Gegenüberstellung HDSIG zu BDSG, DSGVO und JI-RL
Das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG) ist ein Regelwerk zur Verarbeitung von personenbezogenen Daten durch öffentliche Stellen im Land Hessen. Es dient unter anderem der Umsetzung der DSGVO (2016/679), der JI-RL (2016/680) und der Regelung eines gesetzlichen Informationszugangs. Struktur und Inhalt ähneln dem BDSG und IFG des Bundes (BIFG). Die kursorische Gegenüberstellung mit diesen Vorschriften und europäischen Ausgangstexten zeigt Gemeinsamkeiten und Unterschiede.
(Dieser Beitrag wurde auch veröffentlicht unter Johannes/Zwirner ZD-Aktuell 2020, 06977)
Das HDSIG dient der Anpassung des allgemeinen Datenschutzrechts an die DSGVO und hat drei Regelungsschwerpunkte. Erstens enthält es ergänzende Vorschriften zur DSGVO, in denen die Regelungsermächtigungen und Spielräume für Konkretisierungen der DSGVO genutzt wurden (zu denen Roßnagel (Hrsg.), Das neue Datenschutzrecht 2018, passim). Zweitens treffen die §§ 40 – 79 HDSIG für die Datenverarbeitung durch die Polizei und Justiz im Anwendungsbereich der JI-Richtlinie (2016/679) allgemeine Regelungen, die teilweise wiederum nachrangig gegenüber speziellen Vorschriften im Fachrecht sind (zur entsprechenden Regelung im BDSG Johannes/Weinhold, Das neue Datenschutzrecht bei Polizei und Justiz 2018, passim). Drittens treffen die §§ 80 – 89 HDSIG allgemeine Regelungen zum Informationszugang gegenüber öffentlichen Stellen in Hessen auf amtliche Informationen. Außerdem trifft das HDSIG auch für Bereiche, die nicht dem sachlichen Anwendungsbereich der DSGVO unterfallen, die erforderlichen datenschutzrechtlichen Regelungen. Soweit nicht im jeweiligen Fachrecht abweichende Regelungen getroffen werden, unterfallen auch solche Daten-verarbeitungen der DSGVO und dem Ersten und Zweiten Teil des HDSIG (§ 1 Abs. 8 HDSIG). Dies betrifft beispielsweise die Datenverarbeitung durch den hessischen Verfassungsschutz.
Die einheitliche Regelung im HDSIG soll unter anderem dafür sorgen, dass jegliche Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Freistaat Hessen einem vom Grundsatz her einheitlichen Regelungsrahmen unterfallen, der neben dem Recht auf den Schutz personenbezogener Daten gemäß Art. 8 der EU-Grundrechte-Charta auch das vom Bundesverfassungsgericht entwickelte Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG gewährleistet.
Die kursorische Gegenüberstellung der Landes- und Bundesvorschriften sowie deren europäischer Vorgaben, erleichtert die systematische und historische Auslegung des HDSIG. Der Vergleich zeigt, dass das HDSIG systematisch zum größten Teil dem BDSG und dem IFG des Bundes nachformuliert ist. Inhaltliche Unterschiedene ergeben sich bei genauem Vergleich des Wortlauts der einzelnen Vorschriften (dazu ausführlich Roßnagel (Hrsg.), Hessisches Datenschutz- und Informationsfreiheitsgesetz – Handkommentar, Nomos, in Vorbereitung für Ende 2020).
