Hamburgisches Gesetz zum Schutz personenbezogener Daten im Justizvollzug (Hamburgisches Justizvollzugsdatenschutzgesetz - HmbJVollzDSG) Vom 18. Mai 2018
Hamburgisches Gesetz zum Schutz personenbezogener Daten im Justizvollzug (Hamburgisches Justizvollzugsdatenschutzgesetz - HmbJVollzDSG) Vom 18. Mai 2018
*)
Zum 14.06.2023 aktuellste verfügbare Fassung der Gesamtausgabe
Stand: | letzte berücksichtigte Änderung: zuletzt geändert durch Artikel 2 des Gesetzes vom 3. Mai 2023 (HmbGVBl. S. 193) |
Fußnoten
*)
Verkündet als Artikel 1 des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680 für den Hamburger Justizvollzug und zur Änderung vollzugsrechtlicher Vorschriften vom 18. Mai 2018 (HmbGVBl. S. 158)
Nichtamtliches Inhaltsverzeichnis
Titel | Gültig ab |
---|---|
Hamburgisches Gesetz zum Schutz personenbezogener Daten im Justizvollzug (Hamburgisches Justizvollzugsdatenschutzgesetz - HmbJVollzDSG) vom 18. Mai 2018 | 25.05.2018 |
Inhaltsverzeichnis | 25.05.2018 |
Abschnitt 1 - Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten | 25.05.2018 |
§ 1 - Anwendungsbereich und vollzugliche Zwecke | 20.04.2022 |
§ 2 - Begriffsbestimmungen | 17.05.2023 |
§ 3 - Zweck, Datensparsamkeit | 25.05.2018 |
§ 4 - Zulässigkeit der Datenverarbeitung | 25.05.2018 |
§ 5 - Einwilligung | 25.05.2018 |
§ 6 - Datengeheimnis | 20.04.2022 |
Abschnitt 2 - Rechtsgrundlagen der Verarbeitung personenbezogener Daten | 25.05.2018 |
§ 7 - Datenverarbeitung durch Justizvollzugsbehörden | 25.05.2018 |
§ 8 - Art und Weise der Datenerhebung | 25.05.2018 |
§ 9 - Erhebung von Daten über Personen, die nicht Gefangene sind | 25.05.2018 |
§ 10 - Zweckänderung | 20.04.2022 |
§ 11 - Verarbeitung von Erkenntnissen aus Beaufsichtigungs-, Überwachungs- und Kontrollmaßnahmen | 25.05.2018 |
§ 12 - Mitteilung über Haftverhältnisse | 25.05.2018 |
§ 13 - Verantwortung für die Datenübermittlung und Überprüfung der Datenqualität | 20.04.2022 |
§ 14 - Zweckbindung | 25.05.2018 |
§ 15 - Sicherheitsanfrage über Gefangene und anstaltsfremde Personen | 20.04.2022 |
§ 16 - Zuverlässigkeitsüberprüfung von Besucherinnen und Besuchern | 20.04.2022 |
§ 17 - Datenübermittlung bei Beteiligung Dritter an Vollzugsaufgaben | 25.05.2018 |
§ 18 - Aktenüberlassung | 25.05.2018 |
§ 19 - Datenübermittlung und Akteneinsicht für wissenschaftliche Zwecke | 25.05.2018 |
§ 20 - Einsichtnahme in Gefangenenpersonalakten, Gesundheitsakten und Krankenblätter durch internationale Organisationen | 25.05.2018 |
§ 21 - Datenverarbeitung durch optisch-elektronische Einrichtungen | 20.04.2022 |
§ 22 - Auslesen von Datenspeichern | 20.04.2022 |
§ 23 - Identifikation anstaltsfremder Personen | 20.04.2022 |
§ 24 - Lichtbildausweise | 20.04.2022 |
§ 25 - Kenntlichmachung von Daten innerhalb der Anstalt | 25.05.2018 |
§ 26 - Schutz personenbezogener Daten besonderer Kategorien, Schutz von Berufsgeheimnisträgerinnen und Berufsgeheimnisträgern | 25.05.2018 |
§ 27 - Elektronische Aktenführung | 25.05.2018 |
§ 28 - Zentrale Datei, Einrichtung automatisierter Übermittlungsverfahren | 20.04.2022 |
§ 29 - Berichtigung, Löschung und Einschränkung der Verarbeitung | 20.04.2022 |
Abschnitt 3 - Rechte der betroffenen Personen | 25.05.2018 |
§ 30 - Allgemeine Informationen zu Datenverarbeitungen | 25.05.2018 |
§ 31 - Benachrichtigung betroffener Personen | 20.04.2022 |
§ 32 - Auskunftsrecht, Akteneinsicht | 25.05.2018 |
§ 33 - Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung | 25.05.2018 |
§ 34 - Verfahren für die Ausübung der Rechte der betroffenen Personen | 25.05.2018 |
§ 35 - Anrufung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit | 25.05.2018 |
§ 36 - Rechtsschutz gegen Entscheidungen der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit oder bei deren oder dessen Untätigkeit | 25.05.2018 |
Abschnitt 4 - Pflichten der Justizvollzugsbehörden und Auftragsverarbeiter | 25.05.2018 |
§ 37 - Technische und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes | 25.05.2018 |
§ 38 - Gemeinsam Verantwortliche | 25.05.2018 |
§ 39 - Protokollierung | 25.05.2018 |
§ 40 - Entsprechende Anwendbarkeit von Vorschriften des Bundesdatenschutzgesetzes | 25.05.2018 |
Abschnitt 5 - Stellung, Aufgaben und Befugnisse der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes | 25.05.2018 |
§ 41 - Stellung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes, entsprechende Geltung von Vorschriften des Hamburgischen Datenschutzgesetzes und der Verordnung (EU) 2016/679 | 25.05.2018 |
§ 42 - Aufgaben der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes | 25.05.2018 |
§ 43 - Befugnisse der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes | 25.05.2018 |
Abschnitt 6 - Datenschutzbeauftragte oder Datenschutzbeauftragter der Justizvollzugsbehörden | 25.05.2018 |
§ 44 - Datenschutzbeauftragte oder Datenschutzbeauftragter der Justizvollzugsbehörden | 25.05.2018 |
Abschnitt 7 - Haftung und Sanktionen | 25.05.2018 |
§ 45 - Schadensersatz und Entschädigung | 25.05.2018 |
§ 46 - Strafvorschriften | 25.05.2018 |
Abschnitt 8 - Übergangs- und Schlussvorschriften | 25.05.2018 |
§ 47 - Übergangsvorschriften für die Anpassung von automatisierten Verarbeitungssystemen | 25.05.2018 |
§ 48 - Weitere Übergangsvorschriften | 25.05.2018 |
§ 49 - Umsetzung der Richtlinie (EU) 2016/680 | 25.05.2018 |
Inhaltsübersicht | |
Abschnitt 1 Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten | |
§ 1 | Anwendungsbereich und vollzugliche Zwecke |
§ 2 | Begriffsbestimmungen |
§ 3 | Zweck, Datensparsamkeit |
§ 4 | Zulässigkeit der Datenverarbeitung |
§ 5 | Einwilligung |
§ 6 | Datengeheimnis |
Abschnitt 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten | |
§ 7 | Datenverarbeitung durch Justizvollzugsbehörden |
§ 8 | Art und Weise der Datenerhebung |
§ 9 | Erhebung von Daten über Personen, die nicht Gefangene sind |
§ 10 | Zweckänderung |
§ 11 | Verarbeitung von Erkenntnissen aus Beaufsichtigungs-, Überwachungs- und Kontrollmaßnahmen |
§ 12 | Mitteilung über Haftverhältnisse |
§ 13 | Verantwortung für die Datenübermittlung und Überprüfung der Datenqualität |
§ 14 | Zweckbindung |
§ 15 | Sicherheitsanfrage über Gefangene und anstaltsfremde Personen |
§ 16 | Zuverlässigkeitsüberprüfung von Besucherinnen und Besuchern |
§ 17 | Datenübermittlung bei Beteiligung Dritter an Vollzugsaufgaben |
§ 18 | Aktenüberlassung |
§ 19 | Datenübermittlung und Akteneinsicht für wissenschaftliche Zwecke |
§ 20 | Einsichtnahme in Gefangenenpersonalakten, Gesundheitsakten und Krankenblätter durch internationale Organisationen |
§ 21 | Datenverarbeitung durch optisch-elektronische Einrichtungen |
§ 22 | Auslesen von Datenspeichern |
§ 23 | Identifikation anstaltsfremder Personen |
§ 24 | Lichtbildausweise |
§ 25 | Kenntlichmachung von Daten innerhalb der Anstalt |
§ 26 | Schutz personenbezogener Daten besonderer Kategorien, Schutz von Berufsgeheimnisträgerinnen und Berufsgeheimnisträgern |
§ 27 | Elektronische Aktenführung |
§ 28 | Zentrale Datei, Einrichtung automatisierter Übermittlungsverfahren |
§ 29 | Berichtigung, Löschung und Einschränkung der Verarbeitung |
Abschnitt 3 Rechte der betroffenen Personen | |
§ 30 | Allgemeine Informationen zu Datenverarbeitungen |
§ 31 | Benachrichtigung betroffener Personen |
§ 32 | Auskunftsrecht, Akteneinsicht |
§ 33 | Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung |
§ 34 | Verfahren für die Ausübung der Rechte der betroffenen Personen |
§ 35 | Anrufung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit |
§ 36 | Rechtsschutz gegen Entscheidungen der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit oder bei deren oder dessen Untätigkeit |
Abschnitt 4 Pflichten der Justizvollzugsbehörden und Auftragsverarbeiter | |
§ 37 | Technische und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes |
§ 38 | Gemeinsam Verantwortliche |
§ 39 | Protokollierung |
§ 40 | Entsprechende Anwendbarkeit von Vorschriften des Bundesdatenschutzgesetzes |
Abschnitt 5 Stellung, Aufgaben und Befugnisse der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes | |
§ 41 | Stellung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes, entsprechende Geltung von Vorschriften des Hamburgischen Datenschutzgesetzes und der Verordnung (EU) 2016/679 |
§ 42 | Aufgaben der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes |
§ 43 | Befugnisse der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes |
Abschnitt 6 Datenschutzbeauftragte oder Datenschutzbeauftragter der Justizvollzugsbehörden | |
§ 44 | Datenschutzbeauftragte oder Datenschutzbeauftragter der Justizvollzugsbehörden |
Abschnitt 7 Haftung und Sanktionen | |
§ 45 | Schadensersatz und Entschädigung |
§ 46 | Strafvorschriften |
Abschnitt 8 Übergangs- und Schlussvorschriften | |
§ 47 | Übergangsvorschriften für die Anpassung von automatisierten Verarbeitungssystemen |
§ 48 | Weitere Übergangsvorschriften |
§ 49 | Umsetzung der Richtlinie (EU) 2016/680 |
Abschnitt 1 Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
§ 1 Anwendungsbereich und vollzugliche Zwecke
(1) Dieses Gesetz regelt die Verarbeitung personenbezogener Daten durch Justizvollzugsbehörden im Vollzug von Freiheitsentziehungen nach den Vollzugsgesetzen für vollzugliche Zwecke.
