Der Hessische Landtag hat am 28.10.1998 das Gesetz zur Änderung des Hessischen Datenschutzgesetzes mit den Stimmen aller Landtagsfraktionen beschlossen.

Damit ist Hessen das erste Bundesland, das sein Datenschutzgesetz an die Anforderungen der EG-Datenschutzrichtline aus dem Jahr 1995 anpaßt und die von der Europäischen Richtlinie gesetzte 3-Jahres Frist für die Umsetzung der Vorschriften in nationales Recht einhält. Die fristgerechte Anpassung des Bundesdatenschutzgesetzes, die wesentliche Änderungen bei der Regelung des Datenschutzes im privaten Bereich einführen muß, ist in der abgelaufenen Legislaturperiode nicht geleistet worden. Dies hat zur Folge, daß dort, wo das Bundesdatenschutzgesetz hinter den Anforderungen der Europäischen Datenschutzrichtlinie zurückbleibt, diese Richtlinie jetzt unmittelbar geltendes Recht ist, was weithin noch unbekannte Auswirkungen z.B. auf den Datentransfer an Wirtschaftsunternehmen in nicht europäische Staaten haben wird.

Die neue Bundesregierung hat in ihrem Koalitionsvertrag eine "kurzfristige" Umsetzung der EG-Datenschutzrichtlinie zugesagt. Es bleibt zu hoffen, daß sie in Kürze einen den Anforderungen der Richtlinie entsprechenden Gesetzentwurf vorlegt und der Deutsche Bundestag ihn baldmöglichst verabschiedet, um den europarechtswidrigen Zustand zu beenden.

Hessen hat die Chance wahrgenommen, mit der Novellierung gleichzeitig die Anpassung seines Datenschutzrechts an neuere technische Entwicklungen vorzunehmen, wie die Konferenz der Datenschutzbeauftragten des Bundes und der Länder gefordert hatte. Außerdem wurde die Änderung zum Anlaß genommen, zur Verwaltungsvereinfachung beizutragen.

Wesentliche Änderungen sind:

• Die Einführung des Verbots "vollautomatischer" Entscheidungen, also von solchen Entscheidungen, die ausschließlich auf einer Auswertung von Persönlichkeitsmerkmalen durch Computer beruhen, ohne daß eine Wertung durch einen Menschen vorgenommen wird. Die Auswahlentscheidung zwischen verschiedenen Bewerbern für eine Stelle darf danach nicht vom Computer, sondern muß vom Menschen getroffen werden.
• Stärkung der Stellung der behördlichen Datenschutzbeauftragten, die wesentlicher Faktor für die Einhaltung des Datenschutzes in den Dienststellen sind. Fachlich sind die behördlichen Datenschutzbeauftragten unabhängig und direkt an die Leitung der jeweiligen Dienststelle angebunden. Dadurch erhalten sie bessere Einflußmöglichkeiten, Datenschutz direkt vor Ort durchzusetzen. Sie sind umfassend über die Verarbeitung personenbezogener Daten zu informieren und führen das Verfahrensverzeichnis.
• Anpassung der technischen und organisatorischen Maßnahmen an die Entwicklungen der Informationstechnik. Dies bedeutet insbesondere:
  • Einführung von speziellen Regelungen für Chipkarten und Videoüberwachung
  • Regelung der Datenschutzanforderungen an Verfahren, bei denen verschiedene öffentliche Stellen eine gemeinsame Datenbasis nutzen, wie z.B. Regelung der Verantwortung für das Verfahren oder die jeweiligen Teile, Festlegung wer darf auf welche Daten zugreifen und wer darf welche Auswertungen der Daten vornehmen, Abschottung der einzelnen Bereiche gegeneinander und Nachvollziehbarkeit der Verarbeitung.
• Einführung einer "Vorabkontrolle" für alle automatisierten Datenverarbeitungsverfahren unter Beteiligung des behördlichen bzw. des Hessischen Datenschutzbeauftragten. Das bedeutet, vor jeder Einführung, also schon bei der Entwicklung oder der Auswahl von automatisierten Verfahren, ist zu untersuchen, welche Risiken damit für die Rechte der Bürgerinnen und Bürger verbunden sind und es sind Maßnahmen zur Vermeidung von solchen Risiken bereits in die Entwicklung einzubinden (Technikfolgenabschätzung). Zulässig sind nur Verfahren, die einen angemessenen Schutz vor Risiken gewährleisten.
• Nicht zuletzt aufgrund der Diskussionen während des 7.Wiesbadener Forum Datenschutz zum Thema Datenschutz und Forschung hat sich der Hessische Gesetzgeber entschlossen, den Zugang zu personenbezogenen Daten für Forschungszwecke zu erleichtern.
• Ersatz des aufwendigen und wenig effektiven Verfahrens, mit dem jede öffentliche Stelle die Einzelheiten und Änderungen aller Dateien mit personenbezogenen Daten beim Hessischen Datenschutzbeauftragten zu einem Dateienregister zu melden hatte, durch ein bei den jeweiligen Stellen selbst zu führendes Verzeichnis aller eingesetzten Verfahren, dessen Angaben es dem Hessischen Datenschutzbeauftragten aber auch den Bürgerinnen und Bürgern erlauben, die Rechtmäßigkeit und Ordnungsmäßigkeit der Datenverarbeitung zu beurteilen.
• Wegfall der schriftlichen Benachrichtigung der Bürgerinnen und Bürger von einer automatisierten Verarbeitung ihrer Daten, wenn ihnen dies ohnehin schon bekannt ist, z.B. weil sie bei der Aufnahme ihrer Daten bereits darauf hingewiesen wurden.

Der Hessische Datenschutzbeauftragte Professor Dr. Rainer Hamm, der zusammen mit seinen Mitarbeiterinnen und Mitarbeitern in die Entstehungsgeschichte der Gesetzesnovelle eingebunden war, hält das neue Hessische Datenschutzgesetz insgesamt für gelungen und der Europäischen Richtlinie entsprechend. Das schließt nicht aus, daß nach der überfälligen Änderung des Bundesdatenschutzgesetzes weitere Änderungen insbesondere im Hinblick auf die Kontrolle des nicht-öffentlichen Bereichs notwendig werden.