Tätigkeitsberichte des HBDI

Kernpunkte des 54. Tätigkeitsberichts zum Datenschutz und des 8. Tätigkeitsberichts zur Informationsfreiheit

1. Die Datenschutzaufsicht in Hessen war im Jahr 2025 von einer sehr hohen Zunahme von Eingaben, insbesondere Beschwerden geprägt. Diese sind in diesem Jahr insgesamt von 3.839 auf 6.070, also um 58 % angestiegen. In bestimmten Bereichen nahmen die Fallzahlen noch stärker zu: Die Beschwerden stiegen in den Sachgebieten Auskunfteien von 503 auf 1613 (um 221 %), Videobeobachtung von 295 auf 539 (um 83 %) und Beschäftigtendatenschutz von 287 auf 525 (um 83 %) (Teil 1 Kap. 18). Die gestiegenen Fallzahlen zeigen, dass der Datenschutz in einer zunehmend digitalisierten Welt in der Wahrnehmung von Bürgerinnen und Bürgern immer mehr an Bedeutung gewinnt: Betroffene legen mehr Wert auf ihre Persönlichkeitsrechte und fordern die Unterstützung und den Schutz durch die Datenschutzaufsicht. Zugleich suchen öffentliche und nicht-öffentliche Stellen nach Rechtssicherheit und wenden sich mit Beratungsanfragen an mich.
2. Wir befassen uns mit allen Beschwerden. Soweit wir Verstöße feststellen, sorgen wir für Abhilfe. Die meisten Verantwortlichen beseitigen nach einem Hinweis auf datenschutzwidrige Zustände diese umgehend. Eine formelle Maßnahme ist dann entbehrlich. Soweit dies nicht der Fall ist, helfen förmliche Anordnungen, Durchsetzungsmaßnahmen und Sanktionen. Die Zahl der Anordnungen stieg von 115 im Vorjahr auf 124 im Berichtsjahr, davon – wie im Vorjahr– 47 Geldbußen. Die Gerichtsverfahren nahmen von 37 im Jahr 2024 auf 50 im Jahr 2025 zu (Teil I Kap. 3). Grundsätzlich ist festzuhalten: Datenschutz wird in Hessen akzeptiert und nicht in Frage gestellt. Schwerwiegende Verstöße waren im Berichtszeitraum nicht festzustellen.
3. Die zunehmende Inanspruchnahme der Datenschutzaufsicht ist nicht nur ein Indikator für die Bedeutung, die Bürgerinnen und Bürger ihren Persönlichkeitsrechten zumessen. Sie führt auch zu einer steigenden Überlastung. Nicht nur ist die Zahl der schriftlichen Eingaben (Beschwerden, Beratungen und Hinweise) im Jahr 2025 um 48 % auf 8.488 angestiegen, nachdem diese bereits im Vorjahr um 10 % zugenommen hatte. Auch die Zahl der gemeldeten Datenpannen, die hinzuzurechnen ist, stieg um 28 % auf 2.730. Zudem werden durch die zunehmende Digitalisierung aller Lebensbereiche die Aufklärungen, Beratungen und Hilfestellungen qualitativ anspruchsvoller. Dadurch stieg die Arbeitsbelastung noch stärker als die Zahl der Vorgänge. Dennoch ist die Zahl der Mitarbeitenden in der Aufsichtsbehörde in den letzten Jahren gleich geblieben. Vor diesem Hintergrund haben wir vielfältige Maßnahmen zur Steigerung der Effizienz in der Fallbearbeitung eingeleitet oder bereits umgesetzt. Trotzdem wird es immer schwieriger, den gesetzlichen Aufgaben und Anforderungen der Datenschutz-Grundverordnung (DS-GVO) – etwa hinsichtlich einer angemessenen Frist zur Bearbeitung von Beschwerden – sowie den berechtigten Erwartungen von Bürgerinnen und Bürgern gerecht zu werden. Für die künftige Bearbeitung der Beschwerden, Hinweise, Beratungen und Datenpannenmeldungen werden Priorisierungen bei der Vorgangsbearbeitung nach dem jeweiligen konkreten Schutzbedarf der betroffenen Grundrechte und längere Bearbeitungszeiten unvermeidbar sein.