(2) Vollzugsgesetze sind das Hamburgische Strafvollzugsgesetz vom 14. Juli 2009 (HmbGVBl. S. 257), zuletzt geändert am 5. April 2022 (HmbGVBl. S. 250, 251), das Hamburgische Jugendstrafvollzugsgesetz vom 14. Juli 2009 (HmbGVBl. S. 257, 280), zuletzt geändert am 5. April 2022 (HmbGVBl. S. 250, 252), das Hamburgische Untersuchungshaftvollzugsgesetz vom 15. Dezember 2009 (HmbGVBl. S. 473), zuletzt geändert am 5. April 2022 (HmbGVBl. S. 250, 253), und das Hamburgische Sicherungsverwahrungsvollzugsgesetz vom 21. Mai 2013 (HmbGVBl. S. 211), zuletzt geändert am 5. April 2022 (HmbGVBl. S. 250, 253), und das Hamburgische Jugendarrestvollzugsgesetz vom 29. Dezember 2014 (HmbGVBl. S. 542), zuletzt geändert am 27. April 2021 (HmbGVBl. S. 285, 286), in der jeweils geltenden Fassung.
(3) Vollzugliche Zwecke im Sinne dieses Gesetzes sind
1.
die Aufgabenerfüllung der Justizvollzugsbehörden nach den Vollzugsgesetzen und die Erreichung des jeweiligen Vollzugsziels,
2.
der Schutz der Allgemeinheit vor weiteren Straftaten der Gefangenen,
3.
die Aufrechterhaltung der Sicherheit und Ordnung in der Anstalt,
4.
die Sicherung des Vollzuges,
5.
die Mitwirkung der Justizvollzugsbehörden an den ihnen durch Gesetz übertragenen sonstigen Aufgaben, insbesondere an Gefangene betreffenden gerichtlichen Entscheidungen durch Abgabe von Stellungnahmen,
6.
die Erstellung von Statistiken, insbesondere zur Evaluierung der vollzuglichen Maßnahmen in Bezug auf die Vollzugsziele der Gefangenen.
§ 2 Begriffsbestimmungen
Im Sinne dieses Gesetzes sind:
1.
„Gefangene“
a)
Personen, an denen Freiheitsstrafe, Jugendstrafe, Jugendarrest, Untersuchungshaft oder die Unterbringung in der Sicherungsverwahrung oder die Therapieunterbringung in Einrichtungen der Sicherungsverwahrung vollzogen wird,
b)
Personen, an denen die in § 1 Absatz 2 des Hamburgischen Untersuchungshaftvollzugsgesetzes aufgeführten Freiheitsentziehungen vollzogen werden,
c)
Personen, an denen Strafarrest in einer Justizvollzugsanstalt nach §§ 97a und 97b des Hamburgischen Strafvollzugsgesetzes vollzogen wird;
2.
„Anstalten“ Justizvollzugsanstalten einschließlich der Anstalten für den Vollzug von Jugendstrafen, Jugendarrestvollzugsanstalten und Einrichtungen für den Vollzug der Sicherungsverwahrung;
3.
„Justizvollzugsbehörden“ Anstalten und Aufsichtsbehörde;
4.
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;
5.
„Verarbeitung“ jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
6.
„Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
7.
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
8.
„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner betroffenen Person zugewiesen werden können;
9.
„Anonymisierung“ das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können;
10.
„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
11.
„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
12.
„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
13.
„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
14.
„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten geführt hat, die verarbeitet wurden;
15.
„genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser Person liefern, insbesondere solche, die aus der Analyse einer biologischen Probe der Person gewonnen wurden;
16.
„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, insbesondere Gesichtsbilder oder daktyloskopische Daten;
17.
„Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
18.
„personenbezogene Daten besonderer Kategorien“ sind solche im Sinne des Artikels 10 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. EU 2016 Nr. L 119 S. 89, 2018 Nr. L 127 S. 9, 2021 Nr. L 74 S. 36);
19.
„internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen sowie jede sonstige Einrichtung, die durch eine von zwei oder mehr Staaten geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde;
20.
„Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
21.
„öffentliche Stellen“
a)
die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform,
b)
die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform,
c)
die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Mitgliedstaates der Europäischen Union;
22.
„nicht-öffentliche Stellen“ natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht die Voraussetzungen von Nummer 21 Buchstabe a, b oder c erfüllen; nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
§ 3 Zweck, Datensparsamkeit
(1) Die Justizvollzugsbehörden haben das Recht einer jeden Person zu schützen, grundsätzlich selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten zu bestimmen.
(2) Die Datenverarbeitung ist an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verarbeiten. Von den Möglichkeiten der Anonymisierung und Pseudonymisierung ist Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
(3) Bei der Verarbeitung personenbezogener Daten ist so weit wie möglich danach zu unterscheiden, ob diese auf Tatsachen oder auf persönlichen Einschätzungen beruhen.
§ 4 Zulässigkeit der Datenverarbeitung
Die Justizvollzugsbehörden dürfen personenbezogene Daten nur verarbeiten, wenn dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder zwingend voraussetzt. In den Fällen, in denen die Erfüllung der Voraussetzungen des § 5 Absatz 1 sichergestellt ist, dürfen die Justizvollzugsbehörden personenbezogene Daten auf Grund einer Einwilligung der betroffenen Person verarbeiten. Bei der Verarbeitung personenbezogener Daten ist zu prüfen, ob diese auch unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Person erforderlich ist.
§ 5 Einwilligung
(1) Eine Einwilligung in die Verarbeitung personenbezogener Daten ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung, insbesondere gegebenenfalls die besondere Situation der Freiheitsentziehung, berücksichtigt werden. Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen. Ist dies nach den Umständen des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch über die Folgen der Verweigerung der Einwilligung zu belehren.
(2) Soweit die Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung erfolgt, müssen die Justizvollzugsbehörden die Einwilligung der betroffenen Person nachweisen können.
(3) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.
(4) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der auf Grund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen.
(5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.
§ 6 Datengeheimnis
(1) Den in Justizvollzugsbehörden beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Personen, die nicht Amtsträger im Sinne des § 11 Absatz 1 Nummer 2 des Strafgesetzbuchs sind, sind vor der Aufnahme ihrer Tätigkeit über die zu beachtenden Bestimmungen zu unterrichten und auf deren Einhaltung nach dem Verpflichtungsgesetz vom 2. März 1974 (BGBl. I S. 469, 547), geändert am 15. August 1974 (BGBl. I S. 1942), in der jeweils geltenden Fassung förmlich zu verpflichten.
(2) Die Verpflichtung zur Beachtung des Datengeheimnisses besteht auch nach Beendigung der Tätigkeit fort.
(3) Die einzelnen Bediensteten dürfen sich von personenbezogenen Daten Kenntnis verschaffen, soweit dies zur Erfüllung der ihnen obliegenden Aufgaben oder für die Zusammenarbeit nach § 105 Absatz 2 Satz 2 und § 107 des Hamburgischen Strafvollzugsgesetzes, § 101 Absatz 2 Satz 2 und § 103 des Hamburgischen Jugendstrafvollzugsgesetzes, § 3 Absatz 1 Satz 2 und § 6 des Hamburgischen Untersuchungshaftvollzugsgesetzes oder § 6 Absatz 1 und § 93 Absatz 1 Satz 2 des Hamburgischen Sicherungsverwahrungsvollzugsgesetzes erforderlich ist. Von personenbezogenen Daten besonderer Kategorien dürfen sie sich nur Kenntnis verschaffen, soweit dies zur Erfüllung der in Satz 1 genannten Zwecke unbedingt erforderlich ist.
Abschnitt 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 7 Datenverarbeitung durch Justizvollzugsbehörden
(1) Die Justizvollzugsbehörden dürfen personenbezogene Daten verarbeiten, soweit dies zur Erfüllung der gesetzlichen Aufgaben des Vollzuges erforderlich ist.
(2) Personenbezogene Daten besonderer Kategorien dürfen sie nur verarbeiten, soweit dies zur Erfüllung der Aufgaben des Vollzuges unbedingt erforderlich ist.
§ 8 Art und Weise der Datenerhebung
(1) Personenbezogene Daten sind bei der betroffenen Person oder bei öffentlichen Stellen zu erheben. Bei nicht-öffentlichen Stellen oder Personen sollen personenbezogene Daten nur erhoben werden, wenn die Erhebung bei der betroffenen Person oder bei öffentlichen Stellen fehlgeschlagen ist, wenn ersichtlich ist, dass nur die nicht-öffentliche Stelle oder Person über die Daten verfügt, wenn die Erhebung bei der nichtöffentlichen Stelle oder Person erforderlich ist, um Angaben der betroffenen Person zu überprüfen, oder wenn eine andere Form der Erhebung zu einer Gefährdung des Erhebungszwecks oder der in § 10 genannten Zwecke führen würde.
(2) Werden personenbezogene Daten bei nicht-öffentlichen Stellen oder Personen erhoben, sind diese auf Verlangen über den Erhebungszweck zu unterrichten, soweit dadurch schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden. Werden die Daten auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, ist auf die Auskunftspflicht, sonst auf die Freiwilligkeit der Angaben hinzuweisen.
§ 9 Erhebung von Daten über Personen, die nicht Gefangene sind
Daten über Personen, die nicht Gefangene sind, dürfen ohne ihre Mitwirkung bei Personen oder Stellen außerhalb der Justizvollzugsbehörden nur erhoben werden, soweit dies zur Erfüllung der gesetzlichen Aufgaben des Vollzuges unbedingt erforderlich ist und die Art der Erhebung schutzwürdige Interessen der betroffenen Personen nicht beeinträchtigt.
§ 10 Zweckänderung
(1) Eine Verarbeitung für andere Zwecke liegt nicht vor, soweit diese dem gerichtlichen Rechtsschutz nach den §§ 109 bis 121b des Strafvollzugsgesetzes vom 16. März 1976 (BGBl. 1976 I S. 581, 2088, 1977 I S. 436), zuletzt geändert am 30. Oktober 2017 (BGBl. I S. 3618, 3623), in der jeweils geltenden Fassung, der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der Durchführung von Organisationsuntersuchungen, der Datensicherung, Datenschutzkontrolle oder der Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage dient. Dies gilt auch für die Verarbeitung personenbezogener Daten zu Aus- und Fortbildungszwecken, soweit nicht berechtigte Interessen der betroffenen Person an der Geheimhaltung der Daten offensichtlich überwiegen.
(2) Die Verarbeitung personenbezogener Daten zu anderen als den ursprünglichen Zwecken ist zudem zulässig, soweit dies
1.
zur Abwehr von sicherheitsgefährdenden oder geheimdienstlichen Tätigkeiten für eine fremde Macht oder von Bestrebungen im Geltungsbereich des Grundgesetzes, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen
1.1
gegen die freiheitliche demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet sind,
1.2
eine ungesetzliche Beeinträchtigung der Amtsführung der Verfassungsorgane des Bundes oder eines Landes oder ihrer Mitglieder zum Ziele haben oder
1.3
auswärtige Belange der Bundesrepublik Deutschland gefährden,
2.
zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit,
3.
zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte anderer Personen,
4.
zur Verhinderung oder Verfolgung von Straftaten sowie zur Verhinderung oder Verfolgung von Ordnungswidrigkeiten, durch welche die Sicherheit oder Ordnung der Anstalt gefährdet werden,
5.
für Maßnahmen der Strafvollstreckung oder strafvollstreckungsrechtliche Entscheidungen oder
6.
für den Vollzug einer anderen Freiheitsentziehung
erforderlich ist. Die Verarbeitung personenbezogener Daten besonderer Kategorien ist zu den Zwecken nach Satz 1 zulässig, soweit sie unbedingt erforderlich ist.
