20. Wahlperiode                                                                      Drucksache 20/1523 HESSISCHER LANDTAG                                                                              28. 02. 2020 Kleine Anfrage Dr. h.c. Jörg-Uwe Hahn (Freie Demokraten), Stefan Müller (Freie Demokraten) und Oliver Stirböck (Freie Demokraten) vom 08.11.2019 Umsetzung Datenschutz DSGVO und Antwort Minister des Innern und für Sport Vorbemerkung Fragesteller: Am 25. Mai 2018 trat die Datenschutzgrundverordnung (DS-GVO) verbindlich in Kraft. Der Bund hat ein überarbeitetes Datenschutzgesetz verabschiedet. In Hessen wurde das Hessische Datenschutz- und Informati- onsfreiheitsgesetz (HDSIG) beschlossen. Alle gesetzlichen Bestimmungen erfordern ein Verzeichnis über die Verarbeitungstätigkeiten (Art. 30 DS-GVO). Bei besonders schützenswerten personenbezogenen Daten (Art. 9 DS-GVO) ist gegebenenfalls eine Datenschutz-Folgeabschätzung (Art. 35 DS-GVO) durchzuführen. Die DS- GVO wurde bekanntlich im Jahr 2016 beschlossen. Vorbemerkung Minister des Innern und für Sport: Zur Beantwortung der Kleinen Anfrage war eine Abfrage bei allen Landesbehörden erforderlich. Eine gesetzliche Definition des in der Anfrage verwendeten Begriffs „Fachverfahren“ existiert nicht. Der Begriff wird weder in der DS-GVO noch im HDSIG verwendet. Art. 30 DS-GVO bezieht sich auf Verarbeitungstätigkeiten, das heißt die Verwendung von personenbezogenen Daten, nicht auf die Art der Arbeitsabläufe oder die eingesetzte Technik zu deren Verarbeitung. Für die Beantwortung der Kleinen Anfrage wurden daher, ausgehend von der Formulierung der Fragen, nur automatisierte Verarbeitungen personenbezogener Daten als „Fachverfahren“ berücksichtigt, für die ein Verzeich- nis der Verarbeitungen nach Art. 30 DS-GVO oder im Anwendungsbereich der Richtlinie (EU) 2016/680 (JI-Richtlinie) nach Art. 24 JI-Richtlinie bzw. § 65 HDSIG zu führen ist. Diese Vorbemerkungen vorangestellt, beantworte ich die Kleine Anfrage im Einvernehmen mit dem Chef der Staatskanzlei, dem Minister für Wirtschaft, Energie, Verkehr und Wohnen, dem Minister der Finanzen, der Ministerin der Justiz, dem Kultusminister, der Ministerin für Wissen- schaft und Kunst, der Ministerin für Umwelt, Klimaschutz, Landwirtschaft und Verbraucher- schutz und dem Minister für Soziales und Integration wie folgt: Frage 1.     Wie viele Fachverfahren mit Verarbeitungstätigkeiten werden innerhalb der Landesverwaltung (bitte nach Ressorts darstellen) jeweils betrieben? In der Landesverwaltung werden insgesamt 4542 Verfahren mit Verarbeitungstätigkeiten im Sinn der Vorbemerkung betrieben, davon 1477 Verfahren im Geltungsbereich des Art. 24 JI-Richtlinie bzw. § 65 HDSIG im Innen- und im Justizressort. Hinsichtlich der Verteilung der Verfahren auf die Ressorts wird auf die Anlage 1 verwiesen. Frage 2.     Wie viele Fachverfahren mit Verarbeitungstätigkeiten werden von der Hessischen Zentrale für Da- tenverarbeitung (HZD) betrieben? Die HZD betreibt 119 Verfahren im Auftrag der Behörden der Landesverwaltung. Frage 3.     Welche Fachverfahren verfügen über ein aktuelles Verzeichnis der Verarbeitungstätigkeiten, die den gesetzlichen Erfordernissen entsprechen? Die zu berücksichtigenden Verfahren wurden überwiegend bereits zum Zeitpunkt des Inkrafttre- tens der DS-GVO und des HDSIG betrieben. Soweit für diese Verfahren ein Verfahrensverzeich- nis nach § 6 HDSG geführt wurde und das Verfahren ohne wesentliche Änderung gegenüber dem Eingegangen am 28. Februar 2020 · Bearbeitet am 28. Februar 2020 · Ausgegeben am 4. März 2020 Herstellung: Kanzlei des Hessischen Landtags · Postfach 3240 · 65022 Wiesbaden · www.Hessischer-Landtag.de

