Vom 23. Februar 2022

§ 1
Geltungsbereich

(1) Für die Verarbeitung personenbezogener Daten bei der Wahrnehmung parlamentarischer Aufgaben durch den Hessischen Landtag, seine Mitglieder, seine Gremien, die Fraktionen sowie durch die Kanzlei des Landtags, soweit sie parlamentarische Aufgaben wahrnimmt, gelten die Vorschriften dieser Datenschutzordnung.

(2) Eine Wahrnehmung parlamentarischer Aufgaben liegt nicht vor, wenn es sich um Verwaltungsangelegenheiten nach § 30 Abs. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) handelt. Werden personenbezogene Daten bei der Wahrnehmung von Verwaltungsaufgaben verarbeitet, gelten die Vorschriften der Datenschutz-Grundverordnung und des HDSIG.

(3) Besondere datenschutzrechtliche Bestimmungen des Landes, die die parlamentarische Arbeit betreffen können, bleiben unberührt.

§ 2
Begriffsbestimmungen

(1) Der Ausdruck "personenbezogene Daten" im Sinne dieser Datenschutzordnung bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

(2) Der Ausdruck "besondere Kategorien personenbezogener Daten" im Sinne dieser Datenschutzordnung bezeichnet Angaben, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

(3) Der Ausdruck "Verarbeitung" im Sinne dieser Datenschutzordnung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(4) Der Ausdruck "Auftragsverarbeiter" im Sinne dieser Datenschutzordnung bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag einer in § 1 Abs. 1 genannten Stelle verarbeitet.

(5) Der Ausdruck "Einwilligung" der betroffenen Person im Sinne dieser Datenschutzordnung bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

§ 3
Rechtmäßigkeit der Datenverarbeitung

(1) Die Verarbeitung personenbezogener Daten bei der Wahrnehmung parlamentarischer Aufgaben ist zulässig, soweit

1. 1.

   sie zur Erfüllung parlamentarischer Interessen erforderlich ist und überwiegende schutzwürdige Interessen der betroffenen Person nicht entgegenstehen,

2. 2.

   die betroffene Person eingewilligt hat oder

3. 3.

   diese Datenschutzordnung oder eine andere Rechtsvorschrift sie erlaubt.

(2) Bei geheimhaltungsbedürftigen personenbezogenen Daten sind die erforderlichen Geheimhaltungsvorkehrungen nach Maßgabe der Richtlinien über den Umgang mit Verschlusssachen im Bereich des Hessischen Landtags zu beachten.

§ 4
Einwilligung

(1) Beruht die Verarbeitung auf einer Einwilligung, muss die in § 1 Abs. 1 genannte Stelle nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor der Abgabe der Einwilligung hiervon in Kenntnis gesetzt.

(4) Betrifft die Einwilligung ein Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind das sechzehnte Lebensjahr noch nicht vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.

§ 5
Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist untersagt. Dies gilt nicht in folgenden Fällen:

1. a)

   Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere Zwecke ausdrücklich eingewilligt,

2. b)

   die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

3. c)

   die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich.

§ 6
Auftragsverarbeitung

(1) Erfolgt eine Verarbeitung personenbezogener Daten im Auftrag einer in § 1 Abs. 1 genannten Stelle, arbeitet diese nur mit Auftragsverarbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(2) Die Verarbeitung durch einen Auftragsverarbeiter darf nur auf der Grundlage eines Vertrages erfolgen, der den Auftragsverarbeiter in Bezug auf die in § 1 Abs. 1 genannten Stellen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte der in § 1 Abs. 1 genannten Stelle festgelegt sind.

(3) Im Auftragsverarbeitungsvertrag ist zu vereinbaren, dass der Auftragsverarbeiter keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung der in § 1 Abs. 1 genannten Stelle in Anspruch nimmt. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter die in § 1 Abs. 1 genannte Stelle immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch die in § 1 Abs. 1 genannte Stelle die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

(4) Im Auftragsverarbeitungsvertrag ist zu vereinbaren, dass der Auftragsverarbeiter, der die Dienste eines weiteren Auftragsverarbeiters in Anspruch nimmt, um bestimmte Verarbeitungstätigkeiten im Namen der in § 1 Abs. 1 genannten Stelle auszuführen, diesem dieselben Datenschutzpflichten, die dem Auftragsverarbeiter auferlegt sind, auferlegt.

(5) Der Auftragsverarbeitungsvertrag ist schriftlich abzufassen, was auch in einem elektronischen Dokument erfolgen kann.