(3) Über die in den Absätzen 1 und 2 geregelten Zwecke hinaus dürfen zuständigen öffentlichen Stellen oder geeigneten nicht-öffentlichen Stellen personenbezogene Daten übermittelt werden, soweit
1.
eine andere gesetzliche Vorschrift dies für den Geltungsbereich dieses Gesetzes vorsieht oder zwingend voraussetzt,
2.
die Daten auf eine fortbestehende erhebliche Gefährlichkeit der Gefangenen für die Allgemeinheit hinweisen und daher Maßnahmen der Polizei zur vorbeugenden Bekämpfung von Straftaten von erheblicher Bedeutung erforderlich machen können,
oder soweit dies für
3.
die Vorbereitung und Durchführung von Maßnahmen der
a)
Gerichtshilfe,
b)
Jugendgerichtshilfe,
c)
Bewährungshilfe,
d)
Jugendbewährungshilfe,
e)
Führungsaufsicht,
f)
Fachstelle Übergangsmanagement oder
g)
forensischen Ambulanzen,
4.
Entscheidungen in Gnadensachen,
5.
gesetzlich angeordnete Statistiken der Rechtspflege,
6.
sozialrechtliche Maßnahmen,
7.
die Einleitung von Hilfsmaßnahmen für Angehörige (§ 11 Absatz 1 Nummer 1 des Strafgesetzbuchs) der Gefangenen,
8.
dienstliche Maßnahmen der Bundeswehr im Zusammenhang mit der Aufnahme und Entlassung von Soldaten,
9.
asyl- oder ausländerrechtliche Maßnahmen,
10.
die Durchführung der Besteuerung oder
11.
Maßnahmen von Schulen oder der für Schule und Berufsbildung zuständigen Behörde im Vollzug des Jugendarrests nach dem Jugendgerichtsgesetz
erforderlich ist.
Die Übermittlung personenbezogener Daten besonderer Kategorien ist zu den Zwecken nach Satz 1 zulässig, soweit sie unbedingt erforderlich ist. Bei Untersuchungsgefangenen und Gefangenen nach § 2 Nummer 1 Buchstabe b unterbleibt die Übermittlung nach Satz 1, wenn für die Justizvollzugsbehörden erkennbar ist, dass unter Berücksichtigung der Art der Information und der Rechtsstellung dieser Gefangenen die betroffenen Personen ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung haben. Die Übermittlung personenbezogener Daten ist auch zulässig, wenn sie der Bearbeitung von Eingaben, parlamentarischen Anfragen oder Aktenvorlageersuchen der Bürgerschaft dient und überwiegende schutzwürdige Interesse der betroffenen Person nicht entgegenstehen. Unterliegen die personenbezogenen Daten einem Berufsgeheimnis und sind sie den Justizvollzugsbehörden von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufspflicht übermittelt worden, findet Satz 4 keine Anwendung.
(4) Personenbezogene Daten, die über Personen, die nicht Gefangene sind, erhoben worden sind, dürfen nur zur Erfüllung des Erhebungszweckes, für die in Absatz 2 Satz 1 Nummern 1 bis 3 und Absatz 3 Satz 1 Nummer 2 aufgeführten Zwecke oder zur Verhinderung oder Verfolgung von Straftaten von erheblicher Bedeutung weiter verarbeitet werden. Sie dürfen auch übermittelt werden, soweit dies für Zwecke der Fahndung und Festnahme von entwichenen oder sich sonst ohne Erlaubnis außerhalb der Anstalt aufhaltenden Gefangenen erforderlich ist. Personenbezogene Daten besonderer Kategorien dürfen zu den in den Sätzen 1 und 2 genannten Zwecken nur verarbeitet werden, sofern dies zur Erreichung dieser Zwecke unbedingt erforderlich ist.
(5) Die Übermittlung von personenbezogenen Daten unterbleibt, soweit die in § 26 Absatz 7 und § 29 Absätze 4 und 8 geregelten Einschränkungen oder besondere gesetzliche Verwendungsregelungen entgegenstehen.
§ 11 Verarbeitung von Erkenntnissen aus Beaufsichtigungs-, Überwachungs- und Kontrollmaßnahmen
(1) Bei der Überwachung der Besuche, des Schriftwechsels, der Telefongespräche, der Überwachung des Inhaltes von Paketen und bei der Auslesung unerlaubt besessener Datenspeicher bekannt gewordene personenbezogene Daten dürfen nur zu den in § 10 Absatz 2 Satz 1 und Absatz 3 Satz 1 Nummer 2 aufgeführten Zwecken, für das gerichtliche Verfahren nach den §§ 109 bis 121 des Strafvollzugsgesetzes, zur Wahrung der Sicherheit oder Ordnung der Anstalt oder nach Anhörung der Gefangenen für Zwecke der Behandlung verarbeitet werden. Unter den Voraussetzungen von Satz 1 bekannt gewordene personenbezogene Daten besonderer Kategorien dürfen für die in Satz 1 genannten Zwecke nur verarbeitet werden, soweit dies unbedingt erforderlich ist.
(2) Die nach Absatz 1 bekannt gewordenen Daten dürfen im Vollzug der Untersuchungshaft und der Freiheitsentziehungen nach § 2 Nummer 1 Buchstabe b über die in Absatz 1 bezeichneten Zwecke hinaus auch zur Abwehr von Gefährdungen der Untersuchungshaft oder zur Umsetzung einer verfahrenssichernden Anordnung verarbeitet werden.
§ 12 Mitteilung über Haftverhältnisse
(1) Öffentlichen und nicht-öffentlichen Stellen dürfen die Justizvollzugsbehörden auf schriftlichen Antrag mitteilen, ob sich Personen in Haft befinden, ob und wann ihre Entlassung voraussichtlich bevorsteht und wie die Entlassungsadresse lautet, soweit
1.
die Mitteilung zur Erfüllung der in der Zuständigkeit der öffentlichen Stelle liegenden Aufgaben erforderlich ist oder
2.
von nicht-öffentlichen Stellen ein berechtigtes Interesse an dieser Mitteilung glaubhaft dargelegt wird und die Gefangenen kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung haben.
(2) Opfern von Straftaten oder ihren Hinterbliebenen oder den infolge eines Forderungsüberganges zuständigen öffentlichen Stellen können darüber hinaus auf schriftlichen Antrag Auskünfte über die Vermögensverhältnisse der Gefangenen erteilt werden, wenn die Auskünfte zur Feststellung oder Durchsetzung von Rechtsansprüchen im Zusammenhang mit der Straftat erforderlich sind. Opfern von Straftaten dürfen auch Auskünfte über die Unterbringung im offenen Vollzug oder die Gewährung von Lockerungen erteilt werden, wenn die Gefangenen wegen einer Straftat nach den §§ 174 bis 180, 182, 221, 223 bis 226, 232 bis 233a, 234 bis 238, § 239 Absatz 3, § 239a oder § 239b des Strafgesetzbuchs, einer versuchten Tat nach den § 211 oder § 212 des Strafgesetzbuchs oder wegen einer Straftat nach § 4 des Gewaltschutzgesetzes vom 11. Dezember 2001 (BGBl. I S. 3513), geändert am 1. März 2017 (BGBl. I S. 386), verurteilt wurden.
(3) Zuständigen öffentlichen Stellen können über Absatz 1 hinaus auf schriftlichen Antrag Auskünfte über die Vermögensverhältnisse von Gefangenen gemacht werden, wenn dies zur Feststellung oder Durchsetzung öffentlich-rechtlicher Forderungen erforderlich ist.
(4) Im Vollzug der Untersuchungshaft und der Freiheitsentziehungen nach § 2 Nummer 1 Buchstabe b besteht die zulässige Mitteilung nach den Absätzen 1 bis 3 in der Angabe, ob sich eine Person in der Anstalt im Vollzug der in Satz 1 genannten Freiheitsentziehung befindet. Bei einer nicht nur vorläufigen Einstellung des Verfahrens, einer unanfechtbaren Ablehnung der Eröffnung des Hauptverfahrens oder einem rechtskräftigen Freispruch sind auf Antrag der betroffenen Untersuchungsgefangenen die Stellen, die eine Mitteilung nach Satz 1 erhalten haben, über den Verfahrensausgang in Kenntnis zu setzen.
(5) Die Gefangenen werden vor der Mitteilung gehört, es sei denn, hierdurch wird der Zweck der Mitteilung vereitelt. Ist die Anhörung unterblieben, werden die betroffenen Gefangenen über die Mitteilung unter Angabe des Inhalts nachträglich unterrichtet. Untersuchungsgefangene und Gefangene nach § 2 Nummer 1 Buchstabe b sind bei der Anhörung oder nachträglichen Unterrichtung auf ihr Antragsrecht nach Absatz 4 Satz 2 hinzuweisen.
(6) Bei Anhörung und Unterrichtung Gefangener nach Absatz 5 ist auf die berechtigten Interessen nicht-öffentlicher Empfängerinnen oder Empfänger an der Geheimhaltung ihrer Lebensumstände in besonderer Weise Rücksicht zu nehmen. Die Anschrift der Empfängerinnen oder Empfänger darf den Gefangenen nicht übermittelt werden.
§ 13 Verantwortung für die Datenübermittlung und Überprüfung der Datenqualität
(1) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Justizvollzugsbehörde. Erfolgt die Übermittlung auf Ersuchen einer öffentlichen Stelle, trägt diese die Verantwortung. In diesem Fall prüft die übermittelnde Justizvollzugsbehörde nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben der ersuchenden Stelle liegt und § 10 Absatz 4, § 11, § 26 Absatz 7 oder § 29 Absatz 10 der Übermittlung nicht entgegenstehen, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht.
(2) Soweit dies durchführbar ist, sind die personenbezogenen Daten vor ihrer Übermittlung auf ihre Qualität, insbesondere auf ihre Richtigkeit, Vollständigkeit und Aktualität zu überprüfen.
(3) Bei der Übermittlung personenbezogener Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit werden nach Möglichkeit die erforderlichen Informationen beigefügt, die es den ersuchenden Stellen ermöglichen, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der personenbezogenen Daten sowie deren Aktualitätsgrad zu beurteilen.
(4) Erfolgt die Übermittlung oder der Abruf von personenbezogenen Daten im automatisierten Verfahren oder im automatisierten Verbundverfahren, so trägt die ersuchende Stelle die Verantwortung für die Rechtmäßigkeit des Abrufs.
§ 14 Zweckbindung
Von den Justizvollzugsbehörden übermittelte personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, zu dessen Erfüllung sie übermittelt worden sind. Die Empfänger dürfen die Daten für andere Zwecke nur verarbeiten, soweit sie ihnen auch für diese Zwecke hätten übermittelt werden dürfen, und wenn im Falle einer Übermittlung an nicht-öffentliche Stellen die übermittelnde Justizvollzugsbehörde zugestimmt hat. Die Justizvollzugsbehörden haben die nicht-öffentlichen Empfänger auf die Zweckbindung nach Satz 1 hinzuweisen.
§ 15 Sicherheitsanfrage über Gefangene und anstaltsfremde Personen
(1) Zum Zwecke der Aufrechterhaltung der Sicherheit und Ordnung der Anstalt, zur Abwendung von Gefahren hierfür und zur Abwendung von Gefahren für das Vollzugsziel prüfen die Justizvollzugsbehörden, ob sicherheitsrelevante Erkenntnisse über Gefangene und Personen, die in der Anstalt tätig werden wollen und die zu der Anstalt nicht in einem Dienst- oder Arbeitsverhältnis stehen und nicht im Auftrag einer anderen Behörde Zugang begehren (anstaltsfremde Personen), vorliegen.
