Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel hat am 7. Mai 2024 seine Tätigkeitsberichte für das Jahr 2023 vorgestellt und sie an die Präsidentin des Hessischen Landtages Astrid Wallmann übergeben.
Im 52. Tätigkeitsbericht zum Datenschutz zieht Roßnagel insgesamt ein positives Fazit: Datenschutz werde in Hessen akzeptiert und nicht grundsätzlich in Frage gestellt. So seien im Jahr 2023 keine schwerwiegenden Verstöße festzustellen gewesen. Dennoch seien in vielen Bereichen die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) noch immer nicht ausreichend umgesetzt. In zahlreichen Beschwerden machten daher Bürgerinnen und Bürger Verletzungen ihrer Grundrechte geltend. „Als Datenschutzaufsicht geht meine Behörde diesen Beschwerden nach und stellt in berechtigten Fällen die Verstöße ab. Die meisten Verantwortlichen beseitigen datenschutzwidrige Zustände umgehend. Soweit dies nicht der Fall war, halfen förmliche Anordnungen, Durchsetzungsmaßnahmen und Sanktionen“, so Roßnagel.
Datenschutzrecht durchzusetzen wird dem HBDI zufolge durch Techniksysteme, Dienstleistungen, Auftragnehmer und Geschäftsmodelle internationaler Digitalkonzerne in Frage gestellt, die nicht den Anforderungen des Datenschutzes entsprechen. Häufig seien die Anbieter von Diensten „nicht in der Lage oder nicht willens, die europäischen Datenschutzanforderungen zu erfüllen“, so Roßnagel. „Sie versuchen, die Verhaltensstandards in ihren Vertragsbedingungen als für sie geltende weltweite Rechtsregeln durchzusetzen. Daher wehren sie sich dagegen, aus ihrer Sicht regionale Rechtsregelungen zu befolgen, weil dies ein weltweit einheitliches Dienstangebot erschwert.“ Im Fokus der Aufsichtsbehörden stehen derzeit Facebook und Microsoft 365. Verantwortliche in Hessen, die solche Dienste in Anspruch nehmen, könnten im Regelfall nicht ihrer gesetzlichen Verantwortung und ihrer Rechenschaftspflicht entsprechen. Daher komme es darauf an, „soweit möglich, technisch-organisatorische Alternativen zu aus Drittländern angebotener Hardware, Software, Diensten und Plattformen zu nutzen und dadurch digitale Souveränität zu erlangen“, so der Hessische Datenschutzbeauftragte weiter.
Die Bearbeitung von Beschwerden, Nachfragen und Beratungen zur Ausübung von Betroffenenrechten sowie zur Unterstützung von Verantwortlichen bildete wie schon in den Vorjahren einen Schwerpunkt der Arbeit der Aufsichtsbehörde. Die Zahl der schriftlich zu bearbeitenden Vorgänge stabilisierte sich sechs Jahre nach dem Wirksamwerden der DS-GVO auf einem sehr hohen Niveau. Sie stieg leicht von 6.836 auf 7.162. Hierzu erklärt Roßnagel: „Durch die zunehmende Digitalisierung wird die Bearbeitung der Vorgänge qualitativ anspruchsvoller. Große Digitalisierungsprojekte, wie z.B. die Umsetzung des Onlinezugangsgesetzes oder die Verwaltungscloud, und die Mitarbeit an der Bewertung großer IT-Plattformen, wie z.B. Facebook oder Microsoft 365, schlagen in der Statistik nicht in dem Ausmaß zu Buche, wie sie meine Behörde tatsächlich beschäftigen.“
In vielen Fällen führten Beschwerden zu Abhilfemaßnahmen. So musste etwa eine Fitnessstudiokette ihre bisherigen Identifizierungsverfahren aller Kunden in den einzelnen Filialen mittels Fingerabdrucksensoren und RFID-Chips ebenso aufgeben wie der Zustelldienst eines Möbelhauses seine Praxis, alle zugestellten Lieferungen in der Wohnung der Empfänger zu fotografieren. Auch in einzelnen Arztpraxen und Apotheken musste dafür gesorgt werden, dass sie mit den Gesundheitsdaten der Patienten sorgsam umgehen. In besonders gravierenden Fällen mussten Geldbußen verhängt werden. Die Verfahren zur Verhängung von Geldbußen stiegen von 113 im Jahr 2022 auf 124 im Jahr 2023 an.
