Tätigkeitsberichte des HBDI

Kernpunkte des 52. Tätigkeitsberichts zum Datenschutz und des 6. Tätigkeitsberichts zur Informationsfreiheit

1. Datenschutz wird in Hessen akzeptiert und nicht grundsätzlich in Frage gestellt. Schwerwiegenden Verstöße waren im Berichtszeitraum nicht festzustellen. Dennoch sind in vielen Bereichen die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) noch immer nicht ausreichend umgesetzt. In vielen Beschwerden machen daher Bürgerinnen und Bürger Verletzungen ihrer Grundrechte geltend. Die Datenschutzaufsicht geht diesen Beschwerden nach und stellt in berechtigten Fällen die Verstöße ab. Die meisten Verantwortlichen beseitigen datenschutzwidrige Zustände umgehend. Soweit dies nicht der Fall war, halfen förmliche Anordnungen, Durchsetzungsmaßnahmen und Sanktionen. Die Digitalisierung vieler Aufgaben und Tätigkeiten verursacht für die Verantwortlichen zusätzliche Pflichten, bringt zusätzliche Anforderungen mit sich und erfordert zusätzliche Aufmerksamkeit (Teil I Kap. 1).
2. Datenschutzrecht durchzusetzen, wird durch Techniksysteme, Dienstleistungen, Auftragnehmer und Geschäftsmodelle in Frage gestellt, die nicht den Anforderungen des Datenschutzes entsprechen, weil die Anbieter nicht in der Lage oder nicht willens sind, die europäischen Datenschutzanforderungen zu erfüllen. Verantwortliche in Hessen, die sie in Anspruch nehmen, sind im Regelfall nicht in der Lage, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu entsprechen. Daher kommt es darauf an, soweit möglich, technisch-organisatorische Alternativen zu den aus dem Drittland angebotenen Hardware, Software, Diensten und Plattformen zu nutzen und dadurch digitale Souveränität zu erringen (Teil I Kap. 1). 
   Als Datenschutzaufsicht bin ich dafür zuständig, die Umsetzung von Datenschutz zu überwachen und durchzusetzen. Je weiter die Digitalisierung nahezu alle Bereiche der Gesellschaft durchdringt, desto mehr erfordert diese Aufgabe angesichts der beschränkten Ausstattung der Aufsichtsbehörden ein strategisches und systematisches Vorgehen. Statt Einzelfälle zu verfolgen, können viele Datenverarbeitung betreffende Maßnahmen in vielen Tausend Fällen Grundrechtsverletzungen verhindern. Hierbei waren wir unterschiedlich erfolgreich. Als sehr schwierig erweist sich die Durchsetzung von Datenschutzrecht gegenüber internationalen Digital-Konzernen. Sie versuchen, die Verhaltensstandards in ihren Vertragsbedingungen als für sie geltende weltweite Rechtsregeln durchzusetzen. Sie wehren sich daher, aus ihrer Sicht regionale Rechtsregelungen zu befolgen, weil dies ein weltweit einheitliches Dienstangebot erschwert. Im Fokus der Aufsichtsbehörden stehen derzeit Facebook und Microsoft 365. Hier sind allenfalls kleine Erfolge zu verzeichnen. Im Gegensatz dazu werden in der hessischen Verwaltung die neue Datenschutzleitlinie, die Professionalisierung von Datenschutzbeauftragten und eine datenschutzgerechte Technikauswahl und -gestaltung helfen, Datenschutzanforderungen breit durchzusetzen (Teil 1 Kap. 1).
3. Für die Weiterentwicklung des Datenschutzes in Hessen gewinnt die Europäisierung zunehmend an Bedeutung. Im Berichtsjahr hat der Europäische Gerichtshof (EuGH) die Zahl seiner Entscheidungen zum Datenschutzrecht etwa verdoppelt und mit ihnen viele umstrittene Fragen geklärt. Die Europäische Kommission hat durch ihren Angemessenheitsbeschluss vom 10. Juli 2023 zum US-EU-Data-Privacy-Framework vorerst das Problem der Datenübermittlung in die USA gelöst. Auch der Europäische Datenschutzausschuss (EDSA) trägt zunehmend zu einer Konsolidierung des Datenschutzrechts und zu einem unionsweit einheitlichen Vollzug bei. Dies erfordert stärkere Einflussnahme auf die europäischen Entwicklungen durch engagierte Mitarbeit in Arbeitskreisen des EDSA. Die Anzahl der europaweiten Verfahren, an denen ich beteiligt war, hat von 982 in Jahr 2022 auf 1062 im Jahr 2023 zugenommen. (Teil I Kap. 1 und 2).
