Tätigkeitsberichte

Gemäß § 30 des Hessischen Datenschutzgesetzes (bis 24. Mai 2018) und Art. 59 der Verordnung (EU) Nr. 2016/679 (ab 25. Mai 2018) i.V.m. § 15 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) sowie       § 89 HDSIG hat der Hessische Datenschutz- und Informationsfreiheitsbeauftragte (HBDI) zum 31. Dezember jeden Jahres dem Landtag und der Landesregierung einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen. Nachfolgend finden Sie die Tätigkeitsberichte in chronologischer Reihenfolge.

48. TB zum Datenschutz und 2. TB zur Informationsfreiheit des HBDI

Kernpunkte

1. Die DS-GVO verlangt einheitliches Vorgehen der Aufsichtsbehörden aller europäischen Ebenen und deren enge Zusammenarbeit. Meine Stabsstelle Europa fungiert dabei als Bindeglied für die Kommunikation auf Landes-, Bundes- und internationaler Ebene. Einen Einblick in die Tätigkeitsfelder liefert der Beitrag Ziff. I 3.2. Im Bereich der Technik ist der HBDI an der Erarbeitung einer Leitlinie zum Thema Blockchain in einer Expertengruppe des Europäischen Datenschutzausschusses beteiligt (Ziff. I 14.5). Ein einheitliches innerdeutsches Konzept zur Zumessung von Bußgeldern nach DS-GVO konnte von der Datenschutzkonferenz erarbeitet und veröffentlicht werden (Ziff. I 15.2 und Anhang I 3.1).

2. Weitere Resultate der Abstimmungsarbeit zur Vereinheitlichung der Durchsetzung der DS-GVO enthält mein diesjähriger Bericht zum Datenschutz im Anhang I Materialien. Da bis zum Erreichen tragbarer gemeinsamer Ergebnisse ein erheblicher Arbeitsaufwand meiner Mitarbeiterinnen und Mitarbeiter anfällt, soll darauf als weitere neue Tätigkeit des HBDI hingewiesen werden.

3. Die jährliche Überprüfung des Privacy Shields durch den Europäischen Datenschutzausschuss (EDSA) zeigt allmählich Fortschritte, wie z. B. die Besetzung des Amts der Ombudsperson. Allerdings sind nach wie vor viele Fragen in der praktischen Umsetzung offen (Ziff. I 3.1).

4. Seit Geltung der DS-GVO führt die Frage, ob und inwieweit eine Vereinbarung über eine Auftragsverarbeitung der Schriftform bedarf, zu Unsicherheiten bei den Anwendern. Der Beitrag Ziff. I 4.2 setzt sich mit den verschiedenen Rechtsansichten auseinander. Mit der Anpassung des Hessischen Datenverarbeitungsverbundsgesetz (DV-VerbundG) an die DS-GVO hat der hessische Gesetzgeber einen praktikablen Weg gefunden, die neuen Vorgaben hinsichtlich der Auftragsverarbeitung durch die HZD effektiv umzusetzen (Ziff. I 3.1).

5. Die zweckwidrige Verwendung personenbezogener Daten ist häufiger Beschwerdegegenstand. Ob im Bewerbungsverfahren (Ziff. I 4.4), bei Katasterauskünften an“ Dritte (Ziff. I 5.3), bei der Entsorgung von amtlichen Papieren und Unterlagen (Ziff. I 7.2) – stets war die Unkenntnis über den Geltungsbereich der Rechtsgrundlage oder Organisationsmängel Grund für die Datenschutzverletzung. Erheblich schwerer wiegt ein solcher Verstoß, wenn die Datenschutzverletzung trotz Kenntnis des Verbots zweckwidriger Verwendung erfolgte. Dies ist beim sogenannten Mitarbeiterexzess der Fall. In zwei Fällen führte private Neugier zur Verhängung eines Bußgelds (Ziff. I 15.1).

6. Datenschutzrechtlich tut sich im Bereich „Schule“ viel. Das Projekt Hessenbox ist abgeschlossen (Ziff. I 17.1). Das Hessische Schulportal entwickelt sich (Ziff. I 7.3). Der Einsatz von Office 365 im pädagogischen Bereich bleibt in der Prüfung (Ziff. I 7.4). Die Digitalisierung des Verfahrens der Schülerbeförderung ist datenschutzrechtlich zu prüfen (Ziff. I 7.5). Das Lehrerbildungsgesetz bedarf verbindlicher Datenverarbeitungsnormen (Ziff. I 7.1). Abgesehen von diesen Stichpunkten bleibt noch Vieles zu tun.

7. Im Gesundheitsbereich kam es zu ganz unterschiedlichen und teilweise ungewöhnlichen Fallkonstellationen, die mein Eingreifen erforderlich machten. So warf die Entsorgung von Altglas mit aufgeklebten Patientendaten einer Klinik Probleme auf (Ziff. I 9.2). In mehreren Fällen kam es durch eindringendes Wasser zu Schäden bei der Aufbewahrung von Patientendokumentationen (Ziff. I 9.3). Im frei zugänglichen „Service-Briefkasten“ einer Arztpraxis wurden auf Vertrauensbasis Rezepte und Überweisungen zur Abholung durch die betroffenen Patienten hinterlegt (Ziff. I 9.4). Eine Apotheke ging allzu freizügig mit Rezeptabholscheinen um (Ziff. I 9.6).

8. Das Thema Videoüberwachung erfasst mittlerweile viele Lebensbereiche. Fälle aus dem Pflegedienst, der Gastronomie, dem Schwimmbadbetrieb, der privaten Grundstücksüberwachung und auch aus dem kommunalen Bereich zur Bekämpfung „wilden Mülls“ werden unter Ziff. I 10 exemplarisch dargestellt.

9. Internetdiensten und über das Internet zugreifbaren Websites ist es immanent, dass sie datenschutzrechtlich problematisch sein können. Die Nutzung von integrierten Tools, kleinen Diensten, Identifizierungs- und Authentifizierungsverfahren, Verschlüsselung der Kommunikation, Chat-Applikationen sowie die Einbindung von Schnittstellen zu Auftragsverarbeitern und die Datenhaltung sind häufige Schwachstellen (Ziff. 8.3, 13, 14, 15.3). Bei der Prüfung sogenannter Phishing-Attacken fiel auf, dass sowohl die im Vorfeld zur Abwehr als auch die zur Behebung nach Bekanntwerden ergriffenen Maßnahmen nicht den Anforderungen der DS-GVO genügen (Ziff. I 4.3). Das neue Handbuch 2.0 zum Standard-Datenschutzmodell unterstützt Verantwortliche, geeignete technisch-organisatorische Maßnahmen zum Datenschutz einzubinden (Ziff. I 14.4).

10. Vom Informationsfreiheitsgesetz wird allmählich, teilweise auch in Kommunen, Gebrauch gemacht. Die Bewährungsprobe des Gesetzes steht noch bevor.

47. TB zum Datenschutz und 1. TB zur Informationsfreiheit des HBDI
46. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
45. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
44. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
43. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
42. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
41. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
40. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
39. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
38. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
37. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten

Seiten

SERVICE