Kleine Anfrage des Abg. Dr. h.c. Hahn (FDP) vom 22.05.2018 betreffend Umsetzung EU-Datenschutz-Grundverordnung in Hessen und Antwort des Ministers des Innern und für Sport Vorbemerkung des Fragestellers: Ab dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) auch in Hessen, den Landkreisen , den kreisfreien Städte, den Sonderstatusstädten sowie allen kreisangehörigen Städten und Gemeinden unmittelbar, da sie als EU-Verordnung für alle Mitgliedsstaaten verbindlich ist. Die am 24. Mai 2016 in Kraft getretene Verordnung EU Nr. 2016/679 zur Neuregelung des Datenschutzes in Europa räumte eine Übergangszeit von zwei Jahren zur Umsetzung der Bestimmungen ein. Es wäre fatal, wenn die DSGVO nicht oder nur teilweise umgesetzt wurde, weil im Falle eines Verstoßes erhebliche Strafen drohen. Vorbemerkung des Ministers des Innern und für Sport: Zeitgleich mit dem Geltungsbeginn der Datenschutz-Grundverordnung ist am 25. Mai 2018 das Hessische Gesetz zur Anpassung des Hessischen Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 und zur Informationsfreiheit in Kraft getreten. Mit diesem Gesetz wurde das Hessische Datenschutzgesetz von 1999 an die Datenschutz-Grundverordnung angepasst, um Vorschriften zur Umsetzung der Richtlinie (EU) Nr. 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung erweitert sowie um Regelungen zur Informationsfreiheit ergänzt. Neben der Schaffung des neuen Hessischen Datenschutz- und Informationsfreiheitsgesetzes wurden mit dem Gesetz Datenschutzbestimmungen in zahlreichen Fachgesetzen an die Datenschutz-Grundverordnung angepasst. Das Land hat mit diesem umfangreichen Gesetzgebungswerk zunächst die notwendigen rechtlichen Grundlagen für den Vollzug der Datenschutz-Grundverordnung durch die öffentlichen Stellen in Hessen geschaffen, weil die Verordnung eine Reihe umzusetzender Ermächtigungen und Regelungsaufträge für den nationalen Gesetzgeber enthält. Im Rahmen der fachlichen Beratungen über die Anpassung des Datenschutzrechts, sowohl auf Bundesebene, wie auch in Hessen hat sich darüber hinaus gezeigt, dass die Datenschutz- Grundverordnung in vielen Tatbeständen Begriffe verwendet, die dem deutschen Datenschutzrecht bislang fremd waren. Deren Auslegung ist gegenwärtig oft noch mit einer erheblichen Unsicherheit verbunden, die erst im Laufe der Zeit durch die sich in der Anwendungspraxis und Rechtsprechung herausbildende Rechtsauffassung behoben werden wird. Eine Umsetzung der Datenschutz-Grundverordnung in der Landesverwaltung im Sinne eines einmaligen Aktes, der an einem bestimmten Tage abgeschlossen ist, kann es demnach aufgrund des gegenwärtigen Erkenntnistandes zur Auslegung der Datenschutz-Grundverordnung nicht geben. Vielmehr handelt es sich bei der Umsetzung der Datenschutz-Grundverordnung um einen fortlaufenden Prozess, der über das Datum des Geltungsbeginns der Verordnung hinaus andauert. Diese Vorbemerkungen vorangestellt, beantworte ich die Kleine Anfrage im Einvernehmen mit dem Chef der Staatskanzlei, dem Minister der Finanzen, der Ministerin der Justiz, dem Kultusminister , dem Minister für Wissenschaft und Kunst, dem Minister für Wirtschaft, Energie, Verkehr und Landesentwicklung, der Ministerin für Umwelt, Klimaschutz, Landwirtschaft und Verbraucherschutz und dem Minister für Soziales und Integration wie folgt: Frage 1. Wird das Land Hessen die EU Datenschutz-Grundverordnung bis zum 25. Mai 2018 vollständig in seiner Verwaltung umgesetzt haben? Bei der Umsetzung der Datenschutz-Grundverordnung handelt es sich um einen fortlaufenden Prozess, der auch eng mit dem Erkenntnisstand zur Auslegung der Datenschutz- Eingegangen am 14. August 2018 · Bearbeitet am 15. August 2018 · Ausgegeben am 20. August 2018 Herstellung: Kanzlei des Hessischen Landtags · Postfach 3240 · 65022 Wiesbaden · www.Hessischer-Landtag.de Drucksache 19/6449 14. 08. 2018 19. Wahlperiode HESSISCHER LANDTAG 2 Hessischer Landtag · 19. Wahlperiode · Drucksache 19/6449 Grundverordnung verknüpft ist (siehe Vorbemerkung). In der Staatskanzlei, den Ministerien und den nachgeordneten Behörden wurde bereits eine Vielzahl der zunächst erforderlichen Maßnahmen zur vollständigen Umsetzung der Datenschutz-Grundverordnung durchgeführt und deren Umsetzung kontrolliert. Frage 2. Wenn nein - warum nicht? Die Staatskanzlei, Ministerien und die nachgeordneten Behörden arbeiten mit Nachdruck und schnellstmöglich an der Umsetzung der Datenschutz-Grundverordnung. Dabei handelt es sich jedoch um einen umfangreichen Prozess, innerhalb dessen eine fortlaufende Berücksichtigung im Verwaltungshandeln erforderlich ist und sich stetig neue Auslegungsfragen und Abstimmungsbedarfe ergeben. Jene werden unter Beteiligung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit fortwährend in Arbeitsgruppen und -kreisen