Das Hessische Datenschutzgesetz ist das Datenschutzgesetz fur die offentliche Verwaltung des Landes Hessen . Es trat 1970 in Kraft und ist damit das erste und alteste formelle Datenschutzgesetz der Welt. ^[1]

Das Gesetz regelt, wann die offentliche Verwaltung des Landes Hessen personenbezogene Daten verarbeiten darf und welche Vorgaben sie dabei beachten muss. Durch diese Reglementierung der Datenverarbeitung soll sichergestellt werden, dass die Personen, deren Daten verarbeitet werden, nicht in ihrem Recht auf informationelle Selbstbestimmung verletzt werden (§ 1 Abs. 1 Nr. 1).

Außerdem soll durch das Gesetz ?das auf dem Grundsatz der Gewaltenteilung beruhende verfassungsmaßige Gefuge des Staates […] vor einer Gefahrdung infolge der automatisierten Datenverarbeitung“ bewahrt werden (§ 1 Abs. 1 Nr. 2). Dieses ? fur ein Datenschutzgesetz ungewohnliche ? Ziel soll durch Regelungen erreicht werden, die das Informationsgefalle der Legislative gegenuber der Exekutive nivellieren.

Dieses Gesetz gilt gemaß § 3 Abs. 1 fur Behorden und sonstige offentliche Stellen des Landes Hessen und fur die hessische Kommunalverwaltung . Es gilt auch fur die sonstigen der Aufsicht des Landes Hessen unterstehenden juristischen Personen des offentlichen Rechts , z. B. die Johann Wolfgang Goethe-Universitat Frankfurt am Main , und fur deren Vereinigungen. Unternehmen der Privatwirtschaft sind nur dann an das Hessische Datenschutzgesetz gebunden, wenn und soweit sie hoheitliche Aufgaben unter Aufsicht der hessischen Behorden wahrnehmen, z. B. Schornsteinfeger oder wenn sie Daten im Auftrag hoheitlicher Stellen verarbeiten (§ 4).

Fur den Hessischen Rundfunk und fur offentlich-rechtliche Unternehmen, die am Wettbewerb teilnehmen, gelten gemaß § 3 Abs. 5 und 6 nur bestimmte Teile des Gesetzes, ebenso fur den Hessischen Landtag (§ 39).

Das Hessische Datenschutzgesetz ist in funf Teile gegliedert:

• Erster Teil: Allgemeiner Datenschutz (§§ 1?20)
• Zweiter Teil: Hessischer Datenschutzbeauftragter (§§ 21?31)
• Dritter Teil: Besonderer Datenschutz (§§ 32?37)
• Vierter Teil: Rechte des Landtags und der kommunalen Vertretungsorgane (§§ 38, 39)
• Funfter Teil: Schlussvorschriften (§§ 40?44)

Der Erste Teil des Hessischen Datenschutzgesetzes ist in drei Abschnitte untergliedert. Der Erste Abschnitt (§§ 1 bis 10) enthalt Grundsatzregelungen.

In § 1 ist der Gesetzeszweck genannt.

In § 2 werden grundlegende Begriffe des Gesetzes definiert, u. a. die Begriffe ? personenbezogene Daten “, ?datenverarbeitende Stelle“, ? Dritter “, ?Empfanger“, ? Akte “ und ? Datei “. § 2 Abs. 2 stellt klar, was unter dem Begriff der ? Datenverarbeitung “ zu verstehen ist, namlich ?jede Verwendung gespeicherter oder zur Speicherung vorgesehener personenbezogener Daten“. Der Datenverarbeitungsbegriff des HDSG umfasst also auch die erstmalige Erhebung von personenbezogenen Daten. Darin unterscheidet er sich von der Datenverarbeitung im Sinne des Bundesdatenschutzgesetzes , die den Vorgang der Datenerhebung nicht umfasst.

In § 3 wird der Anwendungsbereich bestimmt.

§ 4 regelt die Datenverarbeitung im Auftrag . Ist der Auftragnehmer eine Stelle, die nicht dem Geltungsbereich des HDSG unterfallt, so muss vertraglich sichergestellt werden, dass der Auftragnehmer die Bestimmungen des HDSG befolgt und sich der Kontrolle durch den Hessischen Datenschutzbeauftragten unterwirft. Dadurch soll verhindert werden, dass der Datenschutz durch eine Verlagerung der Datenverarbeitung ausgehebelt wird.