4. Die Aufsichtstätigkeit wird weiterhin stark durch eine Juridifizierung des Datenschutzes geprägt. Die Verfahren zur Verhängung von Geldbußen stiegen von 113 im Jahr 2022 auf 124 im Jahr 2023 an. Dagegen nahmen die Gerichtsverfahren von 35 im Jahr 2022 auf 27 im Jahr 2023 leicht ab (Teil I Kap. 3). Die Bedeutung des Justiziariats bleibt weiterhin hoch.
5. Nach wie vor war ein zentraler Schwerpunkt der Aufsichtstätigkeit die Bearbeitung von Beschwerden, Nachfragen und Beratungen zur Ausübung von Betroffenenrechten sowie zur Unterstützung von Verantwortlichen. Die Zahl der schriftlich zu bearbeitenden Vorgänge stabilisiert sich sechs Jahre nach dem Wirksamwerden der DS-GVO auf einem sehr hohen Niveau. Sie stieg leicht von 6.836 auf 7.162. Durch die zunehmende Digitalisierung wird die Bearbeitung der Vorgänge aber qualitativ anspruchsvoller. Große Digitalisierungsprojekte, wie z.B. die Umsetzung des Onlinezugangsgesetzes oder die Verwaltungscloud, und die Mitarbeit an der Bewertung großer IT-Plattformen, wie z.B. Facebook oder Microsoft 365, schlagen in der Statistik nicht in dem Ausmaß zu Buche, wie sie meine Behörde tatsächlich beschäftigen (Teil I Kap. 16).
6. Die Meldungen von Datenschutzverstößen gemäß Art. 33 DS-GVO nahmen im Berichtszeitraum wieder zu: von 1.754 im Jahr 2022 auf 1.934 im Jahr 2023. Sie haben damit wieder das Niveau des Jahres 2021 mit 2.016 Meldungen erreicht. Sie zu analysieren und zu bewerten und vor allem dazu beizutragen, sie in ihrem Schadenspotential zu beschränken und ihre Wiederholung zu verhindern, fordert einen Großteil meiner Ressourcen. Angriffe auf IT-Systeme nahmen quantitativ von 475 im Jahr 2022 auf 502 im Jahr 2023 zu und werden qualitativ immer raffinierter und professioneller. Sie richten sich zunehmend gegen Auftragsverarbeiter, die für viele Unternehmen und Behörden arbeiten, und verstärken damit das Schadenspotential (Teil 1 Kap. 14).
7. In den Verwaltungsbehörden des Landes und der Kommunen werden derzeit große und anspruchsvolle Projekte der Verwaltungsmodernisierung konzipiert, geplant und umgesetzt, die eine intensive Beteiligung und kritische Mitarbeit der Datenschutzaufsicht erfordern. Aber auch viele alltägliche Probleme des Datenschutzes in Kommunen und Landesbehörden mussten geklärt werden (Teil I Kap. 5).
8. In den Schulen schreitet die Digitalisierung von Unterricht und Lernen weiter voran. Daher war das Inkrafttreten der neuen Schuldatenschutz-Verordnung eine deutliche Verbesserung des Datenschutzrechts. Mit den Schulträgern konnte ihr datenschutzrechtliches Verhältnis zu den Schulen ebenso geklärt werden, wie ihre Verpflichtung zum Einsatz rechtmäßiger Regelungen zur Auftragsverarbeitung bei der Nutzung von Microsoft 365 (Teil I Kap. 6).
9. Die Digitalisierung der Arbeit führt dazu, dass in Beschäftigtenverhältnissen die Arbeitgeber immer intensiver die Leistung und das Verhalten der Beschäftigten überwachen können. In diesem Bereich musste meine Behörde in mehreren Fällen korrigierend eingreifen. Die Arbeit im Home-Office ist vielfach auch nach der Corona-Pandemie weiterhin üblich und verursacht viele Datenschutzfragen (Teil I Kap. 7).
