Aufgabe

Die Grundaufgabe des Gesetzes wird in §1 dargestellt:

Aufgabe des Gesetzes ist es, die Verarbeitung personenbezogener Daten durch öffentliche Stellen zu regeln, um

1. das Recht des einzelnen zu schützen, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, soweit keine Einschränkungen in diesem Gesetz oder in anderen Rechtsvorschriften zugelassen sind,

2. das auf dem Grundsatz der Gewaltenteilung beruhende verfassungsmäßige Gefüge des Staates [...] vor einer Gefährdung infolge der automatisierten Datenverarbeitung zu bewahren.

Das Gesetz erfüllt also den Zweck, die Daten von uns allen vor ungewollter Verbreitung zu schützen. Die "automatisierte Datenverarbeitung", zu der auch die EDV gehört, stellt dabei wohl eine besondere Gefahr dar, denn sie wird extra in einem gesonderten Punkt (2) erwähnt.

 

Anwendungsbereich

Das HDSG gilt für alle Behörden und öffentlichen Stellen Deutschlands (also z.B. auch Schulen), sowie (eingeschränkt) für Unternehmen, juristische Personen und sonstige Gesellschaften, die am Wettbewerb teilnehmen. Sogar jemand, der auf dem Flohmarkt etwas mit einem Gewerbeschein verkauft (Gewerbeschein -> GbR, Gesellschaft bürgerlichen Rechts), ist also schon vom Datenschutzgesetz betroffen.

In vielen Paragraphen des HDSG (§6, §10, §15, §18, §19, §20, §34) wird ein Unterschied zwischen "automatisierter Datenverarbeitung" und "nicht automatisierter Datenverarbeitung" gemacht. In Fällen der automatisierten Datenverarbeitung sind die Vorschriften immer strenger als bei nicht automatisierter Datenverarbeitung; so muß z.B. nach §6 zu automatisierten Dateien öffentlicher Stellen eine vollständige Beschreibung vorliegen, in der folgende Punkte vorkommen:

1. die Zweckbestimmung der Datei,
2. die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung,
3. der Kreis der Betroffenen,
4. die Art regelmäßig übermittelter Daten, deren Empfänger sowie die Art und die Herkunft regelmäßig empfangener Daten,
5. Fristen für die Sperrung und Löschung der Daten,
6. die technischen und organisatorischen Maßnahmen nach §10,
7. die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung.

Diese Beschreibungen müssen (nach §26) dem vom Landtag gewählten Hessischen Datenschutzbeauftragten vorgelegt werden und es muß auf seine Zustimmung gewartet werden, bevor die Datenverarbeitung mit der betroffenen Datei begonnen werden kann. Es gibt Ausnahmen, in denen diese Regelung nicht nur für öffentliche Stellen gilt, so z.B. (nach §34) bei Personaldatenbanken von Unternehmen.

 

Zulässigkeit der Datenverarbeitung

Die Datenverarbeitung und Erhebung von personenbezogenen Daten ist nur dann zulässig, wenn folgende Punkte zutreffen:

• Der Betroffene muß schriftlich bestätigt haben, daß er mit der Datenverarbeitung einverstanden ist. Er muß dabei darauf aufmerksam gemacht werden, welche Daten von ihm gespeichert werden und inwiefern sie weiterverarbeitet oder an Dritte übermittelt werden (§7).
• Die Speicherung der Daten muß für die Erfüllung der Aufgaben der datenverarbeitenden Stelle erforderlich sein (§11).
• Die datenverarbeitende Stelle muß mit geeigneten Mitteln sicherstellen, daß keine Unbefugten an die Daten gelangen können (§10).
• Die Daten dürfen nur für den Zweck weiterverarbeitet werden, für den sie erhoben oder gespeichert worden sind (§13).

Es ist also z.B. einem Zahnarzt nicht erlaubt, einem Patienten Werbung über seine neue "Schmerzfrei-mit-Musik"-Entspannungs-CD zuzuschicken, wenn er die persönlichen Daten des Patienten (Name, Adresse, Wohnort etc.) wegen einer Wurzelbehandlung bekommen hat.