§ 5 legt fest, dass jede datenverarbeitende Stelle einen Datenschutzbeauftragten zu bestellen hat, und bestimmt dessen Aufgabenbereich. Die Pflicht zur Fuhrung von Verfahrensverzeichnissen ist in § 6 festgelegt. § 7 Abs. 1 regelt, in welchen Fallen uberhaupt Daten verarbeitet werden durfen, namlich dann, wenn das Hessische Datenschutzgesetz oder eine diesem vorgehende Rechtsvorschrift dies vorsieht, zulasst oder zwingend voraussetzt oder wenn der Betroffene eingewilligt hat. § 7 Abs. 2 enthalt Details zu den Voraussetzungen einer wirksamen Einwilligung . § 8 zahlt auf, welche Rechte die Personen haben, deren Daten verarbeitet werden. Das Datengeheimnis ist in § 9 statuiert. § 10 verpflichtet die datenverarbeitenden Stellen, bestimmte organisatorische und technische Maßnahmen zu ergreifen, um den Datenschutz und die Datensicherheit zu gewahrleisten.

Der Zweite Abschnitt des Ersten Teils (§§ 11?17) enthalt die Rechtsgrundlagen der Datenverarbeitung. Gemaß § 11 Abs. 1 S. 1 ist die Verarbeitung personenbezogener Daten nur zulassig, ?wenn sie zur rechtmaßigen Erfullung der in der Zustandigkeit der datenverarbeitenden Stelle liegenden Aufgaben und fur den jeweils damit verbundenen Zweck erforderlich ist“. Wie personenbezogene Daten zu erheben sind, ist in § 12 geregelt. § 13 verbietet es grundsatzlich, Daten zu anderen Zwecken als ursprunglich vorgesehen zu verwenden (sog. Zweckbindung ). Die §§ 14, 16?17 regeln die Ubermittlung von Daten an anderen Stellen und Personen, § 15 die Zulassigkeit von so genannten gemeinsamen Verfahren. Dies sind automatisierten Verfahren, die mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten ermoglichen, also insbesondere zentralisierte Datenbanken.

Der Dritte Abschnitt (§§ 18?20) prazisiert die bereits in § 8 genannten Betroffenenrechte auf Auskunft und Benachrichtigung (§ 18), Datenberichtigung, -sperrung und -loschung (§ 19) und auf Schadensersatz (§ 20).

Im Zweiten Teil des Gesetzes (§§ 21?31) sind die Rechtsstellung, die Aufgaben und Befugnisse sowie die Pflichten des Hessischen Datenschutzbeauftragten geregelt. Gemaß § 22 ist der Datenschutzbeauftragte ?in Ausubung seines Amtes unabhangig und nur dem Gesetz unterworfen“. Er wird gemaß § 21 Abs. 1 vom Landtag gewahlt.

Hauptaufgabe des Hessischen Datenschutzbeauftragte ist es gemaß § 24 Abs. 1 S. 1, die Einhaltung des Datenschutzes bei den datenverarbeitenden Stellen zu uberwachen. Dabei liegt der Schwerpunkt auf einer Beratung der Stellen. Fuhrt die Beratung nicht zum Erfolg, so kann der Hessische Datenschutzbeauftragte festgestellte Datenschutzverstoße gemaß § 27 beanstanden, d. h. der obersten Landesbehorde oder der zustandigen Aufsichtsbehorde melden. Schwerwiegende Datenschutzmangel stellt der Datenschutzbeauftragte in seinem Jahresbericht dar, den er gemaß § 30 Abs. 1 dem Landtag vorzulegen hat. Die Landesregierung hat dazu eine Stellungnahme abzugeben (§ 30 Abs. 2).

Die fur seine Tatigkeit erforderliche Personal- und Sachausstattung ist dem Hessischen Datenschutzbeauftragten durch den Prasidenten des Landtages zur Verfugung zu stellen (§ 31 Abs. 1). Auf seinen Vorschlag ernennt der Prasident des Landtages die Beamten (§ 31 Abs. 2 Satz 1), ihr Dienstvorgesetzter ist aber der Hessische Datenschutzbeauftragte, an dessen Weisungen sie ausschließlich gebunden sind. Dies gilt analog fur alle ubrigen Mitarbeiter (§ 31 Abs. 2 Satz 2 und 3).