| HDSIG | BDSG | DSGVO | JI-Richtlinie |
| ERSTER TEIL – Gemeinsame Bestimmungen | |||
| Erster Abschnitt – Anwendungsbereich und Begriffsbestimmungen | |||
| § 1 – Anwendungsbereich | § 1 Anwendungsbereich des Gesetzes | Art. 2 Sachlicher Anwendungsbereich Art. 3 Räumlicher Anwendungsbereich | |
| § 2 – Begriffsbestimmungen | § 2 Begriffsbestimmungen | Art 6 Abs. 1 UAbs. 1 lit. e iVm Abs. 3 Satz 1 | |
| Zweiter Abschnitt – Rechtsgrundlagen für die Verarbeitung personenbezogener Daten | |||
| § 3 – Verarbeitung personenbezogener Daten, Auftragsverarbeitung | § 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen (Abs. 1) | Art 6 Abs. 1 UAbs. 1 lit. e iVm Abs. 3 Satz 1 (für Abs. 1) Art. 28 Auftragsverarbeiter (für Abs. 2) | |
| § 4 – Videoüberwachung öffentlich zugänglicher Räume | § 4 Videoüberwachung öffentlich zugänglicher Räume | ||
| Dritter Abschnitt – Datenschutzbeauftragte öffentlicher Stellen | |||
| § 5 – Benennung | § 5 Benennung | Art. 37 Benennung eines Datenschutzbeauftragten | Art. 32 Benennung eines Datenschutzbeauftragten |
| § 6 – Rechtsstellung | § 6 Stellung | Art. 38 Stellung des Datenschutzbeauftragten | Art. 33 Stellung des Datenschutzbeauftragten |
| § 7 – Aufgaben | § 7 Aufgaben | Art. 39 Aufgaben des Datenschutzbeauftragten | Art. 34 Aufgaben des Datenschutzbeauftragten |
| Vierter Abschnitt – Die oder der Hessische Datenschutzbeauftragte | |||
| § 8 – Rechtsstellung und Unabhängigkeit | § 8 Errichtung; § 10 Unabhängigkeit | Art. 54 Errichtung der Aufsichtsbehörde Art. 52 Unabhängigkeit | Art. 42 Unabhängigkeit |
| § 9 – Wahl | § 11 Ernennung und Amtszeit | Art. 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde | Art. 43 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde |
| § 10 – Persönliche Voraussetzungen | § 11 Abs. 1 S. 4 f. Ernennung und Amtszeit | Art. 53 Abs. 1 und 2 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde | Art. 43 Abs. 1 und 2 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde |
| § 11 – Amtsverhältnis | § 12, § 13 Abs. 1 | Art. 43; Art. 53; Art. 54 | Art. 42, 43 und 44 |
| § 12 – Verschwiegenheitspflicht | § 13 Abs. 4 Rechte und Pflichten | Art. 54 Abs. 2 Errichtung der Aufsichtsbehörde | Art. 44 Abs. 2 Errichtung der Aufsichtsbehörde |
| § 13 – Zuständigkeit und Aufgaben | § 9 Zuständigkeit; § 14 Aufgaben | Art. 55 Zuständigkeit, Art. 57 Aufgaben | Art. 46 Aufgaben |
| § 14 – Befugnisse | § 16 Befugnisse | Art. 58 Befugnisse | Art. 47 Befugnisse |
| § 15 – Gutachten und Untersuchungen, Tätigkeitsbericht | § 15 Tätigkeitsbericht | Art. 59 Tätigkeitsbericht | Art. 49 Tätigkeitsbericht |
| § 16 – Informationspflichten | |||
| § 17 – Benachteiligungsverbot bei Anrufung der oder des Hessischen Datenschutzbeauftragten | |||
| § 18 – Personal- und Sachausstattung | Art. 52 IV Unabhängigkeit | ||
| Fünfter Abschnitt – Rechtsbehelfe | |||
| § 19 – Gerichtlicher Rechtsschutz | § 20 Gerichtlicher Rechtsschutz | Art. 78 Abs. 1 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde | Art. 53 Abs. 1 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde |
| ZWEITER TEIL – Durchführungsbestimmungen für Verarbeitungen zu Zwecken nach Artikel 2 der Verordnung (EU) Nr. 2016/679 | |||
| Erster Abschnitt – Rechtsgrundlagen der Verarbeitung personenbezogener Daten | |||
| Erster Titel – Verarbeitung personenbezogener Daten und Verarbeitung zu anderen Zwecken | |||
| § 20 – Verarbeitung besonderer Kategorien personenbezogener Daten | § 22 Verarbeitung besonderer Kategorien personenbezogener Daten | Art. 9 Abs. 2 Verarbeitung besonderer Kategorien personenbezogener Daten | |
| § 21 – Verarbeitung zu anderen Zwecken | §23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen | Art. 6 Abs. 1 UAbs. 1 lit. e, Abs. 2 und 3 (für Abs. 1), Art. 9 Abs. 2 (für Abs. 2) | |