4. Datenverarbeitung in hessischen Unternehmen und Behörden ist stark abhängig von den IT-Systemen und -Dienstleistungen internationaler Digitalkonzerne – hauptsächlich aus den USA und China. Dies wird sich durch die zunehmende Nutzung von Systemen Künstlicher Intelligenz noch verstärken. Diese Abhängigkeit hat aus Sicht des Datenschutzes zwei Nachteile: Zum einen entsprechen diese Systeme und Dienstleistungen meist nicht den Anforderungen der DS-GVO. Dies hat die Folge, dass auch Verantwortliche in Hessen, die diese Techniken und Dienste nutzen, ihre datenschutzrechtlichen Pflichten nicht erfüllen können. Zum anderen erhöht die Abhängigkeit das Erpressungspotenzial anderer Staaten, auf notwendige Regelungen auch im Datenschutz und ihre Anwendung auf die Digitalkonzerne zu verzichten. Daher kommt es darauf an, soweit möglich technisch-organisatorische Alternativen zu diesen Systemen und Diensten zu nutzen und dadurch digitale Souveränität zu erringen und datenschutzgerechte Datenverarbeitung zu gewährleisten.
5. Soweit und solange diese Abhängigkeit besteht, kommt es darauf an, eine Anpassung von Angeboten und Vertragsregelungen an die europäischen Datenschutzanforderungen zu erreichen. Daher ist es ein wichtiger Schritt zu mehr Rechtssicherheit, dass es mir in intensiven und schwierigen Gesprächen mit Microsoft gelungen ist, Wege zu finden, wie die Nutzer von Microsoft 365 in Hessen ihre Datenverarbeitung datenschutzgerecht durchführen können. Hierfür hat Microsoft sein Data Protection Addendum und seine Datenverarbeitung verändert und den Nutzern zusätzliche Informationen und Handlungsmöglichkeiten zur Verfügung gestellt. Dies ermöglicht den Nutzern, ihren notwendigen Beitrag zur datenschutzgerechten Nutzung zu leisten (Teil 1 Kap. 1.5 und 16.2).
6. Das Datenschutzrecht wird vor allem durch die europäische DS-GVO geprägt. Auch für die Weiterentwicklung des Datenschutzes in Hessen ist entscheidend, wie die unbestimmten Rechtsbegriffe und die inhaltlich offenen Rechtsregeln dieser Unionsverordnung verstanden werden und wie die Erfüllung dieser Vorgaben praktisch möglich ist. Im Berichtsjahr hat der Europäische Datenschutzausschuss (EDSA) mit vielen Leitlinien, Empfehlungen und Stellungnahmen zu einer weiteren Konsolidierung des Datenschutzrechts und zu einem unionsweit einheitlichen Vollzug beigetragen. Um auf diese Entwicklung Einfluss zu nehmen, bringen sich Mitarbeitende meiner Behörde – vor allem durch engagierte Mitarbeit in Arbeitskreisen des EDSA – in die europäischen Diskussionen ein. Die Anzahl der europaweiten Verfahren, an denen ich beteiligt war, ist von 848 im Jahr 2024 auf 1.589 im Jahr 2025 gestiegen. (Teil I Kap. 2.1).
7. Die Meldungen von Datenschutzverstößen gemäß Art. 33 DS-GVO nahmen im Berichtszeitraum um 28 % zu: von 2.141 im Jahr 2024 auf 2.730 im Jahr 2025. Dies ist die bisher höchste Zahl gemeldeter Datenschutzverstöße. Sie zu analysieren und zu bewerten und vor allem dazu beizutragen, sie in ihrem Schadenspotenzial zu beschränken und ihre Wiederholung zu verhindern, ist ein weiterer Arbeitsschwerpunkt der Aufsichtstätigkeit. Angriffe auf IT-Systeme nahmen quantitativ um 30 % von 482 im Jahr 2024 auf 625 im Jahr 2025 zu und werden qualitativ immer raffinierter und professioneller. Sie richten sich zunehmend gegen Auftragsverarbeiter, die für viele Unternehmen und Behörden arbeiten, und verstärken damit das Schadenspotenzial (Teil 1 Kap. 16.8).