2                                 Hessischer Landtag · 20. Wahlperiode · Drucksache 20/1523 dokumentierten Stand weiter betrieben wird, ist das Verfahrensverzeichnis weiterhin gültig und dient bis zur Neufassung als Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich im Rahmen der Sit- zungen des Arbeitskreises Datenschutz mit dieser Verfahrensweise einverstanden erklärt. In die- sem Sinn verfügen 2386 Verfahren über ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO. Hinsichtlich der Verteilung der Verfahren auf die Ressorts wird auf die Anlage 1 verwiesen. Eine beispielhafte Auswahl der in den Ressorts betriebenen Verfahren mit aktuellem Verzeichnis ist der Anlage 2 zu entnehmen. Frage 4.   Wie viele der Fachverfahren nach Frage 3 verwenden Daten nach Art. 9 DS-GVO? Daten nach Art. 9 DS-GVO werden in 335 Verfahren verarbeitet. Hinsichtlich der Verteilung der Verfahren auf die Ressorts wird auf die Anlage 1 verwiesen. Frage 5    Wie viele Datenschutz-Folgeabschätzungen nach Art. 35 DS-GVO wurden bisher durchgeführt? Es wurden insgesamt 100 Datenschutz-Folgenabschätzungen nach Art. 35 DS-GVO durchge- führt. Hinsichtlich der Verteilung der Verfahren auf die Ressorts wird auf die Anlage 1 verwiesen. Wiesbaden, 18. Februar 2020 Peter Beuth Anlagen

Kleine Anfrage 20/1523, Anlage 1 Ressort                  Frage 1      Frage 3    Frage 4    Frage 5 Staatskanzlei            114          114        4          0 HMdIS                    2300   (1)   1326       127        57 HMdF   (2)               336          218        25         10 HMdJ                     38 (3)       32         8          0 HKM                      159  (4)     50         14         2 HMWK                     1094         437        144        31 HMWEVW                   46           46         0          0 HMUKLV                   442          150        6          0 HMSI                     13           13         7          0 Summe                    4542         2386       335        100 (1)     davon     1465    Verfahren     im   Geltungsbereich   Art. 24 JI-Richtlinie / § 65 HDSIG (2)     Die von der HZD für das HMdF betriebenen Verfahren sind enthalten. (3)     davon 12 Verfahren im Geltungsbereich Art. 24 JI-Richtlinie / § 65 HDSIG (4)     An      Schulen       angewendete        Fachverfahren     mit Verarbeitungstätigkeiten personenbezogener Daten sind nur berücksichtigt,      soweit      sie    durch    das    Hessische Kultusministerium zentral vorgegeben oder beschafft wurden. Auf eine gesonderte Abfrage bezogen auf schulspezifische Fachverfahren bei sämtlichen Schulen wurde aufgrund des unverhältnismäßig hohen Verwaltungsaufwands im Interesse der pädagogischen Aufgaben der Schulen und damit der Schülerinnen und Schüler verzichtet.