(2) Sicherheitsrelevant sind Erkenntnisse über extremistische, insbesondere gewaltorientierte Einstellungen oder Kontakte zu extremistischen, insbesondere gewaltorientierten Organisationen, Gruppierungen oder Personen in Kenntnis ihrer extremistischen Ausrichtung. Namentlich wenn anstaltsfremde Personen an der Behandlung von Gefangenen mitwirken, können auch Erkenntnisse über erhebliche strafrechtliche Verurteilungen, eine bestehende Suchtproblematik oder andere für die Beurteilung der Zuverlässigkeit der betroffenen Personen erhebliche Umstände sicherheitsrelevant sein.
(3) Eine anstaltsfremde Person ist über den Anlass der Sicherheitsanfrage, ihren Umfang sowie die Rechtsfolgen nach Absatz 9 vor der Einholung von Auskünften zu belehren.
(4) Die Justizvollzugsbehörden dürfen Behörden mit Sicherheitsaufgaben um Auskunft ersuchen. Insbesondere dürfen sie
1.
eine Auskunft nach § 41 Absatz 1 Nummer 1 und § 61 Absatz 1 Nummer 1 des Bundeszentralregistergesetzes in der Fassung vom 21. September 1984 (BGBl. 1984 I S. 1230, 1985 I S. 195), zuletzt geändert am 18. Juli 2017 (BGBl. I S. 2732), in der jeweils geltenden Fassung einholen,
2.
Erkenntnisse der Polizeibehörden und
3.
Erkenntnisse des Landesamtes für Verfassungsschutz Hamburg
anfragen (Sicherheitsanfrage).
Bestehen auf Grund der durch die beteiligten Stellen übermittelten Informationen Anhaltspunkte für sicherheitsrelevante Erkenntnisse über die betroffene Person, können die Justizvollzugsbehörden im Einzelfall zur weiteren Sachaufklärung zusätzliche Auskünfte einholen. Die Vorschriften des Hamburgischen Sicherheitsüberprüfungs- und Geheimschutzgesetzes vom 25. Mai 1999 (HmbGVBl. S. 82), zuletzt geändert am 2. April 2013 (HmbGVBl. S. 121, 124), in der jeweils geltenden Fassung bleiben unberührt.
(5) Die Anfrage nach Absatz 4 Satz 2 Nummer 2 erstreckt sich nur auf die personengebundenen Hinweise und die Erkenntnisse des polizeilichen Staatsschutzes. Bei der Anfrage nach Absatz 4 Satz 2 Nummer 3 erfolgt die Abfrage des nachrichtendienstlichen Informationssystems durch das Landesamt für Verfassungsschutz Hamburg.
(6) Von einer Sicherheitsanfrage über Gefangene soll nach Zulassung eines technischen Verfahrens für Sicherheitsanfragen nach Absatz 14 nur abgesehen werden, wenn im Einzelfall auf Grund einer Gesamtwürdigung eine Gefährdung der Sicherheit und Ordnung der Anstalt oder eine Gefährdung des Vollzugsziels fernliegt. Vor Zulassung eines technischen Verfahrens nach Absatz 14 sind die Justizvollzugsbehörden zur Durchführung von Sicherheitsanfragen befugt. Bei anstaltsfremden Personen soll eine Sicherheitsanfrage nur erfolgen, wenn auf Grund bestimmter Umstände davon auszugehen ist, dass die Überprüfung nach dem Hamburgischen Sicherheitsüberprüfungs- und Geheimschutzgesetz in Verbindung mit der Verordnung zur Bestimmung sicherheitsempfindlicher öffentlicher Bereiche für Sicherheitsüberprüfungen ohne Mitwirkung des Landesamtes für Verfassungsschutz nach dem Hamburgischen Sicherheitsüberprüfungsgesetz vom 17. Februar 2004 (HmbGVBl. S. 63), zuletzt geändert am 29. September 2015 (HmbGVBl. S. 250), in der jeweils geltenden Fassung zur Erreichung der Ziele des Absatz 1 nicht ausreicht. Die Umstände können in Erkenntnissen über die anstaltsfremde Person oder in der Art der durch die anstaltsfremde Person auszuübenden Tätigkeit begründet sein.
(7) Die Justizvollzugsbehörden übermitteln den angefragten Behörden folgende Identitätsdaten:
1.
den Namen,
2.
die Vornamen,
3.
das Geburtsdatum,
4.
den Geburtsort und
5.
die Staatsangehörigkeit
der betroffenen Person sowie im Einzelfall weitere personenbezogene Daten, die geeignet sind, deren Identität festzustellen. Betrifft die Sicherheitsanfrage Gefangene, sollen darüber hinaus bekannt gewordene Aliaspersonalien mitgeteilt werden.
(8) Die gemäß Absatz 4 Satz 2 Nummern 2 und 3 angefragten Behörden teilen den Justizvollzugsbehörden die sicherheitsrelevanten Erkenntnisse über die betroffene Person mit. Die genannten Behörden dürfen die in Absatz 7 aufgeführten Daten für die Durchführung der Sicherheitsanfrage verarbeiten. Sie löschen die übermittelten personenbezogenen Daten, sobald die Sicherheitsanfrage abgeschlossen ist. Davon ausgenommen sind solche personenbezogenen Daten, die die angefragten Behörden auf Grund der für ihre Tätigkeit geltenden gesetzlichen Grundlagen hätten erheben dürfen.
(9) Die Justizvollzugsbehörden bewerten die ihnen mitgeteilten Erkenntnisse über eine betroffene Person auf Grund einer Gesamtwürdigung des Einzelfalls und ergreifen die erforderlichen Maßnahmen. Die Anstaltsleitung entscheidet, ob sie einer anstaltsfremden Person nicht oder nur unter Auflagen Zutritt zur Anstalt gewährt oder sie nicht oder nur unter Beschränkungen zu der angestrebten Tätigkeit in der Anstalt zulässt. Dies gilt entsprechend, wenn die anstaltsfremde Person eine Sicherheitsanfrage verweigert.
(10) Im Rahmen der Sicherheitsanfrage gewonnene personenbezogene Daten sind in gesonderten Akten oder personenbezogenen Dateien zu verarbeiten. Durch organisatorische Maßnahmen ist sicherzustellen, dass nur die in der Anstalt tätigen Personen Zugang zu den Akten oder Dateien nach Satz 1 erhalten, für deren Aufgabenerfüllung die Kenntnis dieser Daten unbedingt erforderlich ist.
(11) Die Justizvollzugsbehörden sind befugt, die über Gefangene erhobenen Daten zur Aufrechterhaltung der Sicherheit und Ordnung der Anstalt und zur Erreichung des Vollzugziels zu verarbeiten. Eine Übermittlung zu anderen Zwecken erfolgt nur zur Erfüllung der in § 10 Absatz 2 Satz 1 Nummern 1 bis 3 und Absatz 3 Satz 1 Nummern 2 und 3 genannten Zwecke oder zur Verhinderung oder Verfolgung von Straftaten von erheblicher Bedeutung.
(12) Die Unterlagen oder elektronisch gespeicherten personenbezogenen Daten über anstaltsfremde Personen sind innerhalb eines Jahres nach Abschluss der Sicherheitsanfrage zu vernichten oder zu löschen, wenn die betroffene Person keine Tätigkeit im Justizvollzug aufnimmt, es sei denn, die betroffene Person willigt in die weitere Aufbewahrung ein. Im Übrigen sind die Unterlagen oder elektronischen Daten fünf Jahre nach dem Ausscheiden aus der Tätigkeit zu vernichten oder zu löschen, es sei denn, die betroffene Person willigt in die weitere Aufbewahrung ein oder es ist beabsichtigt, die betroffene Person in absehbarer Zeit erneut mit einer Tätigkeit im Justizvollzug zu betrauen.
(13) Eine erneute Sicherheitsanfrage kann erfolgen, wenn neue sicherheitsrelevante Erkenntnisse vorliegen. Eine Sicherheitsanfrage über anstaltsfremde Personen soll darüber hinaus nach Ablauf von zwei Jahren wiederholt werden, sofern die Voraussetzungen des Absatzes 6 Sätze 3 und 4 weiterhin vorliegen.
(14) Die für die Sicherheitsanfrage erforderlichen personenbezogenen Daten dürfen nach Zulassung eines technischen Verfahrens im Wege eines automatisierten Abrufverfahrens oder einer regelmäßigen Datenübermittlung abgefragt und übermittelt werden. Der Senat wird ermächtigt, durch Rechtsverordnung ein technisches Verfahren zur Datenübermittlung nach Satz 1 zuzulassen. In der Rechtsverordnung werden die Einzelheiten der Datenübermittlung sowie des Verfahrens der Bearbeitung der Anfragen geregelt. Der Senat kann die Ermächtigung nach Satz 2 durch Rechtsverordnung auf die zuständige Behörde weiter übertragen.
§ 16 Zuverlässigkeitsüberprüfung von Besucherinnen und Besuchern
(1) Zur Abwendung von Gefahren für das Vollzugsziel, zur Aufrechterhaltung der Sicherheit und Ordnung der Anstalt und zur Abwendung von Gefahren hierfür dürfen die Justizvollzugsbehörden eine Zuverlässigkeitsüberprüfung von anstaltsfremden Personen vornehmen, die die Zulassung zum Gefangenenbesuch oder zum Besuch der Anstalt begehren.
(2) Die Justizvollzugsbehörden dürfen zum Zwecke der Zuverlässigkeitsüberprüfung insbesondere
1.
eine Auskunft nach § 41 Absatz 1 Nummer 1 des Bundeszentralregistergesetzes einholen,
2.
Erkenntnisse der Polizeibehörden und, soweit im Einzelfall erforderlich, des Landesamtes für Verfassungsschutz Hamburg abfragen.
Die Justizvollzugsbehörden übermitteln den angefragten Behörden folgende Identitätsdaten:
1.
den Namen,
2.
die Vornamen,
3.
das Geburtsdatum,
4.
den Geburtsort und
5.
die Staatsangehörigkeit
der betroffenen Person sowie im Einzelfall weitere personenbezogene Daten, die geeignet sind, deren Identität festzustellen. Darüber hinaus teilen sie gegebenenfalls mit, dass und für welchen Gefangenen die Zulassung zum Gefangenenbesuch begehrt wird.
(3) Die Durchführung einer Überprüfung nach Absatz 1 ist nur veranlasst, wenn tatsächliche Anhaltspunkte für eine Gefährdung des Vollzugsziels oder für eine Gefährdung der Sicherheit und Ordnung der Anstalt bestehen. Die betroffene Person ist über den Anlass der Zuverlässigkeitsüberprüfung, ihren Umfang sowie die Rechtsfolgen nach Absatz 5 vor der Einholung von Auskünften zu belehren. Von der Belehrung kann unter den Voraussetzungen von § 31 Absatz 3 abgesehen werden.
