Tätigkeitsberichte

Gemäß § 30 des Hessischen Datenschutzgesetzes (bis 24. Mai 2018) und Art. 59 der Verordnung (EU) Nr. 2016/679 (ab 25. Mai 2018) i.V.m. § 15 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) sowie § 89 HDSIG hat der Hessische Datenschutz- und Informationsfreiheitsbeauftragte (HBDI) zum 31. Dezember jeden Jahres dem Landtag und der Landesregierung einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen. Nachfolgend finden Sie die Tätigkeitsberichte in chronologischer Reihenfolge.

50. TB zum Datenschutz und 4. TB zur Informationsfreiheit des HBDI

Kernpunkte

1. Für den Datenschutz in Hessen waren im Berichtszeitraum keine schwerwiegenden Verstöße festzustellen – ganz im Gegensatz zur Entwicklung in Deutschland oder in der Welt. In Hessen wurde Datenschutz weitgehend akzeptiert und nicht grundsätzlich in Frage gestellt. Dennoch sind in vielen Bereichen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) noch immer nicht ausreichend umgesetzt, führen zu Beschwerden, erfordern das Eingreifen der Datenschutzaufsicht sowie Anordnungen und Durchsetzungsmaßnahmen im Einzelfall. Die Digitalisierung vieler Aufgaben und Tätigkeiten verursacht für die Verantwortlichen zusätzliche Pflichten, bringt zusätzliche Anforderungen mit sich und erfordert zusätzliche Aufmerksamkeit (Teil I Ziff. 1).

2. Für die Weiterentwicklung des Datenschutzes in Hessen gewinnen die Europäisierung mit Entscheidungen des Europäischen Gerichtshofs (EuGH) und des Europäischen Datenschutzausschusses (EDSA) (Teil I Ziff. 1 und 5) sowie die Juridifizierung des Datenschutzrechts mit einem deutlichen Anstieg der Bußgeldbescheide (von 2 im Jahr 2020 auf 29 im Jahr 2021) und unter Einbeziehung der Gerichte (Teil I Ziff. 1 und 6) zunehmend an Bedeutung. Dies erfordert stärkere Einflussnahme auf die europäischen Entwicklungen durch engagierte Mitarbeit in Arbeitskreisen des EDSA und den Ausbau des Justiziariats zur Bewältigung der zusätzlichen Prozessverfahren.

3. Die vielfältigen Datenschutzfragen bei der Umsetzung der Corona-Schutzmaßnahmen führten in vielen alltäglichen Lebensbereichen zu datenschutzrechtlichen Beschwerden, Nachfragen und Beratungen von Betroffenen und für die Datenverarbeitung Verantwortlichen (Teil I Ziff. 1 und 2). Außerdem waren zusätzliche Maßnahmen erforderlich, um die zu Beginn der Pandemie getroffenen Entscheidungen zum Umgang mit den neuen Herausforderungen, die in der Situation verständlich, im Ergebnis aber datenschutzwidrig waren, nach und nach zu korrigieren (Teil I Ziff. 1 und 4.2).

4. Nach wie vor war ein zentraler Schwerpunkt der Aufsichtstätigkeit die Bearbeitung von Beschwerden, Nachfragen und Beratungen zur Ausübung von Betroffenenrechten sowie zur Unterstützung von Verantwortlichen. Ihre Zahl stabilisiert sich vier Jahre nach dem Wirksamwerden der DSGVO auf einem sehr hohen Niveau, qualitativ werden sie anspruchsvoller. Einfachere Fragen, wie etwa zu Informationspflichten und Auskunftsrechten, gehen zurück und mit ihnen telefonische Beratungen (von mehr als 10 Minuten) (von 9.444 auf 6.384). Dagegen nahmen schwierigere Bearbeitungen und mit ihnen die dokumentierten Eingaben immer noch leicht zu (von 7.991 auf 8.404). Große Digitalisierungsprojekte, wie z. B. die Umsetzung des Onlinezugangsgesetzes oder das Hessische Schulportal, schlagen in der Statistik nicht in dem Ausmaß zu Buche, wie sie meine Behörde tatsächlich beschäftigen (Teil I Ziff. 19).