Die Meldungen von Datenschutzverletzungen an die Datenschutzaufsichtsbehörden gemäß Art. 33 DS-GVO nahmen im Berichtszeitraum von 1.754 im Jahr 2022 auf 1.934 im Jahr 2023 zu. Sie zu analysieren und zu bewerten und vor allem dazu beizutragen, sie in ihrem Schadenspotential zu beschränken und ihre Wiederholung zu verhindern, fordere ein hohes Maß an Arbeit der Aufsichtsbehörde, so Roßnagel. Insbesondere hob er den Anstieg bei Angriffen auf IT-Systeme von 475 im Jahr 2022 auf 502 im Jahr 2023 hervor. „Cyberangriffe werden qualitativ immer raffinierter und professioneller. Sie richten sich zunehmend gegen Auftragsverarbeiter, die für viele Unternehmen und Behörden arbeiten, und verstärken damit das Schadenspotential.“ Besonders gravierend war im vergangenen Jahr ein Cyberangriff auf eine hessische Kommune, der ihre Verwaltung lahmlegte und für längere Zeit beeinträchtigte.
Das Urteil des Bundesverfassungsgerichts zu hessenDATA erforderte eine Neufassung der Ermächtigungsgrundlage, die die Datenverarbeitung an die differenzierten Vorgaben des Gerichts anpasste. Im Gesetzgebungsverfahren zu den Novellen des HSOG und des HVSG trug Roßnagel kritische Anmerkungen vor, die zu einem großen Teil zu Änderungen in beiden Gesetzen geführt haben.
Am Beispiel von ChatGPT befasste sich der Hessische Datenschutzbeauftragte mit vielen neuen Datenschutzfragen bei Nutzung generativer Künstlicher Intelligenz. Ein wichtiges Thema waren auch Abo-Modelle für Social Networks. „Mit ihrer Hilfe wollen die Anbieter ihre rechtswidrige Verarbeitung von Nutzerdaten und deren Auswertung für Werbeprofile ohne Einwilligung der Nutzer ausgleichen. Da auch bei Abo-Modellen die Nutzerdaten weiterhin erhoben werden, bleibt diese Datenverarbeitung rechtwidrig“, wie Roßnagel feststellt.
Im Bereich der privaten Kreditwirtschaft brachten die Urteile des Europäischen Gerichtshofs zum Bonitäts-Scoring der Auskunfteien und zur Verarbeitung von Daten zur Restschuldbefreiung neue Erkenntnisse, die dazu führten, dass der HBDI die bisherigen Verhaltensregeln des Verbands „Die Wirtschaftsauskunfteien“ beanstandete. Auskunfteien müssen ihre Datenverarbeitung den Vorgaben dieser Urteile anpassen.
Daneben stellte Roßnagel auch seinen 6. Tätigkeitsbericht zur Informationsfreiheit vor. Obwohl die Informationsfreiheit in Hessen immer noch nur in der Landesverwaltung und wenigen Gemeinden und Landkreisen gilt, berichtete Roßnagel darin von zahlreichen interessanten Anfragen, die er in diesem Bereich als Informationsfreiheitsbeauftragter im Jahr 2023 beantwortet habe. Viele Bürgerinnen und Bürger habe er so bei der Durchsetzung ihrer Ansprüche unterstützt. Beschwerden und Beratungen sanken leicht von 110 auf 99. Im Berichtsjahr hat der Landtag in Hessen ein Open-Data-Gesetz beschlossen, es dabei aber wie bei der Regelung zur Informationsfreiheit den Gemeinden und Landkreisen überlassen, ob sie dieses Gesetz gegen sich gelten lassen wollen. Bisher ist das Recht auf Informationsfreiheit bei rein wirtschaftlichen Interessen ausgeschlossen. Roßnagel plädiert dafür, diese Ausnahme aufzuheben. „Die Kosten für die Geltendmachung eines Anspruchs auf Informationsfreiheit dürfen diesen nicht praktisch verhindern. Die maßvolle Kostenregelung in Hessen erscheint jedoch für umfangreiche Recherchen nicht unbillig“, so der HBDI.