| § 22 – Datenübermittlungen durch öffentliche Stellen | § 25 Datenübermittlungen durch öffentliche Stellen | Art. 6 Rechtmäßigkeit der Verarbeitung; Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten | |
| Zweiter Titel – Besondere Verarbeitungssituationen | |||
| § 23 – Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses | § 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses | Art. 88 Datenverarbeitung im Beschäftigungskontext, Art. 9 Abs. 2 | |
| § 24 – Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken | § 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken | Art. 9; Art. 85; Art. 89 | |
| § 25 – Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken | § 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken | Art. 9 Abs. 2 lit. j (für Abs. 1) Art. 89 Abs. 3 (für Abs. 2, 3, 4) | |
| § 26 – Rechte der betroffenen Person und aufsichtsbehördliche Untersuchungen im Fall von Geheimhaltungspflichten | § 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten | Art. 23 Beschränkungen | |
| § 27 – Datenübermittlung an öffentlich-rechtliche Religionsgemeinschaften | Art. 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften | ||
| § 28 – Datenverarbeitung des Hessischen Rundfunks zu journalistischen Zwecken | Art. 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit | ||
| § 28a – Datenverarbeitung bei öffentlichen Auszeichnungen und Ehrungen | § 86 Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen | ||
| § 28b – Datenverarbeitung in Gnadenverfahren | |||
| Dritter Titel – Rechte des Landtags und der kommunalen Vertretungsorgane | |||
| § 29 – Auskunftsrecht des Landtags und der kommunalen Vertretungsorgane | |||
| § 30 – Verarbeitung personenbezogener Daten durch den Landtag und die kommunalen Vertretungsorgane | |||
| Zweiter Abschnitt – Rechte der betroffenen Person | |||
| § 31 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person | § 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person | Art. 23 Beschränkungen; Art. 13 | |
| § 32 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden | § 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden | Art. 23 Beschränkungen; Art. 14 | |
| § 33 – Auskunftsrecht der betroffenen Person | § 34 Auskunftsrecht der betroffenen Person | Art. 23 Beschränkungen | |
| § 34 – Recht auf Löschung („Recht auf Vergessenwerden“) | § 35 Recht auf Löschung | Art. 23 Beschränkungen | |
| § 35 – Widerspruchsrecht | § 36 Widerspruchsrecht | Art. 23 Beschränkungen | |
| Dritter Abschnitt – Sanktionen | |||
| § 36 – Anwendung der Vorschriften über das Bußgeld- und Strafverfahren bei Verstößen nach Artikel 83 der Verordnung (EU) Nr. 2016/679 | § 41 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren | Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen | |
| § 37 – Strafvorschriften | § 42 Strafvorschriften | Art. 84 Sanktionen | |
| § 38 – Bußgeldvorschriften | § 43 Bußgeldvorschriften | ||
| Vierter Abschnitt – Gemeinsame Verfahren, Gemeinsam Verantwortliche | |||
| § 39 – Gemeinsame Verfahren, Gemeinsam Verantwortliche | Art. 26 Gemeinsam für die Verarbeitung Verantwortliche | ||
| DRITTER TEIL – Bestimmungen für Verarbeitungen zu Zwecken nach Artikel 1 Absatz 1 der Richtlinie (EU) Nr. 2016/680 | |||
| Erster Abschnitt – Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten | |||
| § 40 – Anwendungsbereich | § 45 – Anwendungsbereich | Art. 2 Abs. 2 lit. d Sachlicher Anwendungsbereich | Art. 1 Abs. 1, 2 Abs. 1 Gegenstand und Ziele |
| § 41 – Begriffsbestimmungen | § 46 Begriffsbestimmungen | Art. 3 Begriffsbestimmungen | |
| § 42 – Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten | § 47 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten | Art. 4 Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten | |
| Zweiter Abschnitt – Rechtsgrundlagen für die Verarbeitung personenbezogener Daten | |||
