen. Ihre oder seine statusrechtliche Stellung bleibt unberührt. Die laufende Amtszeit gilt als nach Artikel 1 § 21 dieses Gesetzes begonnen.“

 

II. Entschließung zur Drs. 21/11638

 

Die Bürgerschaft weist zu Art. 1 § 2 des Gesetzentwurfs darauf hin, dass Kirchen und religiöse Vereinigungen oder Gemeinschaften die von ihnen zum Zeitpunkt des Inkrafttretens der Verordnung (EU) 2016/679 angewandten Regeln zum Schutz natürlicher Personen bei der Verarbeitung weiter anwenden dürfen, sofern diese Vorschriften mit der Verordnung (EU) 2016/679 in Einklang gebracht werden (Art. 91 Abs. 1 der Verordnung (EU) 2016/679). Insoweit findet auch das Hamburgische Datenschutzgesetz auf sie keine Anwendung.

 

Begründung:

 

Zu Änderungsantrag I. 1:

Das Gesetz dient der Umsetzung der Richtlinie (EU) 2016/680 im Hinblick auf die datenschutzrechtliche Aufsicht über öffentliche Stellen der Freien und Hansestadt Hamburg, soweit deren Tätigkeit der Richtlinie unterfällt. Das Gesetz regelt hierzu die Stellung, die Aufgaben und die Befugnisse der Datenschutzbeauftragten der öffentlichen Stellen sowie der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Im Übrigen sind die Vorgaben der Richtlinie jeweils bereichsspezifisch umzusetzen. So gelten etwa im Strafverfahren die Datenschutzvorschriften der Strafprozessordnung und – soweit diese keine Regelungen treffen – das Bundesdatenschutzgesetz (2018), insbesondere dessen Teil 3.

 

Zu § 1:

§ 1 nennt den Zweck des Gesetzes und wird Artikel 63 Absatz 1 der Richtlinie gerecht, soweit dort bei der Umsetzung eine Bezugnahme auf die Richtlinie gefordert wird.

 

Zu § 2:

Die Vorschrift legt den Anwendungsbereich fest. Sie orientiert sich an der Formulierung in § 2 Absatz 4 des Hamburgischen Datenschutzgesetzes in der ab dem 25. Mai 2018 geltenden Fassung. Dort werden die genannten öffentlichen Stellen, soweit deren Tätigkeit der Richtlinie (EU) 2016/680 unterfällt, aus dem Anwendungsbereich des Gesetzes herausgenommen. Soweit in spezielleren Gesetzen zur Umsetzung der Richtlinie – etwa im Hamburgischen Justizvollzugsdatenschutzgesetz – Vorschriften zur Datenschutzaufsicht enthalten sind, gehen diese dem vorliegenden Gesetz vor.

 

Zu § 3:

§§ 5 bis 7 des Bundesdatenschutzgesetzes regeln die Benennung, Stellung und Aufgaben der oder des Datenschutzbeauftragten der öffentlichen Stellen. Diese Regelungen gelten laut Gesetzesbegründung (BT-Drs. 18/11325, S. 81) nur für öffentliche Stellen des Bundes. Daher ist eine entsprechende Anwendung dieser Vorschriften angezeigt. Damit erfolgt für den Anwendungsbereich dieses Gesetzes eine Umsetzung von Artikel 32 bis 34 der Richtlinie (EU) 2016/680. Soweit die Gerichte im Rahmen ihrer justiziellen Tätigkeit ausgenommen werden, geht dies auf Artikel 32 Absatz 1 Satz 2 der Richtlinie zurück.

 

Zu § 4:

Die Regelung orientiert sich an § 41 des Hamburgischen Justizvollzugsdatenschutzgesetzes. Absatz 1 regelt in Umsetzung von Artikel 41 Absatz 1 und 45 Absatz 1 der Richtlinie (EU) 2016/680, dass die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit als unabhängige Aufsichtsbehörde im Sinne der Richtlinie die Einhaltung der Umsetzungsvorschriften und sonstiger Bestimmungen zum Datenschutz überwacht.

 

Durch die entsprechende Anwendbarkeit von Artikel 52 der Verordnung (EU) 2016/679 wird Artikel 42 der Richtlinie (EU) 2016/680 umgesetzt, der eine vollständige Unabhängigkeit der Aufsichtsbehörde verlangt. Durch die entsprechende Anwendbarkeit von Artikel 53 Absatz 2 der Verordnung (EU) 2016/679 wird Artikel 43 Absatz 2 der Richtlinie (EU) 2016/680 umgesetzt, der Anforderungen an die Qualifikation der Mitglieder der Aufsichtsbehörde aufstellt. Durch die entsprechende Anwendbarkeit von §§ 20 bis 23 des Hamburgischen Datenschutzgesetzes wird Artikel 44 der Richtlinie (EU) 2016/680 umgesetzt.

