(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch folgende Stellen und Einrichtungen der Freien und Hansestadt Hamburg (öffentliche Stellen):

1. 1.

   Behörden,

2. 2.

   den Rechnungshof,

3. 3.

   die Bürgerschaft, die Gerichte und die Behörden der Staatsanwaltschaft, soweit sie Verwaltungsaufgaben wahrnehmen,

4. 4.

   die der Aufsicht der Freien und Hansestadt Hamburg unterstehenden juristischen Personen des öffentlichen Rechts und deren öffentlich-rechtlich organisierte Einrichtungen,

5. 5.

   Stellen, soweit sie als Beliehene hoheitliche Aufgaben wahrnehmen,

6. 6.

   sonstige öffentlich-rechtlich organisierte Stellen oder Einrichtungen.

(2) Für juristische Personen, Gesellschaften und andere Vereinigungen von Personen des privaten Rechts, an denen die Freie und Hansestadt Hamburg oder eine ihrer Aufsicht unterstehende juristische Person des öffentlichen Rechts beteiligt ist, gelten die Vorschriften der Verordnung (EU) 2016/679 sowie des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) über nicht-öffentliche Stellen in ihrer jeweils geltenden Fassung.

(3) Soweit öffentliche Stellen im Sinne des Absatzes 1 als Unternehmen am Wettbewerb teilnehmen, sind auf diese unbeschadet anderer Rechtsgrundlagen die Vorschriften der Verordnung (EU) 2016/679 sowie des Bundesdatenschutzgesetzes über nicht-öffentliche Stellen in ihrer jeweils geltenden Fassung anzuwenden.

(4) Dieses Gesetz gilt nicht für öffentliche Stellen, soweit deren Tätigkeit der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. EU Nr. L 119 S. 89) unterfällt.

(5) Die Bürgerschaft, ihre Mitglieder, ihre Gremien, die Fraktionen und Gruppen sowie deren Verwaltungen unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie zur Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten und dabei die von der Bürgerschaft zu erlassende Datenschutzordnung anzuwenden haben.

(6) Fällt die Verarbeitung personenbezogener Daten durch die in Absatz 1 bezeichneten öffentlichen Stellen nicht in den Anwendungsbereich der Verordnung (EU) 2016/679, sind ihre Vorschriften entsprechend anzuwenden, es sei denn, dieses Gesetz oder andere spezielle Rechtsvorschriften enthalten abweichende Regelungen.

(1) Denjenigen Personen, die bei den in § 2 Absatz 1 genannten öffentlichen Stellen oder ihren auftragnehmenden Stellen dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, personenbezogene Daten unbefugt zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten, insbesondere bekannt zu geben oder zugänglich zu machen. Dieses Verbot besteht auch nach Beendigung der Tätigkeit fort.

(2) Die Datenschutzbeauftragten nach Artikel 37 bis 39 der Verordnung (EU) 2016/679 der in § 2 Absatz 1 genannten öffentlichen Stellen sind, auch nach Beendigung ihrer Tätigkeit, zur Verschwiegenheit über die Identität Betroffener und Beschäftigter, die sich an sie gewandt haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, verpflichtet.