§ 7
Übermittlung für nicht parlamentarische Zwecke

Die Übermittlung personenbezogener Daten für nicht parlamentarische Zwecke ist zulässig

1. 1.

   an öffentliche Stellen, wenn sie zur rechtmäßigen Erfüllung der in der Zuständigkeit des Empfängers liegenden Aufgaben erforderlich ist und überwiegende schutzwürdige Interessen der betroffenen Personen nicht entgegenstehen;

2. 2.

   an Hochschulen und andere Stellen mit der Aufgabe unabhängiger wissenschaftlicher Forschung, wenn dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person am Ausschluss der Übermittlung überwiegt und der Zweck der Forschung auf andere Weise nur mit unverhältnismäßigem Aufwand erreicht werden kann;

3. 3.

   an nicht öffentliche Stellen, wenn der Empfänger ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft macht und überwiegende schutzwürdige Interessen der betroffenen Person nicht entgegenstehen.

§ 8
Datennutzung innerhalb parlamentarischer Tätigkeit

Die in § 1 Abs. 1 genannten Stellen können im Geltungsbereich der Datenschutzordnung erhobene personenbezogene Daten untereinander für den Zweck gemeinsamer parlamentarischer Tätigkeit austauschen, soweit nicht besondere datenschutzrechtliche Bestimmungen des Landes, die die parlamentarische Arbeit betreffen, entgegenstehen.

§ 9
Veröffentlichung von personenbezogenen Daten in Sitzungen und Landtagsdrucksachen

(1) Personenbezogene Daten dürfen in Landtagsdrucksachen nicht veröffentlicht und in öffentlichen Sitzungen des Landtags nicht behandelt werden.

(2) Ausnahmen hiervon sind nur zulässig, wenn die Kontrollaufgabe des Parlaments das Recht auf informationelle Selbstbestimmung der betroffenen Person überwiegt.

In einem solchen Fall:

1. 1.

   Ist auf eine Namensnennung zu verzichten. Sind zur Behandlung eines Sachverhalts persönliche Merkmale erforderlich, wird die Funktions-, Dienst- oder Berufsbezeichnung der betreffenden Person verwandt.

2. 2.

   Soll der Sachverhalt in einer nicht öffentlichen Sitzung eines Ausschusses oder einer Arbeitsgruppe behandelt werden, wenn der Sachverhalt nur unter Nennung des Namens und der Daten einer Person behandelt werden kann und die Belange dieser Person durch eine öffentliche Erörterung erheblich beeinträchtigt würden.

3. 3.

   Können Personen des öffentlichen Lebens, sofern ihr öffentliches Wirken betroffen ist, ohne diese Abwägung mit voller Namensangabe aufgeführt werden. Dies gilt insbesondere für politische Mandats- und Funktionsträgerinnen und -träger.

(3) Die in Abs. 2 Nr. 1 bis 3 getroffenen Regelungen gelten auch für personenbezogene Daten, die einem besonderen Amts- oder Berufsgeheimnis unterliegen und die dem Landtag durch die Landesregierung übermittelt werden. Geheimhaltungspflichten aufgrund weiterer Rechts- und Verwaltungsbestimmungen bleiben unberührt.

(4) Die parlamentarische Kontrollfunktion kann es erfordern, dass Daten einer betroffenen Person selbst bei einer erheblichen Beeinträchtigung ihrer Belange öffentlich diskutiert werden.

(5) Die Entscheidung über die Form der parlamentarischen Behandlung sowie die Veröffentlichung von Namen in parlamentarischen Initiativen trifft die Präsidentin bzw. der Präsident.

§ 10
Elektronische Datenverarbeitung bei Petitionen

(1) Daten der Petentin oder des Petenten, der Gegenstand der Petition und Daten zum Stand der Behandlung der Petition im Geschäftsgang dürfen in einem elektronischen Aktenverwaltungssystem nur für Zwecke des Petitionsverfahrens verarbeitet werden.

(2) Zugriff auf das elektronische Aktenverwaltungssystem und die dort den jeweiligen Ausschüssen zugeordneten Petitionen haben jeweils nur die Mitglieder des Petitionsausschusses, des Unterausschusses Justizvollzug und des Hauptausschusses, ihre Mitarbeiterinnen und Mitarbeiter sowie die zuständigen Mitarbeiterinnen und Mitarbeiter der Fraktionen und der Kanzlei des Landtags. Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass auf Daten des elektronischen Aktenverwaltungssystems nicht unberechtigt zugegriffen werden kann.

(3) Die Petentin oder der Petent wird über die Datenverarbeitung, die Verfahrensweise und die aus der Datenverarbeitung folgenden Rechte unterrichtet.

