Sehr
geehrteAntragsteller/in
vielen Dank für Ihre Anfrage an das Hessische Krebsregister.
Dieses wird vom Hessischen Landesprüfungs- und Untersuchungsamt im
Gesundheitswesen (für die Bereiche Landesauswertungs- und Abrechnungsstelle)
und der Landesärztekammer Hessen (für die Vertrauensstelle) gemeinsam
betrieben.
Sie erhalten diese Antwort sowohl von mir als bestellten
Datenschutzbeauftragten der Landesärztekammer Hessen als auch von Herrn
Christoph Hucke als bestellten Datenschutzbeauftragten des Hessisches
Landesprüfungs- und Untersuchungsamtes im Gesundheitswesen.
Mit Ihrer E-Mail haben Sie Aktenauskunft nach insbesondere § 80 Abs. 1 S.1
HDSIG begehrt und wollen in diesem Kontext die Übersendung folgender
Informationen:
1) Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten
2) Art. 32 DSGVO Sicherheit der Verarbeitung
Wir können Ihrem Antrag leider nicht nachkommen und zwar aus folgenden
Gründen:
Keine Amtlichkeit der Informationen
Bei den von Ihnen angeforderten Unterlagen handelt es sich nicht um
amtliche Informationen. Der Begriff der Amtlichkeit nach dem HDSIG leitet
sich dem Informationsfreiheitsgesetz (IFG) ab. Nach dem Willen des
Gesetzgebers ( <http://dip21.bundestag.de/dip21/btd/15/044/1504493.pdf>
http://dip21.bundestag.de/dip21/btd/15/… / dort Seite 9)
müssen die Informationen im Zusammenhang mit der amtlichen Tätigkeit stehen,
denn Nicht erfasst werden private Informationen oder solche, die nicht mit
amtlicher Tätigkeit zusammenhängen. Die Dokumente nach Art. 30 und 32 DSGVO
dienen keiner amtlichen Tätigkeit, sondern lediglich der Erfüllung der
gesetzlichen Verpflichtungen, die jeder Verantwortliche unterliegt. Da die
DSGVO einheitlich für den privatwirtschaftlichen und öffentlichen Sektor
gilt, kann auch bereits hieraus kein amtlicher Zusammenhang hergestellt
werden, da dies bei einem privatwirtschaftlichen Verantwortlichen ins Leere
laufen würde.
Aus diesem Grund müssen wir Ihren Antrag leider zurückweisen.
Ausschlusstatbestand des § 80 Abs. 2 HDSIG
Selbst wenn man eine Amtlichkeit der Informationen unterstellen würde, wäre
ein Anspruch auf Informationszugang nicht gegeben, da einem solchen die
Regelungen der §§ 80 Abs. 2, 65 Abs. 4 HDSIG entgegenstehen. Demnach gehen
speziellere Regelungen zur Auskunft dem Anspruch aus § 80 Abs. 1 S.1 HDSIG
vor. § 65 Abs. 4 HDSIG regelt zu Zugang zur Dokumentation der
Verarbeitungstätigkeiten dergestalt, dass diese auf Anfrage dem Hessischen
Datenschutzbeauftragten zur Verfügung gestellt werden müssen. Diese Regelung
deckt sich auch mit DSGVO in Art. 30 Abs. 4, wonach diese Dokumente explizit
nur den Aufsichtsbehörden und nicht jedem Dritten zur Verfügung gestellt
werden müssen.
Ein Anspruch auf Informationszugang auf das Verzeichnis der
Verarbeitungstätigkeiten nach Art. 30 DSGVO scheidet demnach auch aus diesem
zusätzlichen Grund aus.
Ausschlusstatbestand des § 82 Nr. 2b HDSIG
Schließlich steht einem Anspruch auf Informationszugang auch die Regelung
des § 82 Nr. 2b HDSIG entgegen. Unterstellt den Fall der Amtlichkeit einer
Information (welche ja hier bereits nicht gegeben ist) besteht ein Anspruch
auf Zugang zu Informationen nicht, wenn deren Bekanntwerden nachteilige
Auswirkungen haben kann auf Belange der äußeren oder öffentlichen
Sicherheit. Der Begriff öffentliche Sicherheit umfasst dabei sowohl die
gesamte Rechtsordnung, als auch den Schutz und die Funktionsfähigkeit des
Staates und ist sehr weit gefasst. Durch den erfassten Schutz von
grundlegenden Einrichtungen des Staates werden auch verwaltungsinterne
Abläufe und Strukturen geschützt. Schutzgut ist dabei nicht nur die
Funktionsfähigkeit der Einrichtungen, also der Schutz davor, dass eine
informationspflichtige Stelle gleichsam lahmgelegt wird, sondern
weitergehend die Sicherstellung der organisatorischen Vorkehrungen. Die
Erhaltung der aufgabenmäßigen Funktionsfähigkeit umfasst auch die
Verhinderung und Abwehr äußerer Störungen des Arbeitsablaufs. Im Gegensatz
zu Bekanntgeben ist es nicht weiterhin erforderlich, dass die Information
auch tatsächlich einer größeren Öffentlichkeit bekannt wird. Es genügt die
bloße Möglichkeit nachteiliger Auswirkungen. Verwaltungsinterne Abläufe und
die effektive Aufgabenerledigung dürfen in keinem Fall einer Gefährdung
unterliegen.
Das Krebsregister ist sich der Sensibilität der Daten in seiner Obhut
bewusst und hat eine Vielzahl von technischen und organisatorischen
Maßnahmen getroffen um die Verfügbarkeit, Integrität und Vertraulichkeit zu
gewährleisten. Da aber bereits die Kenntnis dieser Maßnahmen den Schutz
beeinträchtigen könnte, können wir diese Informationen nicht mit Dritten
teilen. Die Schutzmaßnahmen unterliegen auch intern bei uns einer
Geheimhaltung, um deren Effektivität nicht zu beinträchtigen.
Auch aus diesem Grund können wir Ihrem Antrag leider nicht nachkommen.
Da wir aber Wert auf größtmögliche Transparenz legen, haben wir Ihnen anbei
(ohne Anerkennung einer Rechtspflicht hierzu) eine kursorische Übersicht
über die getroffenen Maßnahmen der Vertrauensstelle des hessischen
Krebsregisters beigefügt..
Sollten Sie noch Rückfragen haben oder generell Auskunft über die von Ihnen
gespeicherten Daten wünschen, so können Sie sich gerne an folgende
E-Mail-Adresse wenden:
<<E-Mail-Adresse>>
<mailto:<<E-Mail-Adresse>>>
Mit freundlichen Grüßen