(4) Die gemäß Absatz 2 Satz 1 Nummer 2 angefragten Behörden teilen den Justizvollzugsbehörden die zuverlässigkeitsrelevanten Erkenntnisse über die betroffene Person mit. Die genannten Behörden dürfen die in Absatz 2 Satz 2 aufgeführten Daten für die Durchführung der Zuverlässigkeitsanfrage verarbeiten. Sie löschen die übermittelten personenbezogenen Daten, sobald die Zuverlässigkeitsanfrage abgeschlossen ist. Davon ausgenommen sind solche personenbezogenen Daten, die die angefragten Behörden auf Grund der für ihre Tätigkeit geltenden gesetzlichen Grundlagen hätten erheben dürfen.
(5) Werden den Justizvollzugsbehörden Erkenntnisse bekannt, welche Zweifel an der Zuverlässigkeit begründen, wird die betroffene Person nicht oder nur unter Auflagen zu dem Besuch zugelassen. Dies gilt entsprechend, wenn die betroffene Person eine Zuverlässigkeitsüberprüfung verweigert.
(6) Die Zuverlässigkeitsüberprüfung kann wiederholt werden, wenn dies auf Grund neuer tatsächlicher Anhaltpunkte für eine Gefährdung der Ziele des Absatz 1 erforderlich ist.
(7) Absätze 1 bis 6 gelten nicht für Besuche von Rechtsanwältinnen, Rechtsanwälten, Notarinnen und Notaren in einer die Gefangenen betreffenden Rechtssache oder für Besuche der in § 119 Absatz 4 Satz 2 der Strafprozessordnung genannten Personen oder von Personen, die den Besuch in ihrer Eigenschaft als Mitglieder oder Vertreter der dort genannten Stellen durchführen.
§ 17 Datenübermittlung bei Beteiligung Dritter an Vollzugsaufgaben
(1) Werden öffentliche oder nicht-öffentliche Stellen oder Personen an der Wahrnehmung vollzuglicher Aufgaben beteiligt, dürfen die für die Aufgabenwahrnehmung erforderlichen personenbezogenen Daten an diese übermittelt werden. Soweit erforderlich, dürfen ihnen Dateien und Akten zur Aufgabenerfüllung überlassen werden. Personenbezogene Daten besonderer Kategorien dürfen übermittelt werden, soweit dies zur Aufgabenerfüllung unbedingt erforderlich ist.
(2) Vor der Übermittlung nach Absatz 1 sind die personenbezogenen Daten zu pseudonymisieren, soweit dies mit vertretbarem Aufwand möglich ist und soweit nicht der Personenbezug für die Erfüllung des Übermittlungszwecks erforderlich ist.
§ 18 Aktenüberlassung
(1) Soweit die Übermittlung der darin enthaltenen Daten zulässig ist, dürfen Akten mit personenbezogenen Daten nur
1.
anderen Justizvollzugsbehörden,
2.
den zur Dienst- oder Fachaufsicht oder zu dienstlichen Weisungen befugten Stellen,
3.
den in § 10 Absatz 3 Satz 1 Nummer 3 genannten Stellen,
4.
den für strafvollzugs-, strafvollstreckungs- und strafrechtliche Entscheidungen zuständigen Gerichten,
5.
den Strafvollstreckungs- und Strafverfolgungsbehörden einschließlich der Polizei,
6.
den mit der Übernahme von Aufgaben des Vollzugs beauftragen Stellen (§ 17),
7.
sonstigen öffentlichen Stellen, wenn die Erteilung einer Auskunft entweder einen unvertretbaren Aufwand erfordern würde oder nach Darlegung der die Akteneinsicht begehrenden Stelle die Erteilung einer Auskunft für die Erfüllung ihrer Aufgaben nicht ausreicht,
überlassen oder im Falle elektronischer Aktenführung in Form von Duplikaten übermittelt werden. Satz 1 Nummer 7 gilt entsprechend für die Überlassung von Akten an die von den Justizvollzugs-, Strafverfolgungs- oder Strafvollstreckungsbehörden oder von einem Gericht mit Gutachten beauftragten Stellen.
(2) Sind mit personenbezogenen Daten, die nach den Vorschriften dieses Gesetzes übermittelt werden dürfen, weitere personenbezogene Daten der betroffenen Personen oder Dritter in Akten so verbunden, dass eine Trennung, Anonymisierung oder Pseudonymisierung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen der betroffenen Person oder Dritter an deren Geheimhaltung offensichtlich überwiegen; eine Verarbeitung dieser Daten durch die Empfänger ist unzulässig. Soweit es sich um personenbezogene Daten besonderer Kategorien handelt, ist regelmäßig von einem überwiegenden berechtigten Interesse der betroffenen Person oder Dritter an der Geheimhaltung auszugehen.
(3) Für die elektronische Versendung einer elektronischen Akte (§ 27) gelten die Absätze 1 und 2 entsprechend.
§ 19 Datenübermittlung und Akteneinsicht für wissenschaftliche Zwecke
Für die Übermittlung personenbezogener Daten und Akteneinsicht für wissenschaftliche Zwecke gilt § 476 der Strafprozessordnung entsprechend mit der Maßgabe, dass auch elektronisch gespeicherte personenbezogene Daten übermittelt werden dürfen. Die Übermittlung kann auch auf elektronischem Wege erfolgen.
§ 20 Einsichtnahme in Gefangenenpersonalakten, Gesundheitsakten und Krankenblätter durch internationale Organisationen
Die Mitglieder einer Delegation des Europäischen Ausschusses zur Verhütung von Folter und unmenschlicher oder erniedrigender Behandlung oder Strafe und die Mitglieder einer durch das Übereinkommen der Vereinten Nationen gegen Folter und andere grausame, unmenschliche oder erniedrigende Behandlung oder Strafe legitimierten Stelle erhalten während des Besuchs in der Anstalt auf Verlangen Einsicht in die Gefangenenpersonalakten, Gesundheitsakten und Krankenblätter im Justizvollzugskrankenhaus, soweit dies zur Wahrnehmung der Aufgaben des Ausschusses oder der Stelle erforderlich ist.
§ 21 Datenverarbeitung durch optisch-elektronische Einrichtungen
(1) Die Justizvollzugsbehörden dürfen unter den Voraussetzungen der Absätze 2 bis 5 Daten auch durch den Einsatz von optisch-elektronischen Einrichtungen verarbeiten (Videoüberwachung durch Videobeobachtung und Videoaufzeichnung). § 27 Absatz 1 des Hamburgischen Strafvollzugsgesetzes, § 27 Absatz 1 des Hamburgischen Jugendstrafvollzugsgesetzes, § 22 Absatz 1 des Hamburgischen Untersuchungshaftvollzugsgesetzes, § 27 Absatz 1 des Hamburgischen Sicherungsverwahrungsvollzugsgesetzes und § 17 Absatz 3 des Hamburgischen Jugendarrestvollzugsgesetzes bleiben unberührt.
(2) Das Gelände und das Gebäude der Anstalt einschließlich des Gebäudeinneren sowie die unmittelbare Anstaltsumgebung dürfen aus Gründen der Sicherheit und Ordnung mittels offen angebrachter optisch-elektronischer Einrichtungen überwacht werden. Der Einsatz versteckt angebrachter optisch-elektronischer Einrichtungen ist im Einzelfall auf Anordnung der Anstaltsleitung zulässig, wenn und solange dies zur Aufrechterhaltung der Sicherheit und Ordnung der Anstalt unbedingt erforderlich ist; über einen Zeitraum von vier Wochen hinaus ist die Zustimmung der Aufsichtsbehörde einzuholen.
(3) Bei Gefangenentransporten ist der Einsatz optisch-elektronischer Einrichtungen zur Überwachung einzelner Bereiche des Transportfahrzeugs zulässig, soweit dies aus Gründen der Sicherheit und Ordnung oder zur Abwehr von Gefahren für Leben oder Gesundheit einer Gefangenen oder eines Gefangenen erforderlich ist.
(4) Der Einsatz von optisch-elektronischen Einrichtungen zur Überwachung in Hafträumen ist ausgeschlossen, soweit im Hamburgischen Strafvollzugsgesetz, im Hamburgischen Jugendstrafvollzugsgesetz, im Hamburgischen Untersuchungshaftvollzugsgesetz, im Hamburgischen Sicherungsverwahrungsvollzugsgesetz oder im Hamburgischen Jugendarrestvollzugsgesetz nichts anderes bestimmt ist. Ist der Einsatz von optisch-elektronischen Einrichtungen zur Überwachung in Hafträumen zulässig, ist auf die elementaren Bedürfnisse der Gefangenen nach Wahrung ihrer Intimsphäre angemessen Rücksicht zu nehmen.
(5) Die Datenverarbeitung durch optisch-elektronische Einrichtungen kann auch erfolgen, wenn Gefangene unvermeidlich betroffen werden, hinsichtlich derer die Voraussetzungen des Einsatzes nicht vorliegen.
(6) Der Einsatz von optisch-elektronischen Einrichtungen ist durch geeignete Maßnahmen erkennbar zu machen. Dies gilt nicht in den Fällen des Einsatzes nach Absatz 2 Satz 2.
(7) Werden durch den Einsatz von optisch-elektronischen Einrichtungen erhobene Daten einer bestimmten Person zugeordnet, ist die weitere Verarbeitung der Daten nur zur Erfüllung der Aufgaben des Vollzuges und zu den in § 10 Absatz 2 Satz 1 Nummern 1, 2 oder 4 genannten Zwecken zulässig.
§ 22 Auslesen von Datenspeichern
(1) Elektronische Datenspeicher sowie elektronische Geräte mit Datenspeicher, die ohne Erlaubnis in die Anstalt eingebracht wurden, dürfen auf schriftliche einzelfallbezogene Anordnung der Anstaltsleitung ausgelesen werden, soweit konkrete Anhaltspunkte die Annahme rechtfertigen, dass dies für die Erfüllung der Aufgaben des Vollzuges oder zu den in § 10 Absatz 2 Satz 1 Nummer 4 genannten Zwecken erforderlich ist. Bei kommunikationsfähigen elektronischen Geräten mit Datenspeicher bestehen in der Regel konkrete Anhaltspunkte im Sinne des Satzes 1. Das Auslesen ist möglichst auf die Inhalte zu beschränken, die zur Erreichung der die Anordnung begründenden Zwecke erforderlich sind.
(2) Die weitere Verarbeitung der nach Absatz 1 erhobenen Daten ist unzulässig, soweit sie dem Kernbereich der privaten Lebensgestaltung Gefangener oder Dritter unterfallen. Diese Daten sind unverzüglich zu löschen. Die Tatsachen der Erfassung und Löschung der Daten sind zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist am Ende des Kalenderjahres zu löschen, das dem Jahr der Dokumentation folgt.
(3) Die Gefangenen sind bei der Aufnahme über die Möglichkeit des Auslesens von Datenspeichern nach Absatz 1 zu belehren.
§ 23 Identifikation anstaltsfremder Personen
(1) Das Betreten der Anstalt durch anstaltsfremde Personen kann davon abhängig gemacht werden, dass diese zur Identitätsfeststellung
1.
ihren Vornamen, ihren Namen und ihre Anschrift angeben und durch einen amtlichen Ausweis nachweisen und
2.
die biometrische Erfassung von Merkmalen des Gesichts, der Augen, der Hände, der Stimme oder der Unterschrift dulden, soweit dies unbedingt erforderlich ist, um im Einzelfall den Austausch von Gefangenen gegen anstaltsfremde Personen zu verhindern.
(2) Eine Verarbeitung der nach Absatz 1 Nummer 2 erhobenen Identifikationsmerkmale ist nur zulässig, soweit dies erforderlich ist zur
1.
Identitätsüberprüfung beim Verlassen der Anstalt oder
2.