 

Zu § 5:

Die Vorschrift orientiert sich an § 43 des Hamburgischen Justizvollzugsdatenschutzgesetzes. Sie erklärt §§ 14 und 82 des Bundesdatenschutzgesetzes für entsprechend anwendbar, wobei einzelne dort verwendete Begriffe durch die in Satz 2 genannten Begriffe zu ersetzen sind, um den erforderlichen Bezug zum Anwendungsbereich dieses Gesetzes herzustellen.

 

Durch die entsprechende Anwendbarkeit von § 14 des Bundesdatenschutzgesetzes erfolgt – zur Umsetzung von Artikel 46 der Richtlinie (EU) 2016/680 – die Festlegung der Aufgaben der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Dabei handelt es sich in erster Linie um die Überwachung und Durchsetzung der Anwendung der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften.

 

Durch die entsprechende Anwendbarkeit von § 82 des Bundesdatenschutzgesetzes erfolgt eine Umsetzung des Artikels 50 der Richtlinie (EU) 2016/680.

 

Zu § 6:

Hinsichtlich der Befugnisse des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit wird § 43 des Hamburgischen Justizvollzugsdatenschutzgesetzes für entsprechend anwendbar erklärt, um insoweit einen Gleichlauf sicherzustellen. Letztgenannte Vorschrift orientiert sich an § 16 des Bundesdatenschutzgesetzes und dient der Umsetzung von Artikel 47 der Richtlinie (EU) 2016/680, wonach wirksame Untersuchungs- und Abhilfebefugnisse der unabhängigen Aufsichtsbehörde festgelegt werden müssen.

 

Zu § 7:

Die Vorschrift dient der Umsetzung von Artikel 49 der Richtlinie, der einen jährlichen Tätigkeitsbericht der datenschutzrechtlichen Aufsichtsbehörde vorsieht.

 

Zu § 8:

Die Vorschrift orientiert sich an § 60 des Bundesdatenschutzgesetzes. Absatz 1 setzt Artikel 52 Absatz 1 und 4 der Richtlinie (EU) 2016/680 um. Absatz 3 setzt Artikel 52 Absatz 2 und 3 der Richtlinie um. Soweit in Absatz 2 die Gerichte aus dem Anwendungsbereich der Vorschrift klarstellend herausgenommen werden, steht dies im Zusammenhang mit § 4 Absatz 2 dieses Gesetzes und beruht damit ebenfalls auf Artikel 32 Absatz 1 Satz 2 der Richtlinie.

 

Zu § 9:

Die Vorschrift orientiert sich an § 61 des Bundesdatenschutzgesetzes. Sie setzt Artikel 53 der Richtlinie (EU) 2016/680 um.

 

Zu § 10:

Soweit das Bundesdatenschutzgesetz (2018) – wie etwa im Straf- oder Bußgeldverfahren – direkt zur Anwendung kommt (vgl. § 1 Absatz 1 Satz 1 Nr. 2 BDSG), gelten in erster Linie die zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Vorschriften in dessen Teil 3.

 

Diesbezüglich lässt § 10 des vorliegenden Gesetzes den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit an die Stelle des im Bundesdatenschutzgesetz genannten Bundesbeauftragten treten.

 

Zu Änderungsantrag I. 2:

Ergänzende terminologische Anpassung des HmbDSG an die Verordnung (EU) 2016/679.

 

Zu Änderungsantrag I. 3:

Mit der Streichung der Wörter „oder Ordnung“ wird dem Umstand Rechnung getragen, dass die Verordnung (EU) 2016/679 eine solche Einschränkung nicht vorsieht. Insofern wird einer Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Gesetzentwurf gefolgt.

 

Zu Änderungsanträgen I. 4 und 5:

Mit der Kontrolle des Verbots mit dem Amt nicht zu vereinbarender Tätigkeiten der bzw. des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nach Beendigung ihres bzw. seines Amtsverhältnisses wird die/der jeweils amtierende Hamburgische Beauftragte für Datenschutz und Informationsfreiheit betraut.

 

Zu Änderungsantrag I. 6:

Mit diesem Änderungsantrag wird gewährleistet, dass sich die statusrechtliche Stellung des amtierenden Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nicht durch dieses Gesetz ändert.

 

Zu II.:

Der Entschließungsantrag stellt klar, dass und inwieweit das HmbDSG aufgrund Art. 91 Abs. 1 der Verordnung (EU) 2016/679 auf Kirchen und religiöse Vereinigungen oder Gemeinschaften keine Anwendung findet. Eine Aufnahme dieser Klarstellung in den Gesetzestext scheidet aufgrund des unionsrechtlichen Wiederholungsverbots aus.