5. Meldungen von Datenschutzpannen und Datenschutzverletzungengemäß Art. 33 DS-GVO bilden mittlerweile einen Großteil der reaktiven Tätigkeit meiner Aufsichtsbehörde. Neue Formen von Cyberkriminalität wie Phishing- und Ransomware-Angriffe, das Ausnutzen von Sicherheitsschwachstellen und das Veröffentlichen personenbezogener Daten im Darknet verursachten neue Gefährdungen der betroffenen Personen und der Verantwortlichen und führten zu einem Anstieg der Meldungen (von 1.432 auf 2.016) (Teil 1 Ziff. 17).

6. In den Verwaltungsbehörden des Landes und der Kommunen werden derzeit große und anspruchsvolle Digitalisierungsprojekte konzipiert, geplant und umgesetzt, die eine intensive Beteiligung und kritische Mitarbeit der Datenschutzaufsicht erfordern (Teil I Ziff. 8).

7. Die Schulen und Hochschulen waren vor allem geprägt durch starke Entwicklungen zu mehr Digitalisierung von Unterricht und Prüfungen, Lehre und Lernen. Neben dem Einsatz von Videokonferenzsystemen (Teil I Ziff. 4) betraf dies z. B.  Geräteausleihen, Lernhilfen und Fernprüfungen. Im Schulbereich begleitete ich die Entwicklungen des Hessischen Schulportals und beriet zu den datenschutzrechtlichen Vorschriften des neuen Schulgesetzes (Teil I Ziff. 9).

8. Die Digitalisierung der Arbeit führt dazu, dass in Beschäftigtenverhältnissen die Arbeitgeber immer intensiver die Leistung und das Verhalten der Beschäftigten überwachen können. In diesem Bereich musste meineBehörde in mehreren Fällen korrigierend eingreifen (Teil I Ziff. 11).

9. Im Bereich der Videoüberwachung durch Polizei und Gefahrenabwehrbehörden, aber noch mehr durch private Unternehmen und im Nachbarschaftsverhältnis musste meine Behörde immer wieder streitschlichtend eingreifen (Teil I Ziff. 7 und 13).

10.  Im Bereich der privaten Wirtschaft musste ich vielen Beschwerden insbesondere zu Rechten betroffener Personen wie dem Auskunftsanspruch (Teil I Ziff. 14) und zur Verarbeitung von Anschriftendaten durch Auskunfteien und Inkassounternehmen (Teil I Ziff. 15) nachgehen.

11. Im Gesundheitswesen war die Datenschutzaufsicht stark durch die Datenverarbeitung im Kontext der Corona-Pandemie belastet (Teil I Ziff. 2). Aber auch Probleme etwa zur Wahrung des Patientengeheimnisses, der Übermittlung von Patientendaten und der Aufbewahrung von Patientenakten mussten gelöst werden. (Teil I Ziff. 17).

12. Obwohl die Informationsfreiheit in Hessen immer noch nur in der Landesverwaltung und wenigen Gemeinden und Landkreisen gilt, hatte ich als Informationsfreiheitsbeauftragter im Berichtsjahr viele interessante Fragen zur Informationsfreiheit zu beantworten und unterstützte ich viele Bürgerinnen und Bürger bei der Durchsetzung ihrer Ansprüche (Teil II Ziff. 2 und 3). Außerdem beteiligte ich mich an der rechtspolitischen Fortentwicklung der Informationsfreiheit (Teil II Ziff. 5) und arbeitete in der
Konferenz der Informationsfreiheitsbeauftragten (IFK) mit (Teil II Anhang).

13. Beschwerden und Beratungen stiegen leicht (von 111 auf 123).

49. TB zum Datenschutz und 3. TB zur Informationsfreiheit des HBDI
48. TB zum Datenschutz und 2. TB zur Informationsfreiheit des HBDI
47. TB zum Datenschutz und 1. TB zur Informationsfreiheit des HBDI
46. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
45. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
44. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
43. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
42. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
41. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
40. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
39. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten

Seiten

SERVICE