Verfolgung von Straftaten, bei denen der Verdacht besteht, dass sie bei Gelegenheit des Aufenthalts in der Anstalt begangen wurden; die zur Strafverfolgung erforderlichen Daten können hierzu der zuständigen Strafverfolgungsbehörde übermittelt werden.
(3) Die weiteren Bestimmungen des Hamburgischen Strafvollzugsgesetzes, im Hamburgischen Jugendstrafvollzugsgesetzes, im Hamburgischen Untersuchungshaftvollzugsgesetzes, im Hamburgischen Sicherungsverwahrungsvollzugsgesetzes oder im Hamburgischen Jugendarrestvollzugsgesetzes über die Zulassung und Durchführung von Besuchen bleiben unberührt.
(4) Die nach Absatz 1 Nummer 2 erhobenen Identifikationsmerkmale sind spätestens 24 Stunden nach ihrer Erhebung zu löschen, soweit sie nicht nach Absatz 2 Nummer 2 übermittelt werden dürfen; in diesem Fall sind sie unverzüglich zu übermitteln und danach bei den Justizvollzugsbehörden zu löschen.
§ 24 Lichtbildausweise
(1) Die Justizvollzugsbehörden können die Gefangenen verpflichten, einen Lichtbildausweis mit sich zu führen, wenn dies aus Gründen der Sicherheit oder Ordnung der Anstalt erforderlich ist. Dabei ist sicherzustellen, dass der Ausweis nur die zur Erreichung dieser Zwecke notwendigen Daten enthält.
(2) Der Ausweis darf mit Einrichtungen versehen werden, die die Auslesung mittels Funk- oder Digitaltechnik ermöglichen. Alternativ können Gefangene verpflichtet werden, zusätzlich zu ihrem Ausweis technische Vorrichtungen, insbesondere Transponder, mit sich zu führen, die mittels Funk- oder Digitaltechnik ein Abrufen von Identitätsdaten und Lichtbildern durch das von der Justizvollzugsbehörde verwendete System der Informations- und Kommunikationstechnologie mit Kenntnis der Gefangenen ermöglichen. Die Erstellung von Bewegungsprofilen ist unzulässig.
(3) Der Ausweis und die technische Vorrichtung nach Absatz 2 sind bei der Entlassung oder bei der Verlegung in eine andere Anstalt einzuziehen. Der Ausweis ist unverzüglich zu vernichten und die auf der technischen Vorrichtung gespeicherten Daten sind unverzüglich zu löschen.
§ 25 Kenntlichmachung von Daten innerhalb der Anstalt
Personenbezogene Daten von Gefangenen dürfen innerhalb der Anstalt nur kenntlich gemacht werden, soweit dies für ein geordnetes Zusammenleben in der Anstalt erforderlich ist und Beschränkungen der Verarbeitung nicht entgegenstehen.
§ 26 Schutz personenbezogener Daten besonderer Kategorien, Schutz von Berufsgeheimnisträgerinnen und Berufsgeheimnisträgern
(1) Personenbezogene Daten besonderer Kategorien dürfen in der Anstalt nicht allgemein kenntlich gemacht werden. Die an der Verarbeitung dieser Daten Beteiligten sind auf die besondere Schutzwürdigkeit der Daten hinzuweisen. Gesundheitsakten und Therapieakten sind in gesonderten Akten oder personenbezogenen Dateien zu verarbeiten. Durch organisatorische Maßnahmen ist sicherzustellen, dass nur die in der Anstalt tätigen Personen Zugang zu den Akten oder Dateien nach Satz 3 erhalten, für deren Aufgabenerfüllung die Kenntnis dieser Daten unbedingt erforderlich ist.
(2) Personenbezogene Daten, die den in der Anstalt tätigen
1.
Ärztinnen und Ärzten, Zahnärztinnen und Zahnärzten oder Angehörigen eines Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,
2.
Berufspsychologinnen und Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung,
3.
staatlich anerkannten Sozialarbeiterinnen, Sozialarbeitern, Sozialpädagoginnen und Sozialpädagogen
von Gefangenen als Geheimnis anvertraut oder über Gefangene sonst bekannt geworden sind, unterliegen auch gegenüber den Justizvollzugsbehörden der Schweigepflicht.
(3) Die in Absatz 2 genannten Personen haben sich gegenüber der Anstaltsleitung zu offenbaren, soweit dies für die Aufgabenerfüllung der Justizvollzugsbehörden oder zur Abwehr von erheblichen Gefahren für Leib oder Leben der Gefangenen oder Dritter erforderlich ist. Handelt es sich bei den zu offenbarenden Daten um personenbezogene Daten besonderer Kategorien, haben sich die genannten Personen zu offenbaren, soweit dies zur Erreichung der in Satz 1 genannten Zwecke unbedingt erforderlich ist.
(4) Ärztinnen und Ärzte sowie Zahnärztinnen und Zahnärzte sind zur Offenbarung ihnen im Rahmen der allgemeinen Gesundheitsvorsorge bekannt gewordener Geheimnisse gegenüber den Justizvollzugsbehörden verpflichtet, soweit dies für die von den Justizvollzugsbehörden vorzunehmende Überprüfung ihrer Tätigkeit bezüglich Abrechnung, Wirtschaftlichkeit und Qualität sowie zum Zwecke der Prüfung der Kostenbeteiligung der Gefangenen unbedingt erforderlich ist; betroffen sind vor allem die erbrachten Leistungen, die Behandlungsdauer und die allgemeinen Angaben über die Gefangenen und ihre Erkrankungen.
(5) Ärztinnen und Ärzte sowie Zahnärztinnen und Zahnärzte sind zur Offenbarung ihnen im Rahmen der allgemeinen Gesundheitsfürsorge bekannt gewordener Geheimnisse befugt, soweit dies für die Aufgabenerfüllung der Justizvollzugsbehörden oder zur Abwehr von erheblichen Gefahren für Leib oder Leben der Gefangenen oder Dritter unbedingt erforderlich ist.
(6) Sonstige Offenbarungsbefugnisse bleiben unberührt. Die Gefangenen sind vor der Erhebung über die nach den Absätzen 3 bis 5 bestehenden Offenbarungspflichten und -befugnisse zu unterrichten.
(7) Die nach Absätzen 3 bis 5 offenbarten Daten dürfen nur für den Zweck, für den sie offenbart wurden oder für den eine Offenbarung zulässig gewesen wäre, und nur unter denselben Voraussetzungen verarbeitet werden, unter denen eine in Absatz 2 Nummern 1 bis 3 genannte Person selbst hierzu befugt wäre. Die Anstaltsleitung kann unter diesen Voraussetzungen die unmittelbare Offenbarung gegenüber bestimmten Bediensteten allgemein zulassen.
(8) Sofern Ärztinnen oder Ärzte, Psychologische Psychotherapeutinnen oder Psychotherapeuten, Psychologinnen oder Psychologen außerhalb des Vollzuges mit der Untersuchung oder Behandlung Gefangener beauftragt werden, gelten Absätze 3 bis 6 mit der Maßgabe entsprechend, dass die beauftragten Ärztinnen oder Ärzte, Psychologische Psychotherapeutinnen oder Psychotherapeuten, Psychologinnen oder Psychologen auch zur Unterrichtung der Anstaltsärztinnen oder Anstaltsärzte oder der in der Anstalt mit der Behandlung der Gefangenen betrauten Psychologinnen oder Psychologen befugt sind.
§ 27 Elektronische Aktenführung
Die Justizvollzugsbehörden können ihre Akten auch elektronisch führen. Der Senat wird ermächtigt, durch Rechtsverordnung Regelungen für die elektronische Führung von Akten zu treffen. Der Senat kann die Ermächtigung nach Satz 2 durch Rechtsverordnung auf die zuständige Behörde weiter übertragen.
§ 28 Zentrale Datei, Einrichtung automatisierter Übermittlungsverfahren
(1) Die nach den Vorschriften dieses Gesetzes erhobenen Daten können für die Justizvollzugsbehörden in einer zentralen Datei gespeichert werden.
(2) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung oder den Abruf personenbezogener Daten aus der zentralen Datei nach § 10 Absatz 2 Satz 1 und Absatz 3 Satz 1 sowie § 16 Absatz 2 ermöglicht, ist zulässig, soweit diese Form der Datenübermittlung unter Berücksichtigung der schutzwürdigen Belange der betroffenen Personen und der Erfüllung des Zwecks der Übermittlung angemessen ist. Die automatisierte Übermittlung der für die Unterrichtung nach § 32 Absatz 2 Satz 1 des Bundeskriminalamtgesetzes vom 1. Juni 2017 (BGBl. I S. 1354) in der jeweils geltenden Fassung erforderlichen personenbezogenen Daten kann auch anlassunabhängig erfolgen.
(2a) Die Vereinbarung eines Datenverbundes, der eine automatisierte Datenübermittlung ermöglicht, oder die Einrichtung automatisierter Abruf- oder Übermittlungsverfahren mit anderen Ländern und dem Bund ist zulässig, soweit diese Form der Datenübermittlung unter Berücksichtigung der schutzwürdigen Belange der betroffenen Personen und der Erfüllung des Zwecks der Übermittlung angemessen ist.
(3) Der Senat wird ermächtigt, durch Rechtsverordnung die Einzelheiten der Einrichtung automatisierter Übermittlungs-, Abruf- und Verbundverfahren zu regeln. Die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist vorher zu hören. Die Rechtsverordnung nach Satz 1 hat die Datenempfängerinnen und Datenempfänger, die Datenart und den Zweck des Abrufs festzulegen. Der Senat kann die Ermächtigung nach Satz 1 durch Rechtsverordnung auf die zuständige Behörde weiter übertragen.
§ 29 Berichtigung, Löschung und Einschränkung der Verarbeitung
(1) Personenbezogene Daten sind zu löschen, soweit ihre Verarbeitung nicht mehr zulässig oder aus anderem Grund für die Erfüllung der Aufgaben der Justizvollzugsbehörden oder die in Absatz 8 Satz 1 genannten Zwecke nicht erforderlich ist. Sind personenbezogene Daten in Akten gespeichert, ist die Löschung nur durchzuführen, wenn die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich oder nicht mehr nach allgemeinen Vorschriften aufzubewahren ist; soweit hiernach eine Löschung nicht in Betracht kommt, sind die personenbezogenen Daten in ihrer Verarbeitung einzuschränken.
(2) Personenbezogene Daten sind unverzüglich zu berichtigen, wenn sie unrichtig sind. Sind Daten außerhalb automatisierter Dateien zu berichtigen, reicht es aus, in geeigneter Weise kenntlich zu machen, zu welchem Zeitpunkt oder aus welchem Grund diese Daten unrichtig waren oder unrichtig geworden sind.
(3) Haben die Justizvollzugsbehörden eine Berichtigung vorgenommen, haben sie einer Stelle, die ihr die personenbezogenen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen. Stellen die Justizvollzugsbehörden fest, dass sie unrichtige personenbezogene Daten übermittelt oder personenbezogene Daten unrechtmäßig übermittelt haben, teilen sie dies den Empfängern unverzüglich mit. In Fällen der Löschung oder Einschränkung der Verarbeitung haben sie Empfängern, denen die Daten übermittelt wurden, diese Maßnahmen mitzuteilen, wenn dies zur Wahrung schutzwürdiger Interessen der betroffenen Personen erforderlich ist.
