§ 8 HmbDSG
Hamburgisches Datenschutzgesetz (HmbDSG)
Landesrecht Hamburg

Erster Abschnitt – Allgemeine Vorschriften

Titel: Hamburgisches Datenschutzgesetz (HmbDSG)
Normgeber: Hamburg
Amtliche Abkürzung: HmbDSG
Gliederungs-Nr.: 204-1
Normtyp: Gesetz

§ 8 HmbDSG – Technische und organisatorische Maßnahmen; Vorabkontrolle

(1) Die Daten verarbeitenden Stellen und ihre auftragnehmenden Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind technische und organisatorische Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit der Daten steht.

(2) Werden personenbezogene Daten automatisiert verarbeitet, sind technische und organisatorische Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass

  1. 1.
    nur Befugte die personenbezogenen Daten zur Kenntnis nehmen können (Vertraulichkeit),
  2. 2.
    die personenbezogenen Daten während der Verarbeitung unverfälscht, vollständig und widerspruchsfrei bleiben (Integrität),
  3. 3.
    die personenbezogenen Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
  4. 4.
    die personenbezogenen Daten ihrem Ursprung zugeordnet werden können (Authentizität),
  5. 5.
    festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit).

(3) Werden personenbezogene Daten nichtautomatisiert verarbeitet, sind technische und organisatorische Maßnahmen zu treffen, um insbesondere den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.

(4) Vor der Entscheidung über die Einführung oder die wesentliche Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden sollen, haben die Daten verarbeitenden Stellen zu untersuchen, ob und in welchem Umfang mit der Nutzung dieses Verfahrens Gefahren für die Rechte der Betroffenen verbunden sind. Die Einführung und die wesentliche Änderung eines automatisierten Verfahrens sind nur zulässig, soweit derartige Gefahren durch technische und organisatorische Maßnahmen wirksam beherrscht werden können, es sei denn, dass solche Maßnahmen gemäß Absatz 1 Satz 2 nicht erforderlich sind. Ergibt die Untersuchung, dass von einem Verfahren eine besondere Gefährdung für die Rechte der Betroffenen ausgeht, so ist das Ergebnis der Untersuchung vor der Einführung oder wesentlichen Änderung des Verfahrens der bzw. dem behördlichen Datenschutzbeauftragten oder, falls keine behördliche Datenschutzbeauftragte bzw. kein behördlicher Datenschutzbeauftragter bestellt wurde, der bzw. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zur Stellungnahme zuzuleiten.