 

Rechte des Betroffenen

Jeder hat nach den Regeln des HDSG ein Recht auf folgende Punkte:

• Auskunft und Benachrichtigung über die zu seiner Person gespeicherten Daten (§18)
• Berichtigung, Sperrung oder Löschung der zu seiner Person gespeicherten Daten (§ 19)
• Schadensersatz (§ 20)
• Anrufung des Datenschutzbeauftragten (§ 28 und 37 Abs. 2)
• Einsicht in das beim Hessischen Datenschutzbeauftragten geführte Register (§ 26 Abs. 1)

Falls man also z.B. von einer Firma unerwünschte Werbung bekommt, hat man jederzeit das Recht, eine Löschung der gespeicherten Adressdaten zu fordern. Falls die Firma dieser Aufforderung nicht nachkommt, kann man mit einer Benachrichtung des Hessischen Datenschutzbeauftragten drohen. Jede Firma wird spätestens dann der Aufforderung nachkommen, denn die Strafen bei Verstoß gegen das HDSG sind nicht gering (siehe nächster Abschnitt). Falls durch die unrechtmäßige Verwendung von persönlichen Daten sogar Schäden entstehen, besteht beim Betroffenen das Recht auf Schadensersatz bis zu einer Höhe von 500.000 DM.

 

Strafen

Der Gesetzestext besagt in §40 zum Thema "Straftaten" folgendes:

Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, personenbezogene Daten entgegen den Vorschriften dieses Gesetzes

1. erhebt, speichert, zweckwidrig verwendet, verändert, übermittelt, zum Abruf bereithält oder löscht,
2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung an sich oder einen Dritten veranlaßt,

wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Falls Daten für einen anderen Zweck als den verwendet werden, zu dem sie übermittelt wurden, wird dies als "Ordnungswidrigkeit" eingestuft und mit einer Geldstrafe von bis zu 50.000 DM geahndet.

Dies sollte wohl jeden vernünftigen Menschen dazu bringen, sich an die Regelungen des Gesetzes zu halten...

 

 

Warum eigene Bestimmungen für Schulen?

Einige werden sich sicher fragen, warum es beim Datenschutz eine eigene Regelung für Schulen und Bildungseinrichtungen gibt. Eine Bekanntmachung des Hessischen Datenschutzbeauftragten zu diesem Thema nennt als Hauptargument einen großen Gewinn an Flexibilität: Ein Parlamentsgesetz wie das HDSG kann nicht schnell genug an die sich stetig ändernden Anforderungen an Datenverarbeitung in Schulen angepasst werden. Mit einem eigenen Schulgesetz des Kultusministers ist dies möglich.

 

Unterschiede zwischen dem HDSG und dem Schulgesetz

• Das Schulgesetz ermöglicht es Schulen, persönliche Daten von Schülern und deren Erziehungsberechtigten ohne deren Einwilligung zu verarbeiten, wenn dies zur Erfüllung der Bildungs-, Erziehungs- und Verwaltungsaufgaben der Schule nötig ist. Schüler, Eltern und Lehrer sind dazu verpflichtet, alle erforderlichen Angaben zu machen. Diese Regelung tritt automatisch mit der Anmeldung eines Kindes an der Schule in Kraft.
• Lehrern ist es in Ausnahmefällen erlaubt, personenbezogene Daten von Schülern auch auf privaten Rechnern zu verarbeiten. Dazu muß der Lehrer schriftlich einen ausführlichen Antrag stellen und auf die Genehmigung des Schulleiters warten. Die Daten müssen in jedem Fall nach der Beendigung eines Schuljahres unverzüglich gelöscht werden.
• Die Schule muß eine Reihe von Sicherheitsbestimmungen erfüllen, um die Datensicherheit zu gewährleisten. Dazu gehören beispielsweise abschließbare Räume oder Schränke, in denen die Daten aufbewahrt werden und eine Kontrolle darüber, wer Zugang zu den zu schützenden Daten hat.

 

Verbot automatisierter Datenverarbeitung in bestimmten Fällen

Das Schulgesetz enthält eine Regelung, die die automatisierte Datenverarbeitung in bestimmten Fällen untersagt. Hierzu zählen vor allem durch medizinische oder psychologische Untersuchungen gewonnene Ergebnisse. Als Begründung für diese Regelung wird angeführt, daß solche Daten eine kritische Bewertung unter Kenntnis der Vorgeschichte und der Umstände des Betroffenen erfordern und somit nicht nach einem festen Schema ausgewertet werden können. Die manuelle Erstellung von auf medizinischen oder psychologischen Daten beruhenden Schreiben an den Schüler oder die Eltern mit dem Computer ist natürlich weiterhin erlaubt. Nach abgeschlossener Korrespondenz sind die entsprechenden Dateien aber zu löschen und dürfen nicht mehr in "maschinenlesbarer Form" vorliegen.

 

 

Internetadressen

Die in diesem Referat verwendeten Informationen wurden auf der Internetseite des Landes Hessen und dem hessischen Bildungsserver gesammelt. Hier die beiden URLs:

http://www.hessen.de/hdsb/hdsg86/inhalt.htm

http://www.bildung.hessen.de/partner/datenschutz/broschur/index.htm