| § 43 – Verarbeitung besonderer Kategorien personenbezogener Daten | § 48 Verarbeitung besonderer Kategorien personenbezogener Daten | Art. 10 Verarbeitung besonderer Kategorien personenbezogener Daten | |
| § 44 – Verarbeitung zu anderen Zwecken | § 49 Verarbeitung zu anderen Zwecken | Art. 4 Abs. 2 Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten | |
| § 45 – Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken, archivarischen oder statistischen Zwecken | § 50 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken | Art. 4 Abs. 3 Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten | |
| § 46 – Einwilligung | § 51 Einwilligung | EG 35, 37 | |
| § 47 – Verarbeitung auf Weisung des Verantwortlichen | § 52 Verarbeitung auf Weisung der Verantwortlichen | Art. 23 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters | |
| § 48 – Datengeheimnis | § 53 Datengeheimnis | ||
| § 49 – Automatisierte Einzelentscheidung | § 54 Automatisierte Einzelentscheidung | Art. 11 Automatisierte Entscheidung im Einzelfall | |
| Dritter Abschnitt – Rechte der betroffenen Person | |||
| § 50 – Allgemeine Informationen zu Datenverarbeitungen | § 55 Allgemeine Informationen zu Datenverarbeitungen | Art. 13 Abs. 1 Der betroffenen Person zur Verfügung zu stellende oder zu erteilende Informationen | |
| § 51 – Benachrichtigung betroffener Personen | § 56 Benachrichtigung betroffener Personen | Art. 13 Abs. 2 Der betroffenen Person zur Verfügung zu stellende oder zu erteilende Informationen | |
| § 52 – Auskunftsrecht | § 57 Auskunftsrecht | Art. 14 Auskunftsrecht der betroffenen Person | |
| § 53 – Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung | § 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung | Art. 16 Recht auf Berichtigung oder Löschung personenbezogener Daten und Einschränkung der Verarbeitung | |
| § 54 – Verfahren für die Ausübung der Rechte der betroffenen Person | § 59 Verfahren für die Ausübung der Rechte der betroffenen Person | Art. 12 Mitteilungen und Modalitäten für die Ausübung der Rechte der betroffenen Person | |
| § 55 – Anrufung der oder des Hessischen Datenschutzbeauftragten | § 60 Anrufung der oder des Bundesbeauftragten | Art 52. Recht auf Beschwerde bei einer Aufsichtsbehörde | |
| § 56 – Rechtsschutz gegen Entscheidungen der oder des Hessischen Datenschutzbeauftragten oder bei deren oder dessen Untätigkeit | § 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit | Art. 53 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde | |
| Vierter Abschnitt – Pflichten der Verantwortlichen und Auftragsverarbeiter | |||
| § 57 – Auftragsverarbeitung | § 62 Auftragsverarbeitung | Art. 28 Auftragsverarbeiter | Art. 22 Auftragsverarbeiter |
| § 58 – Gemeinsame Verfahren, Gemeinsam Verantwortliche | § 63 Gemeinsam Verantwortliche | Art. 21 Gemeinsam Verantwortliche | |
| § 59 – Anforderungen an die Sicherheit der Datenverarbeitung | § 64 Anforderungen an die Sicherheit der Datenverarbeitung | Art. 29 Sicherheit der Verarbeitung | |
| § 60 – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Hessische Datenschutzbeauftragte oder den Hessischen Datenschutzbeauftragten | § 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten | Art. 30 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde | |
| § 61 – Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten | § 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten | Art. 31 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person | |
| § 62 – Durchführung einer Datenschutz-Folgenabschätzung | § 67 Durchführung einer Datenschutz-Folgenabschätzung | Art. 35 Datenschutz-Folgenabschätzung | Art. 27 Datenschutz-Folgenabschätzung |
| § 63 – Zusammenarbeit mit der oder dem Hessischen Datenschutzbeauftragten | § 68 Zusammenarbeit mit der oder dem Bundesbeauftragten | Art. 26 Zusammenarbeit mit der Aufsichtsbehörde | |
| § 64 – Vorherige Konsultation der oder des Hessischen Datenschutzbeauftragten | § 69 Anhörung der oder des Bundesbeauftragten | Art. 28 Vorherige Konsultation der Aufsichtsbehörde | |
