Tätigkeitsberichte

Gemäß § 30 des Hessischen Datenschutzgesetzes (bis 24. Mai 2018) und Art. 59 der Verordnung (EU) Nr. 2016/679 (ab 25. Mai 2018) i.V.m. § 15 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) sowie       § 89 HDSIG hat der Hessische Datenschutz- und Informationsfreiheitsbeauftragte (HBDI) zum 31. Dezember jeden Jahres dem Landtag und der Landesregierung einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen. Nachfolgend finden Sie die Tätigkeitsberichte in chronologischer Reihenfolge.

47. TB zum Datenschutz und 1. TB zur Informationsfreiheit des HBDI

Kernpunkte

1. Im Vordergrund des vorliegenden Tätigkeitsberichts stehen die Datenschutzreform und die Schaffung eines Informationsfreiheitsrechts. Er gliedert sich daher erstmals in einen Datenschutz-bericht (geteilt für die Zeit vor bzw. nach Geltung der Datenschutz-Grundverordnung) und einen Bericht nach dem Informationsfreiheitsgesetz.

2. Das Datenschutzrecht entwickelte sich im Berichtsjahr in der EU, den Mitgliedstaaten und Deutschland unterschiedlich (Erster Teil, Ziff.2.1 bis 2.3). In Hessen wurden mit einem Artikelgesetz das Hessische Datenschutz- und Informationsfreiheitsgesetz geschaffen und zahlreiche Änderungen in Fachgesetzen vorgenommen (Erster Teil, Ziff.2.4).

3. Das Hessische Verfassungsschutzgesetz und das Hessische Gesetz über die öffentliche Sicherheit und Ordnung wurden zum Teil umfassend novelliert (Erster Teil, Ziff.2.5 und Ziff. 2.6). Durch EU-Verordnungen, Bundesgesetze und Landesgesetz sind zusätzliche Prüfpflichten für den HBDI entstanden (Erster Teil, Ziff.2.7). Ein Gesetzentwurf, mit dem im Hessischen Krankenhausgesetz eine Regelung für die Schließung eines Krankenhauses eingefügt werden soll, wurde mir vorgestellt (Erster Teil, Ziff.5.3).

4. Mit der datenschutzrechtlich begleiteten Einführung der App „BAföGdirect“ und den Vorarbeiten zu interoperablen Servicekonten zur Bereitstellung online angebotener Verwaltungsleistungen wurden weitere Bausteine zur Strategie „Digitales Hessen 2020“ umgesetzt (Erster Teil, Ziff.3.5.2 und Ziff.3.5.3). Auch die Umsetzung des Projekts „Digitale Modellbehörde“ mit dem Teilprojekt „Aner-kennungsprämie“ ist datenschutzrechtlich auf einem guten Weg (Erster Teil, Ziff.4.3.1 und Ziff.4.3.2).

5. Das Projekt „Schule ohne Rassismus –Schule mit Courage“ muss datenschutzrechtlich nach-gebessert werden (Erster Teil, Ziff.4.4.3). Das Digitalisierungsprojekt „Schultagebuch für Kinder beruflich Reisender“ (Digitales Lernen unterwegs –DigLu) schreitet voran (Erster Teil, Ziff.5.1). Die hessenweite Einführung der Lernverlaufsdiagnostik-Software „quop“ habe ich datenschutzrechtlich begleitet und im Hinblick auf die neuen Anforderungen der DS-GVO beraten (Erster Teil, Ziff.4.4.2).

6. Seit Geltung der Datenschutz-Grundverordnung dominieren die Eingaben im öffentlichen und nicht-öffentlichen Bereich zu den Rechten der Betroffenen. Exemplarisch werden für beide Bereiche typische Beschwerden und Fragestellungen zum Auskunftsanspruch (Erster Teil, Ziff.4.3.4, Ziff.4.5.2 und Ziff.4.7.2), zur Meldung von internen Datenschutzbeauftragten, zur Information der Betroffenen (Erster Teil, Ziff.4.6.1), zur Aufzeichnung von Telefongesprächen, zu Bild- und Video-aufnahmen (Erster Teil, Ziff.4.1 und Ziff.4.3.6) sowie zur Veröffentlichung von Beschäftigtenfotos (Erster Teil, Ziff.4.9.1) behandelt.

7. Mit der Änderung des Geschäftsmodells von Microsoft, für die Microsoft Cloud Deutschland mit dem Treuhändermodell keine Neukundenverträge mehr zu schließen, wird der Einsatz des Produkts Microsoft365 bzw. Azure an Schulen in Frage gestellt (Erster Teil, Ziff.5.2).

8. Die Europäisierung des Bußgeldverfahrens führt zu einer Kollision mit nationalem Verfahrensrecht (Erster Teil, Ziff.4.11.1). Erste Erfahrungen mit den Bußgeldverfahren nach DS-GVO wurden gemacht (Erster Teil, Ziff.4.11.2). Erste Erfahrungsberichte zu Meldungen von Datenpannen wer-den dargestellt (Erster Teil, Ziff.4.11.3 und Ziff.4.11.4).

9. Im Gesundheitsbereich war der Umgang mit Patientenakten immer wieder Thema. Die Weigerung von Patienten und Patientinnen, den Informa­tionsflyer nach Art.13 DS-GVO zu unterzeichnen, führte zur unzulässigen Ablehnung der ärztlichen Behandlung (Erster Teil, Ziff.4.6.2).

10. Die datenschutzrechtliche Absicherung beim Datentransfer in die Vereinigten Staaten, das Privacy Shield, stand erneut auf dem Prüfstand (Erster Teil, Ziff.4.2.1). Für die europaweite Zusammenarbeit des HBDI mit anderen europäischen Aufsichtsbehörden nach DS-GVO wurden erste Strukturen geschaffen (Erster Teil, Ziff.4.2.2).

11. Interessante Entwicklungen sind in dem Bereich rund um das Kraftfahrzeug zu verfolgen. Die daten-schutzrechtliche Zulässigkeit von Unfalldatenspeichern ist nur mit entsprechenden Informations-pflichten zu fassen (Erster Teil, Ziff.4.5.1). Eine breit angelegte Prüfaktion von Autowerkstätten zeigte Datenschutzmängel im Umgang mit den Fahrzeugdaten auf (Erster Teil, Ziff.4.5.3).

12. Im ersten Tätigkeitsbericht zum Informationsfreiheitsgesetz stelle ich die verfassungsrechtlichen Grundsätze sowie erste Erfahrungen aus der Praxis dar (Zweiter Teil, Ziff.1 bis3).

46. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
45. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
44. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
43. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
42. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
41. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
40. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
39. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
38. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
37. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
36. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten

Seiten

SERVICE