§ 11
Parlamentsdokumentation

Der Landtag betreibt ein Landtagsinformationssystem, in dem personenbezogene Daten nach Maßgabe der §§ 2 bis 4, Namen der Abgeordneten, die Urheber parlamentarischer Initiativen sind, sowie Namen der Rednerinnen und Redner in Plenarsitzungen gespeichert werden können. Es hat Registerfunktion für die parlamentarischen Dokumente des Landtags. Ihre Daten werden nicht gelöscht.

§ 12
Auskunft

(1) Den betroffenen Personen ist auf Antrag Auskunft zu erteilen, ob personenbezogene Daten zu ihrer Person beim Landtag und den Fraktionen verarbeitet werden; ist dies der Fall, haben sie ein Recht auf Auskunft über diese personenbezogenen Daten und folgende Informationen:

1. 1.

   die Verarbeitungszwecke;

2. 2.

   die Kategorien personenbezogener Daten, die verarbeitet werden;

3. 3.

   die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;

4. 4.

   falls möglich, die geplante Speicherdauer;

5. 5.

   das Bestehen eines Rechts auf Berichtigung, Löschung, Beschränkung der Verarbeitung der personenbezogenen Daten oder des Widerspruchsrechts gegen die Verarbeitung;

6. 6.

   das Beschwerderecht bei dem zuständigen Datenschutzgremium (§ 15).

(2) Die Entscheidung über einen Antrag trifft die Präsidentin oder der Präsident. Über Anträge, die den Verantwortungsbereich einer Fraktion betreffen, entscheidet die Fraktion.

Die Auskunftserteilung unterbleibt, soweit

1. 1.

   der Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses des Landes Hessen dieses Interesse überwiegt; dies gilt insbesondere dann, wenn die ordnungsgemäße Erfüllung der parlamentarischen Aufgaben oder die Freiheit des Mandats und die daraus abgeleiteten Rechte gefährdet würden;

2. 2.

   durch die Erteilung einer Auskunft die Rechte und Freiheiten anderer Personen beeinträchtigt werden oder

3. 3.

   durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen;

4. 4.

   die Geltendmachung des Auskunftsanspruchs offenkundig rechtsmissbräuchlich ist.

(3) Die Ablehnung der Auskunftserteilung bedarf einer Begründung. Dies gilt nicht, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Ablehnung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall ist die betroffene Person darauf hinzuweisen, dass sie oder er sich an das Datenschutzgremium des Landtags (§ 15) wenden kann.

(4) Die Bestimmungen über die Akteneinsicht in der Geschäftsordnung und in der Archivordnung bleiben unberührt.

§ 13
Richtigstellung und Berichtigung

(1) Sind in einer Landtagsdrucksache Tatsachen über eine bestimmte oder bestimmbare Person veröffentlicht worden, deren Unwahrheit gerichtlich rechtskräftig festgestellt ist, so sind die entsprechenden gerichtlichen Feststellungen auf Antrag der betroffenen Person in einer Landtagsdrucksache zu veröffentlichen (Richtigstellung). Bei einer Recherche im Landtagsinformationssystem müssen beide Landtagsdrucksachen zusammen aufgefunden werden können.

(2) Die Richtigstellung unterbleibt, soweit ihr überwiegende schutzwürdige Interessen anderer Personen oder Stellen entgegenstehen. Eine Richtigstellung bei Sitzungsprotokollen erfolgt nicht; die Berichtigung von Sitzungsprotokollen des Landtags und seiner Gremien regelt die Geschäftsordnung.

(3) Der Antrag auf Richtigstellung bedarf der Schriftform. Dem Antrag ist eine Ausfertigung oder eine beglaubigte Abschrift der gerichtlichen Entscheidung beizufügen.

(4) Sind personenbezogene Daten aus Sitzungen und Unterlagen des Landtags und seiner Gremien unrichtig in Dateien aufgenommen worden, sind sie in den Dateien zu berichtigen.

§ 14
Speicherbegrenzung/Löschung

Personenbezogene Daten sind zu löschen, wenn sie für die Zwecke, für die sie erhoben oder in sonstiger Weise verarbeitet wurden, nicht mehr notwendig sind, die Einwilligung in die Verarbeitung widerrufen wurde oder die Verarbeitung unrechtmäßig erfolgte.

§ 15
Datenschutzgremium

(1) Ein zu Beginn der Wahlperiode zu bestimmender Ausschuss überwacht die Einhaltung der Datenschutzordnung des Landtags. Er befasst sich mit Angelegenheiten des parlamentarischen Datenschutzes im Landtag und legt Konfliktfälle dem Ältestenrat zur Veranlassung entsprechender Maßnahmen vor.