(4) Die in Dateien gespeicherten personenbezogenen Daten sind spätestens fünf Jahre nach der Entlassung der Gefangenen oder ihrer Verlegung in eine andere Anstalt zu löschen. Hiervon können bis zum Ablauf der Aufbewahrungsfrist für die Gefangenenpersonalakten die Gefangenenbuchnummer, die Angaben über Familienname, Vorname, Geburtsname, Geburtstag, Geburtsort, Eintritts- und Austrittsdatum der Gefangenen sowie die aufnehmende Anstalt bei Verlegung ausgenommen werden, soweit dies für das Auffinden der Gefangenenpersonalakten erforderlich ist.
(5) Soweit die Justizvollzugsbehörden im Vollzug der Untersuchungshaft oder einer Freiheitsentziehung nach § 2 Nummer 1 Buchstabe b von einer nicht nur vorläufigen Einstellung des Verfahrens, einer unanfechtbaren Ablehnung der Eröffnung des Hauptverfahrens oder einem rechtskräftigen Freispruch Kenntnis erlangen, tritt an die Stelle der in Absatz 4 Satz 1 genannten Frist eine Frist von einem Monat ab Kenntniserlangung.
(6) Aufzeichnungen nach § 21 sind spätestens nach Ablauf eines Monats zu löschen. Dies gilt nicht, wenn und solange eine fortdauernde Speicherung oder Aufbewahrung zur Aufklärung und Verfolgung der aufgezeichneten Vorkommnisse unbedingt erforderlich ist.
(7) Für die Gefangenenpersonalakten, auch in elektronischer Form (§ 27), gelten die Aufbewahrungsfristen nach dem Hamburgischen Justizschriftgutaufbewahrungsgesetz vom 8. Juni 2010 (HmbGVBl. S. 430) in der jeweils geltenden Fassung und den hierzu ergangenen Verordnungen in der jeweils geltenden Fassung.
(8) Statt die gespeicherten personenbezogenen Daten zu löschen oder zu berichtigen, sind sie in der Verarbeitung einzuschränken, wenn
1.
die Richtigkeit personenbezogener Daten von den Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt,
2.
einer Löschung nach Absatz 1, 4, 5 oder 6 die Aufbewahrungsfrist einer anderen Rechtsnorm entgegensteht,
3.
Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigt werden können,
4.
eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist oder
5.
die Daten zu Beweiszwecken in Verfahren, die der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit dienen, weiter aufbewahrt werden müssen.
Eine auf Absatz 4 beruhende Einschränkung der Verarbeitung endet, wenn die Gefangenen erneut zum Vollzug einer Freiheitsentziehung aufgenommen werden oder die betroffenen Personen eingewilligt haben.
(9) In der Verarbeitung eingeschränkte personenbezogene Daten sind als solche zu kennzeichnen. Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist.
(10) In der Verarbeitung eingeschränkte personenbezogene Daten dürfen nur übermittelt oder genutzt werden, soweit dies ohne die Einschränkung der Verarbeitung nach diesem Gesetz zulässig wäre und
1.
zur Verfolgung von Straftaten,
2.
zur Behebung einer bestehenden Beweisnot,
3.
zur Feststellung, Durchsetzung oder Abwehr von Rechtsansprüchen im Zusammenhang mit dem Vollzug einer Freiheitsstrafe
unbedingt erforderlich ist.
(11) Bei der Aufbewahrung von Akten mit nach Absatz 8 in der Verarbeitung eingeschränkten Daten dürfen folgende Fristen nicht überschritten werden:
1.
20 Jahre für Gefangenenpersonalakten, Gesundheitsakten und Therapieakten,
2.
30 Jahre für Gefangenenbücher.
Dies gilt nicht, wenn auf Grund bestimmter Tatsachen anzunehmen ist, dass die Aufbewahrung für die in Absatz 10 genannten Zwecke weiterhin erforderlich ist. Die Aufbewahrungsfrist beginnt mit dem auf das Jahr der aktenmäßigen Weglegung folgenden Kalenderjahr.
(12) Die Einhaltung der Bestimmungen dieser Vorschrift sowie der übrigen Vorschriften dieses Gesetzes über die Löschung personenbezogener Daten ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen.
(13) Im Übrigen gilt für die Berichtigung, Löschung und Einschränkung der Verarbeitung personenbezogener Daten § 33. Die Vorschriften des Hamburgischen Archivgesetzes vom 21. Januar 1991 (HmbGVBl. S. 7), zuletzt geändert am 16. Juni 2005 (HmbGVBl. S. 233, 239), in der jeweils geltenden Fassung bleiben unberührt.
Abschnitt 3 Rechte der betroffenen Personen
§ 30 Allgemeine Informationen zu Datenverarbeitungen
Die Justizvollzugsbehörden haben zum Zeitpunkt der Datenerhebung in allgemeiner Form und für die Gefangenen und andere betroffene Personen zugänglich Informationen zur Verfügung zu stellen über
1.
die Zwecke der von ihnen vorgenommenen Verarbeitungen,
2.
die Rechtsgrundlagen der Verarbeitung,
3.
die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
4.
die im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten bestehenden Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung,
5.
den Namen und die Kontaktdaten des Verantwortlichen und der oder des Datenschutzbeauftragten,
6.
das Recht, die oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit anzurufen, und
7.
die Kontaktdaten der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.
§ 31 Benachrichtigung betroffener Personen
(1) Über eine ohne ihre Kenntnis vorgenommene Erhebung personenbezogener Daten werden die betroffenen Personen benachrichtigt. Die Benachrichtigung hat neben den in § 30 genannten Informationen Angaben über die Herkunft der Daten zu enthalten.
(2) Über eine Übermittlung personenbezogener Daten zu Zwecken, zu denen sie nicht erhoben wurden, werden die betroffenen Personen unter Angabe dieser Daten benachrichtigt. Die Benachrichtigung hat neben den in § 30 genannten Informationen Angaben über den Empfänger der Daten zu enthalten.
(3) In den Fällen der Absätze 1 und 2 können die Justizvollzugsbehörden die Benachrichtigung insoweit und solange aufschieben, einschränken oder unterlassen, wie andernfalls
1.
behördliche Verfahren zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten oder der Strafvollstreckung einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit,
2.
Verfahren öffentlicher Stellen, an die die personenbezogenen Daten übermittelt wurden,
3.
die öffentliche Sicherheit oder
4.
Rechtsgüter Dritter
gefährdet würden, wenn das Interesse an der Vermeidung dieser Gefahren das Informationsinteresse der betroffenen Person überwiegt.
(4) Bezieht sich die Benachrichtigung auf die Übermittlung personenbezogener Daten an oder den Empfang personenbezogener Daten von Behörden und Stellen der Staatsanwaltschaft, der Polizei, der Landesfinanzbehörden, soweit diese personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, Behörden des Verfassungsschutzes, des Bundesnachrichtendienstes, des militärischen Abschirmdienstes und, soweit die Sicherheit des Bundes berührt wird, des Bundesministeriums der Verteidigung, ist mit diesen zuvor Einvernehmen herzustellen.
(5) Im Fall der Einschränkung nach Absatz 3 gilt § 32 Absatz 5 entsprechend.
§ 32 Auskunftsrecht, Akteneinsicht
(1) Die Justizvollzugsbehörden haben betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob sie diese Personen betreffende Daten verarbeiten. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über
1.
die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören,
2.
die verfügbaren Informationen über die Herkunft der Daten,
3.
die Zwecke der Verarbeitung und deren Rechtsgrundlage,
4.
die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind,
5.
die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
6.
das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch die Justizvollzugsbehörden,
7.
das Recht nach § 35, die oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit anzurufen, sowie
8.
Angaben zu den Kontaktdaten der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.
Soweit eine Auskunft für die Wahrnehmung der rechtlichen Interessen der betroffenen Personen nicht ausreicht und sie hierfür auf die Einsichtnahme angewiesen sind, erhalten sie Akteneinsicht. Auf einen entsprechenden Antrag ist Gefangenen in ihre Gesundheitsakten in der Regel Akteneinsicht zu gewähren.
(2) Die Justizvollzugsbehörden können unter den Voraussetzungen des § 31 Absatz 3 von der Auskunft nach Absatz 1 Satz 1 absehen oder die Auskunftserteilung nach Absatz 1 Satz 2 teilweise oder vollständig einschränken. Unter den Voraussetzungen des § 31 Absatz 3 können sie die Gewährung von Akteneinsicht nach Absatz 1 Sätze 3 und 4 einschränken oder versagen. Sie können die Gewährung von Akteneinsicht zudem einschränken oder versagen, wenn die Daten der betroffenen Person in Akten mit personenbezogenen Daten Dritter oder geheimhaltungsbedürftigen Daten derart verbunden sind, dass ihre Trennung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist; in diesem Fall ist der betroffenen Person Auskunft zu erteilen.
(3) Bezieht sich die Auskunftserteilung auf die Herkunft personenbezogener Daten von oder Übermittlung personenbezogener Daten an Behörden und Stellen der Staatsanwaltschaft, der Polizei, der Landesfinanzbehörden, soweit diese personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, Behörden des Verfassungsschutzes, des Bundesnachrichtendienstes, des militärischen Abschirmdienstes und, soweit die Sicherheit des Bundes berührt wird, des Bundesministeriums der Verteidigung, ist mit diesen zuvor Einvernehmen herzustellen.
(4) Die Justizvollzugsbehörden haben die betroffene Person über das Absehen von oder die Einschränkung einer Auskunft unverzüglich schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 31 Absatz 3 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von oder der Einschränkung der Auskunft verfolgten Zweck gefährden würde.
(5) Wird die betroffene Person nach Absatz 4 über das Absehen von oder die Einschränkung der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch über die oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit ausüben. Die Justizvollzugsbehörden haben die betroffene Person über diese Möglichkeit sowie darüber zu unterrichten, dass sie gemäß § 35 die oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit anrufen oder gerichtlichen Rechtsschutz suchen kann. Macht die betroffene Person von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft auf ihr Verlangen der oder dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zu erteilen. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch sie stattgefunden hat. Diese Mitteilung kann die Information enthalten, ob datenschutzrechtliche Verstöße festgestellt wurden. Die Mitteilung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand der Justizvollzugsbehörden zulassen, sofern diese keiner weitergehenden Auskunft zustimmen. Die Justizvollzugsbehörden dürfen die Zustimmung nur insoweit und solange verweigern, wie sie nach Absatz 2 von einer Auskunft absehen oder sie einschränken könnten. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat zudem die betroffene Person über ihr Recht auf gerichtlichen Rechtsschutz zu unterrichten.
(6) Die Justizvollzugsbehörden haben die sachlichen oder rechtlichen Gründe für die Entscheidung zu dokumentieren.
§ 33 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von den Justizvollzugsbehörden unverzüglich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. In diesem Fall haben die Justizvollzugsbehörden die betroffene Person zu unterrichten, bevor sie die Einschränkung wieder aufheben. Die betroffene Person kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist.
(2) Die betroffene Person hat das Recht, von den Justizvollzugsbehörden unverzüglich die Löschung sie betreffender Daten zu verlangen, wenn die Voraussetzungen des § 29 Absatz 1 vorliegen.
(3) Anstatt die personenbezogenen Daten zu löschen, können die Justizvollzugsbehörden deren Verarbeitung einschränken, wenn eine der Voraussetzungen des § 29 Absatz 8 vorliegt.