Der Dritte Teil des Gesetzes (§§ 32?37) enthalt Sondervorschriften, die den Vorschriften des Ersten Teils vorgehen. Einige von ihnen (§§ 32, 33 und 35) erlauben bestimmte Datenverarbeitungen unter erleichterten Voraussetzungen, andere (§§ 34 und 36) legen fur besonders datenschutzkritische Verarbeitungen einen erhohten Maßstab an.

Unter erleichterten Umstanden durfen Daten fur Planungszwecke und fur wissenschaftliche Zwecke verarbeitet werden (§§ 32, 33). Die Ubermittlung von Daten an offentlich-rechtliche Religionsgesellschaften ist durch § 35 privilegiert.

Verscharfte Regelungen gelten hingegen fur den Datenschutz bei Dienst- und Arbeitsverhaltnissen (§ 34). Diese Regelungen schutzen ausschließlich Beschaftigte der in § 3 Abs. 1 genannten Stellen, also insbesondere Landesbedienstete. § 36 bestimmt, dass ferngesteuerte Messungen und Fernwirkungen nur mit Zustimmung der davon betroffenen Person zulassig sind.

§ 37 regelt die Datenverarbeitung des Hessischen Rundfunks zu journalistisch-redaktionellen Zwecken und betrifft unter anderen den Umgang mit Gegendarstellungen .

Der Vierte Teil besteht aus den §§ 38 und 39. Dies sind Sondervorschriften fur den Hessischen Landtag und bestimmte kommunale Organe.

§ 38 Abs. 1 gewahrt dem Landtag, dem Landtagsprasidenten und den im Landtag vertretenen Fraktionen umfassende Auskunftsrechte gegenuber Landesbehorden und staatlichen bzw. kommunalen Rechenzentren, z. B. gegenuber der Hessischen Zentrale fur Datenverarbeitung . Die Auskunftsrechte beziehen sich nicht auf einzelne personenbezogene Daten, sondern auf Informationen, die durch Auswertung dieser Daten gewonnen werden. Dadurch soll ein mogliches Informationsgefalle zwischen hessischen Behorden einerseits und dem hessischen Gesetzgeber andererseits nivelliert werden. Damit der Landtag uberhaupt in die Lage versetzt wird, sein Auskunftsrecht sinnvoll auszuuben, kann er von der Landesregierung verlangen, dass diese ihn uber die existierenden Datenverarbeitungsverfahren und Datenbanken informiert (§ 38 Abs. 2). § 38 Abs. 3 weitet das Auskunftsrecht auf hessische Gemeindevertretungen und Kreistage sowie die dort vertretenen Fraktionen aus.

Fur den Landtag gilt das Hessische Datenschutzgesetz nur teilweise, um seiner besonderen verfassungsrechtlichen Stellung gerecht zu werden: Die Verwaltung des Landtages ist (bis auf drei Vorschriften) an das HDSG gebunden (§ 39 Abs. 1 Satz 1), in seiner Eigenschaft als Verfassungsorgan hat er sich selbst eine Datenschutzordnung fur die Abgeordneten, die Fraktionen und deren Mitarbeiter zu geben (§ 39 Abs. 1 Satz 2 und 3).

Der Funfte Teil des Gesetzes (§§ 40?44) stellt in § 40 bestimmte rechtswidrige Datenverarbeitungen unter Strafe . § 41 definiert Ordnungswidrigkeiten . § 42 enthalt eine Ubergangsregelung fur alte Akten , die unrichtige oder rechtswidrig gespeicherte Daten enthalten. Die Daten mussen nur dann aus den Akten korrigiert oder getilgt werden, wenn die ?speichernde Stelle die Voraussetzungen fur die Berichtigung, Loschung oder Sperrung bei der Erfullung ihrer laufenden Aufgaben feststellt“. Durch diese Vorschrift wird klargestellt, dass die datenverarbeitenden Stelle nicht verpflichtet sind, ihre Altaktenbestande auf mogliche unrichtige Daten zu untersuchen.