(2) Die Beratungen zu Problemen des Datenschutzes sind geheim. Die Mitglieder des Ausschusses sind verpflichtet, auch nach ihrem Ausscheiden, über die ihnen bei ihrer Tätigkeit bekannt gewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

§ 16
Verschwiegenheitspflicht

Abgeordnete haben über personenbezogene Daten, die ihnen in ihrer Eigenschaft als Mitglied des Landtags bekannt werden und die nicht nach § 9 veröffentlicht wurden, Verschwiegenheit zu bewahren. Die Verschwiegenheitspflicht gilt auch für die Zeit nach dem Ausscheiden aus dem Amt. Die Sätze 1 und 2 gelten entsprechend für die nicht dem Landtag angehörenden Mitglieder der Enquete-Kommissionen sowie die Mitarbeiterinnen und Mitarbeiter der Abgeordneten und Fraktionen.

§ 17
Durchführung des Datenschutzes

Die in § 1 Abs. 1 genannten Stellen haben die Ausführung dieser Datenschutzordnung sowie anderer Rechtsvorschriften im Sinne des § 1 Abs. 2 und 3 in eigener Verantwortung sicherzustellen.

§ 18
Verzeichnis von Verarbeitungstätigkeiten

(1) Der Landtag führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Das Verzeichnis von Verarbeitungstätigkeiten enthält folgende Angaben:

1. 1.

   den Namen und die Kontaktdaten der in § 1 Abs. 1 genannten Stelle sowie der oder des Datenschutzbeauftragten,

2. 2.

   die Zwecke der Verarbeitung,

3. 3.

   eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,

4. 4.

   Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch werden,

5. 5.

   wenn möglich, die Fristen für die Löschung der verschiedenen Datenkategorien,

6. 6.

   wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 19.

(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Landtages durchgeführten Tätigkeiten der Verarbeitung, das Folgendes enthält:

1. 1.

   den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jede in § 1 Abs. 1 genannten Stelle, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters der in § 1 Abs. 1 genannten Stelle oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten,

2. 2.

   die Kategorien von Verarbeitungen, die im Auftrag jeder in § 1 Abs. 1 genannten Stelle durchgeführt werden,

3. 3.

   gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation,

4. 4.

   wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 19.

(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

(4) Fraktionen und fraktionslose Abgeordnete führen ihre eigenen Verzeichnisse, die die jeweiligen Geheimhaltungsinteressen berücksichtigen.

§ 19
Technische und organisatorische Maßnahmen

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Landtag geeignete technische und organisatorische Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

1. 1.

   die Pseudonymisierung und Verschlüsselung personenbezogener Daten,

2. 2.

   die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,

3. 3.

   die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,

4. 4.

   ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Der Landtag stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf seine Anweisung verarbeiten, es sei denn, sie sind nach anderen Rechtsvorschriften im Sinne des § 1 Abs. 2 und 3 zur Verarbeitung verpflichtet.

(4) In einem Auftragsverarbeitungsvertrag ist festzulegen, dass Auftragsverarbeiter geeignete Maßnahmen (TOMs) ergreifen müssen im Sinne der Abs. 1 bis 3.

(5) Die in Abs. 1 bis 4 aufgeführten Maßnahmen und Regelungen werden auch auf Fraktionen und fraktionslose Abgeordnete und die von ihnen betriebenen Datenverarbeitungssysteme angewendet, soweit dies nicht die Freiheit des Mandats und die daraus abgeleiteten Rechte unverhältnismäßig einschränkt. Die berechtigten Geheimhaltungsinteressen sind zu berücksichtigen.

§ 20
Speicherung von Abgeordnetendaten durch die Kanzlei des Landtags

(1) Die Kanzlei des Landtags verarbeitet mittels automatisierter Verfahren Daten der Abgeordneten insbesondere für das amtliche Handbuch des Hessischen Landtags. Die Daten werden in einem automatisierten Verfahren für einen Abruf durch Dritte vorgehalten.

(2) Nach vom Ältestenrat zu erlassenden Ausführungsbestimmungen ist die Kanzlei des Landtags insbesondere hinsichtlich der Ansprüche oder Leistungen nach dem Hessischen Abgeordnetengesetz sowie den Aufgaben nach der Geschäftsordnung des Landtags befugt, Daten der Mitglieder und ehemaligen Mitglieder des Landtags, Hinterbliebenen oder von Mitarbeiterinnen und Mitarbeitern der Abgeordneten in automatisierten Verfahren zu speichern und zu verarbeiten.