bearbeitet, was gegenwärtig allerdings noch nicht abgeschlossen werden konnte. Frage 3. Wurde im Rahmen der Umsetzung der EU-Datenschutz-Grundverordnung ein Datenschutzmanagementsystem (DSMS) eingeführt? Der Begriff des Datenschutzmanagementsystems wird in der Datenschutz-Grundverordnung weder definiert noch verwendet. Die Wirtschaft (Softwareanbieter und Beratungsunternehmen) versteht darunter eine Methode, um die gesetzlichen Anforderungen des Datenschutzes systematisch zu organisieren, zu steuern und zu kontrollieren. Die Wirtschaft bietet dazu Produkte an, die z.B. das Schlüsselmanagement, die Zugangskontrolle zu einem Gebäude oder den Schutz der Systeme durch Passwörter vereinfachen oder die Einhaltung der Dokumentationspflichten erleichtern sollen. Da der Markt dazu noch heterogen und unübersichtlich ist, wurde ein einheitliches Datenschutzmanagementsystem in diesem Sinne bisher nicht eingeführt. Allerdings haben die Staatskanzlei, einzelne Ministerien und nachgeordnete Behörden gesonderte Prozesse eingeführt oder übernommen, um ihren Verpflichtungen nach der Datenschutz-Grundverordnung bzw. dem Hessischen Datenschutz- und Informationsfreiheitsgesetz nachzukommen. Frage 4. Gibt es ein Verzeichnis aller Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO? Das bereits aus dem Hessischen Datenschutzgesetz von 1999 bekannte Verfahrensverzeichnis wurde mit der Datenschutz-Grundverordnung durch das Verzeichnis aller Verarbeitungstätigkeiten abgelöst. Das Verzeichnis aller Verarbeitungstätigkeiten ist dabei die Summe der einzelnen Verfahrensverzeichnisse. Die vorhandenen Verfahrensverzeichnisse nach dem Hessischen Datenschutzgesetz werden derzeit in den Landesbehörden an die Bestimmungen der Datenschutz -Grundverordnung angepasst oder - sofern nötig - neu erstellt. Frage 5. Werden auch die Schulen und Hochschulen bei der Erstellung der Verzeichnisse eingeschlossen? Den hessischen Schulen und Hochschulen obliegt, wie allen Dienststellen des Landes, die Umsetzung der Datenschutz-Grundverordnung in eigener Verantwortung und sie haben daher eigene Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 Datenschutz-Grundverordnung zu führen. Frage 6. Wurden die Verträge der Auftragsdatenverarbeiter angepasst, damit auch gewährleistet ist, dass die Bestimmungen der EU-Datenschutz-Grundverordnung bei externen Verarbeitern umgesetzt wurden? In einem fortlaufenden Prozess werden die bestehenden Verträge mit Auftragsverarbeitern an die neue Rechtslage angepasst und neue Verträge entsprechend den Vorgaben der Datenschutz- Grundverordnung und des Hessischen Datenschutz- und Informationsfreiheitsgesetzes formuliert . Frage 7. Gibt es eine Datenschutz-Folgenabschätzung in Fällen, bei denen dies nach der EU-Datenschutz- Grundverordnung notwendig wäre? Eine Datenschutz-Folgenabschätzung wird in den Landesbehörden vorgenommen, soweit diese nach Art. 35 Datenschutz-Grundverordnung durchzuführen ist. Nach Auffassung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit ist eine Datenschutz- Folgenabschätzung dann nicht erforderlich, wenn nach altem Recht eine Vorabkontrolle (§ 7 HDSG) für ein Verfahren durchgeführt wurde, es sei denn die Verarbeitungstätigkeit wurde nach dem Inkrafttreten der Datenschutz-Grundverordnung wesentlich geändert. Hessischer Landtag · 19. Wahlperiode · Drucksache 19/6449 3 Frage 8. Werden die Maßnahmen fortlaufend dokumentiert, so dass man die Einhaltung der EU- Datenschutz-Grundverordnung regelmäßig überprüfbar ist? Die nach der Datenschutz-Grundverordnung und dem Hessischen Datenschutz- und Informationsfreiheitsgesetz zu treffenden Maßnahmen werden dokumentiert. Die Art und Weise der Dokumentation ist dabei unterschiedlich, z.B. dezentral aufgabenbezogen oder zentral bei den Datenschutzbeauftragten. Teilweise ist beabsichtigt, eine ressortweit oder fachbezogen bundesweit einheitliche Dokumentation zu erarbeiten. Frage 9. Welchen Kenntnisstand hat die Landesregierung bezüglich der Umsetzung der DSGVO in den Kreisen, Städten und Gemeinden in Hessen? Die Kreise, Städte und Gemeinden setzen ihre datenschutzrechtlichen Verpflichtungen in eigener Verantwortung um. Die Landesregierung besitzt darüber keine Erkenntnisse. Frage 10. Welche Unterstützung hat die Landesregierung den Kreisen, Städten und Gemeinden bei der Umsetzung der DSGVO gegeben? Unter Federführung des Hessischen Ministeriums des Inneren und für Sport sowie unter Beteiligung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit wurde zur fortlaufenden Klärung datenschutzrechtlicher Fragen ein Arbeitskreis gebildet, in dem die Kreise, Städte und Gemeinden durch den Hessischen Landkreistag, den Hessischen Städte- und Gemeindebund sowie den Hessischen Städtetag vertreten sind. Wiesbaden, 2. August 2018 Peter Beuth