§§ 1 - 3 Erster Abschnitt Allgemeine Vorschriften
§ 1 Zweck
1Dieses Gesetz trifft die zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung) (ABl. EU Nr. L 119 S. 1, L 314 S. 72) ergänzenden Regelungen. 2Darüber hinaus regelt dieses Gesetz für im Einzelnen bezeichnete Situationen die Verarbeitung personenbezogener Daten, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fallen.
§ 2 Anwendungsbereich
(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch folgende Stellen und Einrichtungen der Freien und Hansestadt Hamburg (öffentliche Stellen):
3. |
die Bürgerschaft, die Gerichte und die Behörden der Staatsanwaltschaft, soweit sie Verwaltungsaufgaben wahrnehmen, |
4. |
die der Aufsicht der Freien und Hansestadt Hamburg unterstehenden juristischen Personen des öffentlichen Rechts und deren öffentlich-rechtlich organisierte Einrichtungen, |
5. |
Stellen, soweit sie als Beliehene hoheitliche Aufgaben wahrnehmen, |
6. |
sonstige öffentlich-rechtlich organisierte Stellen oder Einrichtungen. |
(2) Für juristische Personen, Gesellschaften und andere Vereinigungen von Personen des privaten Rechts, an denen die Freie und Hansestadt Hamburg oder eine ihrer Aufsicht unterstehende juristische Person des öffentlichen Rechts beteiligt ist, gelten die Vorschriften der Verordnung (EU) 2016/679 sowie des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) über nicht-öffentliche Stellen in ihrer jeweils geltenden Fassung.
(3) Soweit öffentliche Stellen im Sinne des Absatzes 1 als Unternehmen am Wettbewerb teilnehmen, sind auf diese unbeschadet anderer Rechtsgrundlagen die Vorschriften der Verordnung (EU) 2016/679 sowie des Bundesdatenschutzgesetzes über nicht-öffentliche Stellen in ihrer jeweils geltenden Fassung anzuwenden.
(4) Dieses Gesetz gilt nicht für öffentliche Stellen, soweit deren Tätigkeit der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. EU Nr. L 119 S. 89) unterfällt.
(5) Die Bürgerschaft, ihre Mitglieder, ihre Gremien, die Fraktionen und Gruppen sowie deren Verwaltungen unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie zur Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten und dabei die von der Bürgerschaft zu erlassende Datenschutzordnung anzuwenden haben.
(6) Fällt die Verarbeitung personenbezogener Daten durch die in Absatz 1 bezeichneten öffentlichen Stellen nicht in den Anwendungsbereich der Verordnung (EU) 2016/679, sind ihre Vorschriften entsprechend anzuwenden, es sei denn, dieses Gesetz oder andere spezielle Rechtsvorschriften enthalten abweichende Regelungen.
§ 3 Datengeheimnis
(1) 1Denjenigen Personen, die bei den in § 2 Absatz 1 genannten öffentlichen Stellen oder ihren auftragnehmenden Stellen dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, personenbezogene Daten unbefugt zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten, insbesondere bekannt zu geben oder zugänglich zu machen. 2Dieses Verbot besteht auch nach Beendigung der Tätigkeit fort.
(2) Die Datenschutzbeauftragten nach Artikel 37 bis 39 der Verordnung (EU) 2016/679 der in § 2 Absatz 1 genannten öffentlichen Stellen sind, auch nach Beendigung ihrer Tätigkeit, zur Verschwiegenheit über die Identität Betroffener und Beschäftigter, die sich an sie gewandt haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, verpflichtet.
§§ 4 - 8 Zweiter Abschnitt Grundsätze der Verarbeitung personenbezogener Daten
§ 4 Zulässigkeit der Verarbeitung personenbezogener Daten
Die Verarbeitung personenbezogener Daten durch eine der in § 2 Absatz 1 genannten öffentlichen Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.
§ 5 Erhebung personenbezogener Daten
(1) Bei nicht-öffentlichen Dritten sollen personenbezogene Daten nur unter den in § 6 Absatz 2 genannten Voraussetzungen erhoben werden.
(2) 1Werden personenbezogene Daten bei Dritten erhoben, sind diese auf Verlangen über den Erhebungszweck zu unterrichten, soweit dadurch schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden. 2Werden die Daten auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, ist auf die Auskunftspflicht, sonst auf die Freiwilligkeit der Angaben hinzuweisen.
§ 6 Zweckbindung
(1) 1Vom Zweck einer Verarbeitung personenbezogener Daten einschließlich solcher im Sinne von Artikel 9 der Verordnung (EU) 2016/679 erfasst ist auch die Verarbeitung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung ...