Transparenz und Betroffenenrechte

Personenbezogene Daten sind grundsätzlich bei der / dem Betroffenen zu erheben.  Dabei ist er über die Identität der verantwortlichen Stelle, den Zweck der Verarbeitung sowie die Kategorien der Empfänger zu unterrichten. Können die Daten aus nachvollziehbaren Gründen nicht bei der / dem Betroffenen erhoben, dann ist sie / er grundsätzlich nachträglich zu benachrichtigen. Die Erhebung und Verarbeitung personenbezogener Daten muss gegenüber Betroffenen transparent sein. Dies schließt Auskunfts-, Berichtigungs-, Sperrungs- und Löschungsrechte ein. Im Einzelnen stehen der / dem Betroffenen folgende Rechte zu:

Der Auskunftsanspruch Betroffener (bestehende oder ehemalige Beschäftigte, Angehörige der Hamburger Hochschulen und Externe, die für die Hamburger Hochschulen tätig sind oder waren) ist ein wesentliches Datenschutzrecht und wichtiger Bestandteil der Informationsfreiheit. Das Auskunftsrecht erstreckt sich über die zur anfragenden Person in Dateien und Akten gespeicherten Daten hinaus auf

  • die Zweckbestimmungen und
  • die Rechtsgrundlage der Speicherung der Daten,
  • die Herkunft der Daten und
  • die Empfängerinnen oder Empfänger oder
  • den Kreis der Empfängerinnen und Empfänger, soweit sie die Daten nicht im Einzelfall zur Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen erhalten,
  • die an einem automatisierten Abrufverfahren teilnehmenden Stellen sowie
  • in den Fällen des § 5a HmbDSG (automatisierte Einzelentscheidung) auf den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten.

Geregelt wird dieses Recht in § 18 HmbDSG.

Anträge auf Auskunftserteilung werden vom Datenschutzbeauftragten entschieden. Siehe auch § 1 HmbDSG über informationelle Selbstbestimmung

Immer wenn an Hamburger Hochschulen ein Antrag auf Auskunft von personenbezogenen Daten herangetragen wird, wird dieser an die behördliche Datenschutzbeauftragte weitergeleitet. Dort wird der Antrag bearbeitet und die nötigen Schritte veranlasst. Die Kommunikation mit dem Antragsteller erfolgt ausschließlich durch die behördliche Datenschutzbeauftragte.

 

Bei der Berichtigung wird die Rechtsposition bei Korrekturansprüchen von Betroffenen geregelt. „Berichtigen“ bedeutet, dass die verarbeiteten Daten in Übereinstimmung mit der Realität gebracht werden müssen. (Dies kann durch eine Veränderung (inhaltliche Umgestaltung der gespeicherten Daten), eine ganzen oder teilweise Löschung oder durch die Speicherung ergänzender (bei Unvollständigkeit), neu erhobener (Fortschreibung) oder der berichtigten Angaben (bei ursprünglicher Unrichtigkeit) geschehen.)

Bei Akten soll die Berichtigung in der Weise gestaltet werden, wie Schutzzweck der Norm und Eigenart der jeweiligen Akte es am sinnvollsten erscheinen lassen. Deshalb braucht z.B. ein in umfangreichen Akten mehrfach enthaltenes personenbezogenes Datum nicht an jeder einzelnen Stelle berichtigt zu werden, dies kann auch durch einen der Akte vorangestellten Vermerk geschehen.

Sperrung: Der Forderung von Betroffenen nach Sperrung ihrer personenbezogenen Daten wird nur in bestimmten Fällen stattgegeben. Das Hamburgische Datenschutzgesetz sieht hierfür zwei (eigentlich drei) Fallgruppen vor:

  1. Fälle, in denen die Daten verarbeitende Stelle (Hamburger Hochschule) davon ausgehen muss, dass die Umsetzung der Löschungspflicht dem Interesse der Betroffenen nicht entspricht, weil für diese die Möglichkeit als vorrangig angesehen werden muss, noch auf die Daten zugreifen zu können.
  2. In der zweiten Fallgruppe müssen die Betroffenen ausdrücklich an Stelle der Löschung die Sperrung verlangt haben (erklärter Wille).
  3. Ein Anspruch der Betroffenen auf Sperrung besteht ferner, wenn die personenbezogenen Daten nur zu Zwecken der Datensicherung und der Datenschutzkontrolle verarbeitet worden sind.

In welcher Form Daten in Akten zu sperren sind, wird die Verwaltung im Einklang mit dem Schutzzweck der Norm nach Praktikabilität entscheiden. Das Sperren in Akten wird regelmäßig sachgerecht durch Stempelaufdruck oder in vergleichbarer Weise durchgeführt werden.

Löschung: Personenbezogene Daten sind obligatorisch zu löschen, wenn ihre Speicherung unzulässig ist; das hier gebrauchte Präsens erfasst auch den Fall, dass nicht mehr nach heutiger, wohl aber nach früherer Rechts- und Tatsachenlage die Speicherung unzulässig war.

Eine Ausnahme von der Löschungspflicht nach Wegfall der Erforderlichkeit gilt für die Speicherung in Akten, wenn die Datenkenntnis zur Aufgabenerfüllung nicht mehr erforderlich ist. Die Löschung wird nur dann durchgeführt, wenn die gesamte Akte zur Aufgabenerfüllung nicht mehr benötigt wird; wird sie noch benötigt, sind die jeweiligen Daten zu sperren.

Wenn personenbezogene Daten durch die Daten verarbeitende Stelle berichtigt, gesperrt oder gelöscht wurden, besteht die Pflicht alle Stellen, denen die Daten übermittelt wurden, unverzüglich über die durchgeführte Korrektur zu benachrichtigen!

Immer wenn an Hamburger Hochschulen ein Antrag auf Berichtigung, Sperrung oder Löschung von personenbezogenen Daten herangetragen wird, wird dieser an die behördliche Datenschutzbeauftragte weitergeleitet. Dort wird der Antrag bearbeitet und die nötigen Schritte veranlasst. Die Kommunikation mit dem Antragsteller erfolgt ausschließlich durch die behördliche Datenschutzbeauftragte.

 

Werden Betroffene durch eine unzulässige oder unrichtige Datenverarbeitung in ihren schutzwürdigen Belangen beeinträchtigt, so hat ihnen der Träger der öffentlichen Einrichtung den daraus entstehenden Schaden zu ersetzen (§ 20 HmbDSG).

Hierbei ist der Schadenersatzanspruch weder auf automatisierte Datenverarbeitungen beschränkt noch der Höhe nach begrenzt. Dafür haben die verantwortlichen Stellen die Möglichkeit, sich von der Schadenersatzpflicht teilweise oder vollständig zu befreien, wenn sie nachweisen, dass der Umstand, durch den der Schaden eingetreten ist, ihnen nicht zur Last gelegt werden kann (s. Artikel 23 Absatz 2 der EG-Datenschutzrichtlinie). Ein Mitverschulden der Betroffenen mindert entsprechend den BGB-Vorschriften die Haftung. Ebenso gelten die Verjährungsvorschriften des BGB entsprechend.

Handlungsgrundsatz:

Immer wenn auf eine Hamburger Hochschule eine Schadensersatzforderung in Bezug auf unzulässige oder unrichtige Datenverarbeitung zukommt, wird dieser an die behördliche Datenschutzbeauftragte weitergeleitet. In Abstimmung mit dem Präsidium werden die weiteren Schritte veranlasst.

Prozessverantwortliche: Datenschutzbeauftragte.

 

Widerspruch aus besonderem Grund

Unterrichtung bei Ersterhebung

Vertrauliche Anrufung der / des behördlichen Datenschutzbeauftragten

Vertrauliche Anrufung der / des Hamburgischen Beauftragten für Datenschutz und In formationsfreiheit (HmbBfDI)