Kleine Anfrage 20/1523, Anlage 2   Adressverteiler „Hessischer Film- und Kinopreis   AIDA   ALVA Personen-/Güterverkehr, Fahrschulwesen   ApoDB (Apotheken Datenbank)   Argus Glücksspielaufsicht   ASYS   Allgemeine Studierendenbefragung   Art4G, Stammdatenverwaltung, Abrechnung mit Krankenkassen und MeldernAUMAV (automatisiertes Mahnverfahren)   Ausleihsystem Hochschulbibliothek   Auswertung Testergebnisse HAWIK V   BALVI   BAUS   Bereitstellung eines Campus Management Systems (CMS)   Besetzung      der    Meisterprüfungsausschüsse    im    Bezirk  der Handwerkskammer gem. § 47 HWO   Campuscard   Cloudspeicher der hess. Hochschulen „Hessenbox“   Deputatsverwaltung Lehrkräfte   DV Ökologischer Landbau   DV Qualitätskontrolle Obst und Gemüsee2T (Texterstellungsprogramm für die elektronische Akte)   eEinbürgerung   EERIGAS (Ernennungsverfahren für ehrenamtliche Richter/innen in der hessischen Arbeits- und Sozialgerichtsbarkeit)   ELBA (Elektronisches Beihilfeabrechnungsverfahren)   ELBA Dienstunfall   ELBA Modul NZF (Nassauischer Zentralstudienfonds)ERA (Elektronische Registerauskunft)   EUREKA-Basic (Basiskomponente)   EUREKA Betreuung   EUREKA Fach (Fachgerichtsbarkeiten) 1/3

Kleine Anfrage 20/1523, Anlage 2   EUREKA Familie   EUREKA Familie OLG   EUREKA-GVP (Basiskomponente)   EUREKA Nachlass   EUREKA System (Basiskomponente)   EUREKA Text   EUREKA Vollstreckung   EUREKA Winsolvenz   EUREKA Zivil Amtsgerichte   EUREKA Zivil Landgerichte   EUREKA Zivil Oberlandesgericht   EUREKA ZVG (Zwangsversteigerung und -verwaltung)   EU-KulturförderprogrammExamIS als Teil der Datenverarbeitung des Justizprüfungsamts   Familienkarte Hessen   FAZIT   FIS AG   FIS GW   Forschungsförderungsprogramm LOEWEGecoTime (Zeiterfassung)   GTDS, Stammdatenverwaltung Krebsregisterdaten   HeDok   Herkunfts- und Informationssystem Tiere   Hessisches Forschungsinformationssystem   Hosting der zentralen Adressdatenbank der HfMDK über Fa. Microplan   IDM-Konnektor zum Bibliothekssystem   ILIAS   Katalogmanagementsystem CATSCOUT   Kindervorsorgeuntersuchung (KVU) - Principa U4/U9   Kindersprachscreening (KISS) - Ki2Da, AccDB,   KomPo 7   Kundenbeziehungsmanagement (CRM) Hochschulkommunikation   Kundenbeziehungsmanagement (CRM) Student Service Center 2/3

Kleine Anfrage 20/1523, Anlage 2   Kundenbeziehungsmanagement (CRM) Weiterbildung und Duales Studium   LabCentre, LIMS Humanmedizin. Erfassung von Patientendaten und deren medizinischen Befunde   Lehraufträge im Bereich der Hochschulen   LSST   Luftfahrerprüfungen (Luftfahrer)   LUSD   MARA Stammdatenverwaltung   MIDAS   mySQL-Datenbank „webmeta SQL“ – Personalregister   Neugeborenen-Hörscreening (NHS) - NHS_Mon   Orgamax (Elektr. Erfassung von Werkstattaufträgen)   Patientendatenmanagement           mit     Videoaufzeichnungen     der Psychotherapeutischen Hochschulambulanz   Personalsachbearbeitung für Schornsteinfeger   PPB   PromotionsdatenbankRegiSTAR (elektronische Registerführung)   SAP Module: CO, FI, FI-AA, FM, HR, MM   Screeningzentrum Hessen (SZH) - Emslab-Teleform   SoPäd-DatenbankSP-Expert (Zeiterfassung)   Stiftungsdatenbank   Studierendenprüfungsverwaltung   Supra,    Stammdatenverwaltung      Verarbeitung   von  Prüfungs-  und Studierendendaten   Survnet, die Verarbeitung von Meldedaten und Bearbeitung   WINLIMS,     LIMS   Wasser,    Erfassung  von    Probenahmestellen und Messdaten   ZTEIS, Erfassung und Weiterleitung von Trinkwasserdaten   Uni-ASSIST, Bewerbungs- und Zulassungsverfahren für ausländische Bewerber der H_DA   ZMS Florix   ZSSR (zentrales Schutzschriftenregister) 3/3