| § 65 – Verzeichnis von Verarbeitungstätigkeiten | § 70 Verzeichnis von Verarbeitungstätigkeiten | Art. 24 Verzeichnis von Verarbeitungstätigkeiten | |
| § 66 – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen | § 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellung | Art. 20 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen | |
| § 67 – Unterscheidung zwischen verschiedenen Kategorien betroffener Personen | § 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen | Art. 6 Unterscheidung verschiedener Kategorien betroffener Personen | |
| § 68 – Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen | § 73 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen | Art. 7 Abs. 1 Unterscheidung zwischen personenbezogenen Daten und Überprüfung der Qualität der personenbezogenen Daten | |
| § 69 – Qualitätssicherung personenbezogener Daten vor deren Übermittlung | § 74 Verfahren bei Übermittlungen | Art. 7 Abs. 2 Unterscheidung zwischen personenbezogenen Daten und Überprüfung der Qualität der personenbezogenen Daten | |
| § 70 – Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung | § 75 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung | Art. 16 Recht auf Berichtigung oder Löschung personenbezogener Daten und Einschränkung der Verarbeitung | |
| § 71 – Protokollierung | § 76 Protokollierung | Art. 25 Protokollierung | |
| § 72 – Vertrauliche Meldung von Verstößen | § 77 Vertrauliche Meldung von Verstößen | Art. 48 Meldung von Verstößen | |
| Fünfter Abschnitt – Datenübermittlungen an Drittländer und an internationale Organisationen | |||
| § 73 – Allgemeine Voraussetzungen | § 78 Allgemeine Voraussetzungen | Art. 35 Allgemeine Grundsätze für die Übermittlung personenbezogener Daten | |
| § 74 – Datenübermittlung bei geeigneten Garantien | § 79 Datenübermittlung bei geeigneten Garantien | Art. 37 Datenübermittlung vorbehaltlich geeigneter Garantien | |
| § 75 – Ausnahmen für eine Datenübermittlung ohne geeignete Garantien | § 80 Datenübermittlung ohne geeignete Garantien | Art. 38 Ausnahmen für bestimmte Fälle | |
| § 76 – Sonstige Datenübermittlung an Empfänger in Drittländern | § 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten | Art. 39 Übermittlung personenbezogener Daten an in Drittländern niedergelassene Empfänger | |
| Sechster Abschnitt – Zusammenarbeit der Aufsichtsbehörden | |||
| § 77 – Gegenseitige Amtshilfe | § 82 Gegenseitige Amtshilfe | Art. 50 Gegenseitige Amtshilfe | |
| Siebter Abschnitt – Haftung und Sanktionen | |||
| § 78 – Schadensersatz und Entschädigung | § 83 Schadensersatz und Entschädigung | Art. 56 Recht auf Schadenersatz | |
| § 79 – Strafvorschriften | § 84 Strafvorschriften | Art. 57 Sanktionen | |
| IFG Bund | |||
| VIERTER TEIL – Informationsfreiheit | |||
| § 80 – Anspruch auf Informationszugang | § 1 Grundsatz | ||
| § 81 – Anwendungsbereich | |||
| § 82 – Schutz besonderer öffentlicher und privater Belange | § 3 Schutz von besonderen öffentlichen Belangen | ||
| § 83 – Schutz personenbezogener Daten | § 5 Schutz personenbezogener Daten | ||
| § 84 – Schutz behördlicher Entscheidungsprozesse | § 4 Schutz des behördlichen Entscheidungsprozesses | ||
| § 85 – Antrag | § 7 Antrag und Verfahren | ||
| § 86 – Verfahren bei Beteiligung Dritter | § 8 Verfahren bei Beteiligung Dritter | ||
| § 87 – Entscheidung | § Ablehnung des Antrags; Rechtsweg | ||
| § 88 – Kosten | § 10 Gebühren und Auslagen | ||
| § 89 – Die oder der Hessische Informationsfreiheitsbeauftragte | § 12 Bundesbeauftragter für die Informationsfreiheit | ||
| HDSIG | BDSG | DSGVO | JI-Richtlinie |
| FÜNFTER TEIL – Übergangs- und Schlussvorschriften | |||
| § 90 – Übergangsvorschriften | EG 171, Art 94 | ||
| § 91 – Inkrafttreten | Art. 99 Inkrafttreten und Anwendung | Art. 64 Inkrafttreten |