(4) Die Justizvollzugsbehörden haben die betroffene Person über ein Absehen von der Berichtigung oder Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung der Verarbeitung schriftlich zu unterrichten. Dies gilt nicht, soweit und solange bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 31 Absatz 3 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Unterrichtung verfolgten Zweck gefährden würde.
(5) § 32 Absätze 4 und 5 findet entsprechende Anwendung.
§ 34 Verfahren für die Ausübung der Rechte der betroffenen Personen
(1) Die Justizvollzugsbehörden haben mit betroffenen Personen unter Verwendung einer klaren und einfachen Sprache in präziser, verständlicher und leicht zugänglicher Form zu kommunizieren. Unbeschadet besonderer Formvorschriften sollen sie bei der Beantwortung von Anträgen grundsätzlich die für den Antrag gewählte Form verwenden.
(2) Bei Anträgen haben die Justizvollzugsbehörden die betroffene Person unbeschadet des § 32 Absatz 4 und des § 33 Absatz 4 unverzüglich schriftlich darüber in Kenntnis zu setzen, wie verfahren wurde.
(3) Die Erteilung von Informationen nach § 30, die Benachrichtigungen nach § 31 und 40 in Verbindung mit § 66 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) in der jeweils geltenden Fassung und die Bearbeitung von Anträgen nach den §§ 32 und 33 erfolgen unentgeltlich. Bei offenkundig unbegründeten oder exzessiven Anträgen nach den §§ 32 und 33 können die Justizvollzugsbehörden entweder eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, auf Grund des Antrags tätig zu werden. In diesem Fall müssen die Justizvollzugsbehörden den offenkundig unbegründeten oder exzessiven Charakter des Antrags belegen können.
(4) Haben die Justizvollzugsbehörden begründete Zweifel an der Identität einer betroffenen Person, die einen Antrag nach §§ 32 oder 33 gestellt hat, können sie von ihr zusätzliche Informationen anfordern, die zur Bestätigung ihrer Identität erforderlich sind.
§ 35 Anrufung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
(1) Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an die Hamburgische Beauftragte oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit wenden, wenn sie der Auffassung ist, bei der Verarbeitung ihrer personenbezogenen Daten durch die Justizvollzugsbehörden in ihren Rechten verletzt worden zu sein. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die betroffene Person über den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die Möglichkeit gerichtlichen Rechtsschutzes nach § 36 hinzuweisen.
(2) Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine bei ihr oder ihm eingelegte Beschwerde über eine Verarbeitung, die in die Zuständigkeit einer anderen Aufsichtsbehörde fällt, unverzüglich an die zuständige Aufsichtsbehörde weiterzuleiten. Sie oder er hat in diesem Fall die betroffene Person über die Weiterleitung zu unterrichten und ihr auf deren Ersuchen weitere Unterstützung zu leisten.
§ 36 Rechtsschutz gegen Entscheidungen der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit oder bei deren oder dessen Untätigkeit
(1) Jede betroffene Person kann unbeschadet anderer Rechtsbehelfe gerichtlich gegen eine verbindliche Entscheidung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vorgehen.
(2) Absatz 1 gilt entsprechend zugunsten betroffener Personen, wenn sich die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit mit einer Beschwerde nach § 35 nicht befasst oder die betroffene Person nicht innerhalb von drei Monaten nach Einlegung der Beschwerde über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.
Abschnitt 4 Pflichten der Justizvollzugsbehörden und Auftragsverarbeiter
§ 37 Technische und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes
Die Justizvollzugsbehörden haben unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die technischen und organisatorischen Maßnahmen umzusetzen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
§ 38 Gemeinsam Verantwortliche
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche. Gemeinsam Verantwortliche haben ihre jeweiligen Aufgaben und datenschutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festzulegen, soweit diese nicht bereits in Rechtsvorschriften festgelegt sind. Aus der Vereinbarung muss insbesondere hervorgehen, wer welchen Informationspflichten nachzukommen hat und wie und gegenüber wem betroffene Personen ihre Rechte wahrnehmen können.
§ 39 Protokollierung
(1) In automatisierten Verarbeitungssystemen haben die Justizvollzugsbehörden und Auftragsverarbeiter die folgenden Verarbeitungsvorgänge zu protokollieren:
1.
Erhebung,
2.
Veränderung,
3.
Abfrage,
4.
Offenlegung einschließlich Übermittlung,
5.
Kombination und
6.
Löschung.
(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.
(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten, die Hamburgische Beauftragte oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.
(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.
(5) Die Justizvollzugsbehörden und der Auftragsverarbeiter haben die Protokolle der oder dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auf Anforderung zur Verfügung zu stellen.
§ 40 Entsprechende Anwendbarkeit von Vorschriften des Bundesdatenschutzgesetzes
Für die weiteren Pflichten der Justizvollzugsbehörden im Zusammenhang mit der Verarbeitung personenbezogener Daten sind §§ 52, 54, 62, 64 bis 72, 74 und 77 bis 81 des Bundesdatenschutzgesetzes entsprechend anwendbar. Dabei treten an die Stelle des Verantwortlichen die Justizvollzugsbehörden. An die Stelle der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit tritt die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.
Abschnitt 5 Stellung, Aufgaben und Befugnisse der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes
§ 41 Stellung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes, entsprechende Geltung von Vorschriften des Hamburgischen Datenschutzgesetzes und der Verordnung (EU) 2016/679
(1) Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit überwacht für den Anwendungsbereich dieses Gesetzes die Einhaltung der Vorschriften über den Datenschutz.
(2) Artikel 52 und Artikel 53 Absatz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU Nr. L 119 S. 1, 72) und §§ 20 bis 23 des Hamburgischen Datenschutzgesetzes vom 18. Mai 2018 (HmbGVBl. S. 145) sind im Anwendungsbereich dieses Gesetzes entsprechend anwendbar.
§ 42 Aufgaben der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes
Für die Aufgaben der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes gelten §§ 14 und 82 des Bundesdatenschutzgesetzes entsprechend. Dabei treten
1.
an die Stelle der oder des Bundesbeauftragen die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit,
2.
an die Stelle der Verantwortlichen die Justizvollzugsbehörden,
3.
an die Stelle des Deutschen Bundestages und des Bundesrates die Hamburgische Bürgerschaft,
4.
an die Stelle eines Ausschusses des Deutschen Bundestages ein Ausschuss der Hamburgischen Bürgerschaft,
5.
an die Stelle der Bundesregierung der Senat der Freien und Hansestadt Hamburg,
6.
an die Stelle der öffentlichen Stellen des Bundes die öffentlichen Stellen des Landes,
7.
an die Stelle der Aufgabe nach § 60 des Bundesdatenschutzgesetzes die Aufgabe nach § 35 dieses Gesetzes.
§ 43 Befugnisse der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Anwendungsbereich dieses Gesetzes
(1) Stellt die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit bei Datenverarbeitungen durch die Justizvollzugsbehörden, deren Auftragsverarbeiter oder die Stellen, auf die die Justizvollzugsbehörden ihre Aufgaben ganz oder teilweise übertragen haben, Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet sie oder er dies gegenüber der Aufsichtsbehörde und fordert diese zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden Frist auf. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kann die Justizvollzugsbehörden auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen. Sofern die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Verstöße gemäß Satz 1 gegenüber der Aufsichtsbehörde beanstandet hat und der Verstoß nach deren Stellungnahme fortbesteht, kann sie oder er gegenüber der Aufsichtsbehörde geeignete Maßnahmen anordnen, wenn dies zur Beseitigung eines erheblichen Verstoßes gegen datenschutzrechtliche Vorschriften erforderlich ist. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit darf nicht die sofortige Vollziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der Verwaltungsgerichtsordnung anordnen.
(2) Stellt die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit einen strafbewehrten Verstoß gegen dieses Gesetz oder gegen andere Vorschriften des Datenschutzes fest, ist sie oder er befugt, diesen zur Anzeige zu bringen.
(3) Die Justizvollzugsbehörden, ihre Auftragsverarbeiter und die Stellen, auf die die Justizvollzugsbehörden ihre Aufgaben ganz oder teilweise übertragen haben, sind verpflichtet, der oder dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit und ihren oder seinen Beauftragten
1.
jederzeit Zugang zu den Grundstücken und Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, sowie zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer oder seiner Aufgaben notwendig sind, zu gewähren und
2.
alle Informationen, die für die Erfüllung ihrer oder seiner Aufgaben erforderlich sind, bereitzustellen.
Abschnitt 6 Datenschutzbeauftragte oder Datenschutzbeauftragter der Justizvollzugsbehörden
§ 44 Datenschutzbeauftragte oder Datenschutzbeauftragter der Justizvollzugsbehörden
(1) Die Aufsichtsbehörde benennt eine gemeinsame Datenschutzbeauftragte oder einen gemeinsamen Datenschutzbeauftragten der Justizvollzugsbehörden.
(2) Für die Benennung, Stellung und die Aufgaben der oder des Datenschutzbeauftragten im Anwendungsbereich dieses Gesetzes gelten §§ 5 bis 7 des Bundesdatenschutzgesetzes entsprechend.
Abschnitt 7 Haftung und Sanktionen
§ 45 Schadensersatz und Entschädigung
Für den Anspruch betroffener Personen auf Schadensersatz und Entschädigung im Zusammenhang mit Datenverarbeitungen nach diesem Gesetz gilt § 83 des Bundesdatenschutzgesetzes entsprechend.
§ 46 Strafvorschriften
Für Verarbeitungen personenbezogener Daten nach diesem Gesetz findet § 42 des Bundesdatenschutzgesetzes entsprechende Anwendung, wobei in Absatz 3 an die Stelle der oder des Bundesbeauftragten die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit tritt.
Abschnitt 8 Übergangs- und Schlussvorschriften
§ 47 Übergangsvorschriften für die Anpassung von automatisierten Verarbeitungssystemen
(1) Sofern die Anpassung eines vor dem 6. Mai 2016 eingerichteten automatisierten Verarbeitungssystems an die Vorgaben dieses Gesetzes mit einem unverhältnismäßigen Aufwand verbunden ist, kann dieses bis zum 6. Mai 2023 mit dieser Vorschrift in Einklang gebracht werden.
(2) Die Frist des Absatzes 1 kann bei Eintreten oder Vorliegen außergewöhnlicher Umstände verlängert werden, wenn hierdurch sonst schwerwiegende Schwierigkeiten für den Betrieb dieses automatisierten Verarbeitungssystems entstehen würden. Die verlängerte Frist muss vor dem 6. Mai 2026 enden. Die Verlängerung der Frist nach Satz 2 sowie die Gründe hierfür sind der Europäischen Kommission mitzuteilen.
§ 48 Weitere Übergangsvorschriften
Bis zum 24. Mai 2018 gelten anstelle der für entsprechend anwendbar erklärten Vorschriften des Bundesdatenschutzgesetzes und des Hamburgischen Datenschutzgesetzes die Regelungen des Hamburgischen Datenschutzgesetzes vom 5. Juli 1990 (HmbGVBl. S. 133, 165, 226), zuletzt geändert am 20. Dezember 2016 (HmbGVBl. S. 570), über die Rechte des Betroffenen (§ 6), den Schadensersatz (§ 20), die Bestimmungen über die Kontrolle durch die Hamburgische Beauftragte oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (§§ 23 bis 26) und die Straf- und Bußgeldvorschriften (§§ 32, 33) entsprechend.
§ 49 Umsetzung der Richtlinie (EU) 2016/680
Dieses Gesetz dient der Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. EU Nr. L 119 S. 89).
Feedback