10. Bei der Polizei, dem Landesamt für Verfassungsschutz und mehreren Staatsanwaltschaften stellten Datenschutzprüfungen keine gravierenden Verstöße gegen datenschutzrechtliche Vorgaben fest. Das Urteil des Bundesverfassungsgerichts zu hessenDATA erforderte eine Neufassung der Ermächtigungsgrundlage, die die Datenverarbeitung an die differenzierten Vorgaben des Gerichts anpassten. Im Gesetzgebungsverfahren zu den Novellen des HSOG und des HVSG habe ich kritische Anmerkungen vorgetragen, die zu einem großen Teil zu Änderungen in beiden Gesetzen geführt haben (Teil I Kap. 4).
11. Hinsichtlich der Internetnutzung musste ich mich am Beispiel von ChatGPT mit vielen neuen Datenschutzfragen bei Nutzung generativer Künstlicher Intelligenz befassen. Ein wichtiges Thema waren auch Abo-Modelle für Social Networks. Mit ihrer Hilfe wollen die Anbieter ihre rechtswidrige Verarbeitung von Nutzerdaten und deren Auswertung für Werbeprofile ohne Einwilligung der Nutzer ausgleichen. Da auch bei Abo-Modellen die Nutzerdaten weiterhin erhoben werden, bleibt diese Datenverarbeitung rechtwidrig (Teil I Kap. 8).
12. Im Bereich Werbung und Adresshandel mussten ich vielfach intervenieren, weil Datenschutzverstöße durch die Art der Datenerhebung, durch die unzureichende Umsetzung von Werbewidersprüchen und durch die fehlende Freiwilligkeit von Werbeeinwilligungen und mangelnde technisch-organisatorische Maßnahmen festzustellen waren (Teil I Kap. 9).
13. Im Bereich der privaten Kreditwirtschaft brachten die Urteile des Europäischen Gerichtshofs zum Bonitäts-Scoring der Auskunfteien und zur Verarbeitung von Daten zur Restschuldbefreiung neue Erkenntnisse, die dazu führten, dass ich die bisherigen Verhaltensregeln des Verbands „Die Wirtschaftsauskunfteien“ beanstandete. Darüber hinaus musste ich in vielen Detailfragen zu Datenverarbeitungen bei unterschiedlichen Unternehmen nachgehen (Teil I Kap. 11).
14. Im Gesundheitsbereich waren vielfältige Datenschutzfragen in Kliniken, Arztpraxen und Apotheken zu bearbeiten (Teil I Kap. 12).
15. Zusammen mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit leite ich die Taskforce Forschungsdaten, die im Berichtszeitraum mehrere wichtige Stellungnahmen der Datenschutzkonferenz vorbereitete. Im Bereich der Forschung unterstützten wir mehrere Forschungsprojekte und klärten zusammen mit der Initiative Gesundheitsindustrie Hessen spezifische Datenschutzfragen im Umgang mit Gesundheitsdaten (Teil I Kap. 13).
16. Obwohl die Informationsfreiheit in Hessen immer noch nur in der Landesverwaltung und wenigen Gemeinden und Landkreisen gilt, hatte ich als Informationsfreiheitsbeauftragter im Berichtsjahr viele interessante Fragen zur Informationsfreiheit zu beantworten und unterstützte viele Bürgerinnen und Bürger bei der Durchsetzung ihrer Ansprüche. Außerdem beteiligte ich mich an der rechtspolitischen Fortentwicklung der Informationsfreiheit und arbeitete in der Konferenz der Informationsfreiheitsbeauftragten (IFK) mit (Teil II Kap. 1). Beschwerden und Beratungen sanken leicht von 110 auf 99). Im Berichtsjahr hat der Landtag in Hessen ein Open-Data-Gesetz beschlossen (Teil II Kap. 2), dabei aber wie bei der Regelung zur Informationsfreiheit es den Gemeinden und Landkreisen überlassen, ob sie dieses Gesetz gegen sich gelten lassen wollen (Teil II Kap. 2). Bisher ist das Recht auf Informationsfreiheit bei rein wirtschaftlichen Interessen ausgeschlossen. Ich plädiere dafür, diese Ausnahme aufzuheben (Teil II Kap. 4). Die Kosten für die Geltendmachung eines Anspruchs auf Informationsfreiheit dürfen diesen nicht praktisch verhindern. Die Regelung in Hessen entspricht den Kostenregelungen im Bund und in anderen Bundesländern und erscheint für umfangreiche Recherchen nicht unbillig (Teil II Kap. 5).