Durch § 43 wurden drei Gesetze aufgehoben, namlich das Hessische Datenschutzgesetz vom 31. Januar 1978 (GVBl. I S. 96), die Hessische Verordnung uber die Veroffentlichung der Angaben uber gespeicherte personenbezogene Daten vom 1. November 1978 (GVBl. I S. 553) und die Hessische Verordnung uber die vom Hessischen Datenschutzbeauftragten zu fuhrenden Dateienregister vom 8. Dezember 1978 (GVBl. I S. 682). § 44 regelt das Inkrafttreten und das Außerkrafttreten des Gesetzes.

Das Datenschutzgesetz des Landes Hessen trat am 13. Oktober 1970 in Kraft, verfasst wurde es von Spiros Simitis , der seither auch als ?Vater des Datenschutzes“ bezeichnet wird. ^[2] Den Auftrag dazu hatte der seinerzeitige hessische Ministerprasident Georg-August Zinn gegeben, inspiriert durch einen Leitartikel von Hanno Kuhnert in der Frankfurter Allgemeinen Zeitung uber die ?Tucken der Computer“ am 10. Juni 1969. ^[3] Noch am selben Tage wurde Willi Birkelbach , seinerzeit Chef der hessischen Staatskanzlei und spater der erste Datenschutzbeauftragte Hessens, mit der Ausarbeitung betraut. ^[4]

Das Gesetz war das erste seiner Art und setzte den Maßstab fur alle spater beschlossenen Datenschutzgesetze des Bundes und der Lander. Ministerprasident Albert Osswald erklarte anlasslich der Verabschiedung des Gesetzes, die Orwellsche Vision des allwissenden Staates werde in Hessen nicht Wirklichkeit werden. ^[5] Kennzeichnend fur das Datenschutzgesetz 1970 waren die Uberwachung des Datenschutzes durch eine unabhangige Institution ? den Landesdatenschutzbeauftragten ? und die Festlegung von organisatorischen, personellen und technischen Datenschutzmaßnahmen. ^[6] Damit war das hessische Gesetz Vorbild sowohl fur das 1977 erlassene Bundesdatenschutzgesetz als auch fur die Datenschutzgesetze der Lander .

Dem Gesetz vom 13. Oktober 1970 fehlten hingegen Regelungen, die nach heutigem Verstandnis unverzichtbar fur den Datenschutz sind. Es erlaubte eine Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage und ohne Einwilligung der betroffenen Personen. Daten durften auch dann erhoben und verarbeitet werden, wenn dies fur die Aufgabenerfullung der datenverarbeitenden Stelle nicht zwingend erforderlich war. Zudem unterlagen die Daten keinerlei Zweckbindung. Diese Situation hatte man 1970 nicht als problematisch angesehen. Erst 13 Jahre nach Inkrafttreten des Datenschutzgesetzes stellte das Bundesverfassungsgericht im Volkszahlungsurteil fest, dass in das Recht auf informationelle Selbstbestimmung nur auf gesetzlicher Grundlage eingegriffen werden darf, ^[7] dass Daten vor einer Zweckentfremdung geschutzt sein mussen ^[8] und dass nur die Daten erhoben und verarbeitet werden durfen, die fur den gesetzlich zugelassenen Zweck zwingend erforderlich sind. ^[9] Diesen verfassungsrechtlichen Vorgaben genugte das Gesetz vom 13. Oktober 1970 nicht. Nach heutigen Maßstaben ware es deshalb vermutlich verfassungswidrig .

Im Rahmen der Diskussion um das Bundesdatenschutzgesetz gelangte der hessische Gesetzgeber zu der Auffassung, dass das Datenschutzgesetz reformbedurftig war. Das Gesetz vom 13. Oktober 1970 wurde daher aufgehoben und durch das Hessische Datenschutzgesetz vom 31. Januar 1978 (GVBl. I S. 96) ersetzt. Eine wesentliche Neuerung bestand darin, die Verarbeitung von personenbezogenen Daten unter den Vorbehalt des Gesetzes zu stellen bzw. von der Einwilligung des Betroffenen abhangig zu machen.

