Seit dem Inkrafttreten des Hessischen Datenschutz- und Informationssicherheitsgesetzes (HDSIG) besteht eine Pflicht, Verletzungen des Schutzes personenbezogener Daten im Bereich der Richtlinie (EU) 2016/680Öffnet sich in einem neuen Fenster (JI-Richtlinie) dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zu melden.
Die Meldepflicht gemäß § 60 HDSIGÖffnet sich in einem neuen Fenster besteht für öffentliche Stellen des Landes Hessen im Anwendungsbereich des dritten Teils (§§ 40 ff.) des HDSIG, der die Richtlinie (EU) 2016/680 umsetzt. Adressaten der Norm sind insbesondere die Hessische Polizei, die Hessische Justiz, das Hessische Landesamt für Verfassungsschutz, aber auch Bußgeldstellen und Kommunen, soweit sie im Rahmen der Verfolgung von Ordnungswidrigkeiten tätig sind.
Beispiele für meldepflichtige Sachverhalte aus dem 49. Tätigkeitsbericht des HBDI
- Ein Bediensteter der Polizei fragt ohne dienstlichen Bezug in zahlreichen Fällen mehrere Familienangehörige im polizeilichen Informationssystem und im Melderegister ab.
- Ein Bediensteter der Polizei fragt seine geschiedene Ehefrau im Melderegister ab, um anhand des Familienzuschlags zu erfahren, ob diese wiederverheiratet ist.
- Eine Bedienstete der Polizei möchte ein Jahrgangstreffen organisieren und fragt mehrere Personen im Melderegister ab, um die aktuellen Anschriften zu erlangen.
- Eine Mutter konfrontiert den Freund ihrer Tochter damit, dass er ein „Drogendealer“ sei und sie ihrer Tochter daher den weiteren Umgang mit ihm verboten habe. Der Vater arbeitet bei der Polizei, er hatte im polizeilichen Informationssystem nach dem Freund seiner Tochter gesucht und das Ergebnis seiner Frau mitgeteilt.
- Eine Bedienstete der Polizei möchte eine Wohnung vermieten und überprüft die Interessenten im polizeilichen Informationssystem, da sie die Wohnung nur an eine unbescholtene Person vermieten möchte.
- Eine Bedienstete der Polizei wird von einer Freundin gebeten, ihr eine Halteranschrift zu einem Fahrzeug nach einem angeblich von ihr verursachten Bagatellunfall zu besorgen. Tatsächlich handelt es sich aber um das Auto der neuen Lebensgefährtin des Ex-Mannes ihrer Freundin, das einige Nächte später zerkratzt und schwer beschädigt wird.
Nicht meldepflichtige Verletzungen des Schutzes personenbezogener Daten
Nicht in jedem Fall sind Verletzungen des Schutzes personenbezogener Daten meldepflichtig. Gemäß § 60 Abs. 1 HDSIG sind Verletzungen des Schutzes personenbezogener Daten als nicht meldepflichtig einzustufen, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ob ein solches Risiko vorliegt oder nicht, bedarf einer dahingehenden Prognose des Verantwortlichen. Diese erfordert regelmäßig mehr Hintergrundinformationen als die bloße Tatsache, dass der Bedienstete A die Person B nachvollziehbar in einem Dateisystem abgefragt hat. Hierbei ist zu beachten, dass eine Meldung an den HBDI erfolgen muss, soweit innerhalb der gesetzlich gebotenen Frist keine Informationen erlangt werden können, die zu einem Risikoausschluss führen.
Wann besteht ein Risiko für die Rechte und Freiheiten natürlicher Personen?
Ein Risiko für die Rechte und Freiheiten natürlicher Personen ist grundsätzlich zu bejahen, wenn erhobene Daten an Dritte weitergegeben wurden, unabhängig davon, ob es Daten zu einer polizeilichen Befassung sind oder auch melderechtliche Daten. Dies ist durchaus nicht immer der Fall und oft nur schwer nachweisbar.
Vorgehen nach Feststellung eines Verstoßes
Die Vorschrift des § 60 Abs. 1 HDSIG verpflichtet die verantwortliche Stelle, einen festgestellten Verstoß innerhalb von 72 Stunden nach Bekanntwerden an den HBDI zu melden. Der HBDI stellt dafür ein Online-Formular zur Verfügung. Häufig besteht bei Verantwortlichen Unsicherheit bezüglich der Frage, wann der Zeitpunkt des Bekanntwerdens anzunehmen sei, um fristgerecht eine Meldung zu einzureichen. Aufgrund der Heterogenität der zugrundeliegenden Sachverhalte kann dieser Zeitpunkt nicht allgemeingültig festgelegt werden. Vielmehr müssen die diesbezüglich Beauftragten der verantwortlichen Stelle zeitnah den Grad an Wahrscheinlichkeit abschätzen um zu entscheiden, ob eine Meldung auszulösen ist. Dies ist immer dann der Fall, wenn der Verantwortliche über ein begründetes Maß an Gewissheit verfügt, dass der Vorfall zur Gefährdung personenbezogener Daten geführt hat. Der verantwortlichen Stelle wird dabei ein kurzer Zeitraum zur Untersuchung zugestanden um festzustellen, ob eine Verletzung vorliegt oder nicht. Eine hohe Eintrittswahrscheinlichkeit für eine Verletzung der Rechte und Freiheiten natürlicher Personen sowie die mögliche Schwere etwaiger Folgen macht regelmäßig eine frühzeitige Meldung erforderlich.
Sofern Meldungen nicht oder nicht fristgerecht erfolgen, kann dies aufsichtsbehördliche Maßnahmen nach § 14 Abs. 2 und 3 HDSIGÖffnet sich in einem neuen Fenster nach sich ziehen.
Inhalt der Meldung
Die Informationen, die eine Meldung nach § 60 HDSIG beinhalten muss, sind in § 60 Abs. 3 HDSIG aufgeführt. Nicht aufgeführt und damit nicht Inhalt einer solchen Meldung sind in der Regel personenbezogene Daten, mit Ausnahme ggf. der Namen und Kontaktadressen der oder des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen. Demnach erfordert die gesetzliche Regelung nicht die Meldung der Daten von „Täter“ und „Opfer“. Es sind also keine personenbezogenen Daten der oder des rechtswidrig handelnden Bediensteten und der betroffenen Person zu melden.
Beteiligte des Meldeverfahrens
Das Meldeverfahren nach § 60 HDSIG hat nur zwei beteiligte Stellen, die datenschutzrechtlich verantwortliche Stelle und den HBDI. Eine Meldung nach § 60 HDSIG kann jedoch mittelbar ein Sanktionsverfahren des HBDI gegen Personen auslösen, die sich rechtswidrig verhalten haben. Dies ist immer dann der Fall, wenn der gemeldete Sachverhalt darauf hinweist, dass eine bedienstete Person der verantwortlichen Stelle sich über ihre innerdienstlich geregelten Befugnisse in Form eines sog. Mitarbeiterexzesses (siehe 48. Tätigkeitsbericht, S. 129 ff.) hinwegsetzte und ihr oder sein Handeln damit nicht mehr der verantwortlichen Stelle zugerechnet werden kann. Diese bedienstete Person kann dann in ihrer datenschutzrechtlichen Bewertung den Regelungen der DS-GVO unterfallen und damit auch mit einem Bußgeld sanktioniert werden.
Stand: 31.03.2023