Die zweite Novellierung erfolgte durch das Gesetz vom 11. November 1986 (GVBl. I S. 309) zum 1. Januar 1987. Sie stand unter dem Eindruck des Volkszahlungsurteils und der damit verbundenen Notwendigkeit einer Reform des bestehenden Gesetzes. Hessen setzt jedoch nicht nur die Vorgaben des Bundesverfassungsgerichts zum Schutz des Rechts auf informationelle Selbstbestimmung um, sondern traf auch als erstes Bundesland eine Regelung zum Arbeitnehmerdatenschutz . Der damalige Hessische Datenschutzbeauftragte Spiros Simitis bescheinigte dem Gesetz, ?weit uber die Grenzen der Bundesrepublik Deutschland hinaus als der wohl wichtigste Beitrag zur Fortentwicklung des Datenschutzes“ zu gelten. ^[10]

Im Jahr 1995 erließ die Europaische Gemeinschaft die Richtlinie 95/46/EG (Datenschutzrichtlinie) . Die EG-Mitgliedstaaten waren verpflichtet, die Ziele der Richtlinie binnen drei Jahren in nationales Recht umzusetzen. In Hessen geschah dies durch das Dritte Gesetz zur Anderung des Hessischen Datenschutzgesetzes vom 5. November 1998 (GVBl. I S. 421). Die geanderte Fassung des Hessischen Datenschutzgesetzes wurde im Januar 1999 neu bekannt gemacht. Sie gilt im Wesentlichen bis heute.

• Hans-Hermann Schild, Michael Ronellenfitsch u. a.: Hessisches Datenschutzgesetz. Kommentar. Kommunal- und Schul-Verlag. Wiesbaden 2009, ISBN 978-3-88061-810-7 .

• Gerhard Fuckner: Das neue Hessische Datenschutzgesetz. In: CR 1988, S. 144?147.
• Spiros Simitis, Stefan Walz: Das neue Hessische Datenschutzgesetz. In: RDV 1987, S. 157?169.
• H.-A. Lennartz: Neues Datenschutzrecht in Hessen. In: RDV 1987, S. 74?78.

• Hans-Hermann Schild: Hessisches Datenschutzgesetz novelliert. JurPC Web-Dok. 45/1999.
• Hans-Hermann Schild: Das neue Hessische Datenschutzgesetz. In: RDV 1999, S. 52?60.

• Text des Hessischen Datenschutzgesetzes
• Datenschutzgesetz (GVBl. II 300-10) vom 7. Oktober 1970 . In: Ursprungsfassung (Hrsg.): Gesetz- und Verordnungsblatt fur das Land Hessen . 1970 Nr.   41 , S.   625 ( Online beim Informationssystem des Hessischen Landtags [PDF; 1,3   MB ]).  
• Tatigkeitsberichte des Hessischen Datenschutzbeauftragten mit Stellungnahme der Landesregierung seit 2004
• Tatigkeitsberichte des Hessischen Datenschutzbeauftragten seit 1972

1. ↑ Alexander Genz: Datenschutz in Europa und den USA. Deutscher Universitats-Verlag. Wiesbaden 2004. ISBN 3-8244-2185-2 . S. 9.
2. ↑ Anne Hardy: Spiros Simitis: ?Es geht um Eure Daten!“, idw online , abgerufen am 8. Oktober 2020
3. ↑ Monika Dittrich: Eine Idee wird 50: Wie in Hessen der Datenschutz erfunden wurde, Deutschlandfunk , abgerufen am 8. Oktober 2020
4. ↑ Netzpolitik.org (Hrsg.): Spiros Simitis: ?Man spielt nicht mehr mit dem Datenschutz!“, netzpolitik.org , abgerufen am 8. Oktober 2020
5. ↑ EDV im Odenwald. In: Der Spiegel 20/1971, S. 88.
6. ↑ Hessischer Datenschutzbeauftragter: Dritter Tatigkeitsbericht. Landtags-Drucksache 7/5146 vom 1. April 1974. S. 9.
7. ↑ Bundesverfassungsgericht, Urteil vom 15. Dezember 1983, 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfGE 65, 1 (44). ( Memento des Originals vom 29. Marz 2010 im Internet Archive )   Info: Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft. Bitte prufe Original- und Archivlink gemaß Anleitung und entferne dann diesen Hinweis. @1 @2 Vorlage:Webachiv/IABot/www.servat.unibe.ch
8. ↑ BVerfGE 65, 1 (46).
9. ↑ BVerfGE 65, 1 (46).
10. ↑ Hessischer Datenschutzbeauftragter: Sechzehnter Tatigkeitsbericht. Landtags-Drucksache 12/1742 vom 26. Februar 1988. S. 8.

Bitte den Hinweis zu Rechtsthemen beachten!