8. Nach der neuen Rechtsprechung des EuGH unterfällt die gesamte Datenverarbeitung des Hessischen Landtages, seiner Fraktionen, seiner Ausschüsse und seiner Abgeordneten der DS-GVO und ich übe die Datenschutzaufsicht über diese öffentlichen Stellen aus. Daher habe ich Handlungsempfehlungen für sie erarbeitet, die ihnen für typische Situationen zeigen sollen, wie Datenschutz im Hessischen Landtag umgesetzt werden kann (Teil I Kap. 5.1). Die Ergänzungen des Abgeordneten- und des Fraktionsgesetzes, um den Landtag gegen Mitarbeitende zu schützen, die parlamentarische Schutzgüter gefährden, sind mit Datenschutzrecht vereinbar (Teil I Kap. 5.2).
9. Polizei, Verfassungsschutz und Staatsanwaltschaften haben weitreichende Befugnisse zur Verarbeitung personenbezogener Daten, die zu tiefen Eingriffen in das Grundrecht auf informationelle Selbstbestimmung der betroffenen Personen führen können. Diese Befugnisse sind jedoch immer an einschränkende gesetzliche Voraussetzungen gebunden. Datenschutzprüfungen bei der Polizei, dem Landesamt für Verfassungsschutz und einer Staatsanwaltschaft stellten fest, dass die datenschutzrechtlichen Vorgaben weitgehend eingehalten wurden. Ihre gesetzliche Festlegung war Gegenstand meiner kritischen Stellungnahme im Gesetzgebungsverfahren zur Änderung des Hessischen Verfassungsschutzgesetzes (Teil I Kap. 4).
10. In den Verwaltungsbehörden des Landes sowie der Landkreise, Städte und Gemeinden werden überwiegend personenbezogene Daten verarbeitet. Sowohl die Datenverarbeitung als auch der datenschutzrechtliche Rahmen werden weiterentwickelt. Die Verwaltung setzt auch neue Techniken ein, wie etwa Luftbilder durch Drohnen für die Ermittlung von Abwassergebühren. Daneben ergaben sich immer wieder grundlegende Fragen zum Datenschutz in der Verwaltung (Teil I Kap. 6).
11. Das Hessische Landesarchiv bewahrt Dokumente auf, die für das Verständnis der gesellschaftlichen und politischen Entwicklung Hessens von Bedeutung sein können. Für das dadurch entstehende Spannungsverhältnis zum Datenschutz wurde mit dem Landesarchiv eine Lösung gefunden (Teil I Kap. 7.1). Zur Unterstützung langfristig kranker Kinder werden in manchen hessischen Schulen Avatare eingesetzt, die diese Kinder im Klassenzimmer vertreten sollen. Unter bestimmten Voraussetzungen ist dies mit dem Datenschutzrecht vereinbar (Teil I Kap. 7.2).
12. Im Bereich des Beschäftigtendatenschutzes erhalte ich viele Beschwerden, die es oft erfordern, korrigierend einzugreifen. Dies gilt insbesondere für Fälle, in denen das Verhalten und die Leistung von Beschäftigten überwacht werden. Zu berücksichtigen ist aber auch, dass Arbeitgeber ihre berechtigten und überwiegenden Interessen wahrnehmen können, etwa um Daten über Straftaten eines Beschäftigten zu verarbeiten (Teil I Kap. 8).
13. Die Rechtsentwicklungen in der EU und in anderen Bundesländern zeigen an, dass ein spezifischer Rechtsrahmen erforderlich ist, um Hindernisse und Rechtsunsicherheiten für den Einsatz Künstlicher Intelligenz (KI) in der öffentlichen Verwaltung zu beseitigen. Für diese zeigt sich, dass die Anwendung von Retrieval Augmented Generation (RAG) bei der Nutzung von intelligenten Sprachmodellen besondere Vorteile für lokale Problemlösungen, digitale Souveränität und Datenschutz ermöglicht. Ich biete für die Verwaltung in Hessen vielfach Fortbildungen für den datenschutzgerechten KI-Einsatz in der öffentlichen Verwaltung an (Teil I Kap. 9).
14. Viele Privatpersonen nutzen Onlinedienste, um Daten, Bilder und Filme einer großen Anzahl von Empfängern zugänglich zu machen. Sie überschreiten damit die Grenze der rein privaten Datenverarbeitung und unterfallen dadurch der DS-GVO, ohne sich dessen bewusst zu sein. Sie sind auch meist nicht in der Lage, die datenschutzrechtlichen Anforderungen für diese Form der Datenverarbeitung zu erfüllen (Teil I Kap. 10).
15. Im Bereich Werbung und Adresshandel musste ich mehrfach intervenieren, weil Unternehmen personenbezogene Daten, die sie für andere Zwecke erhalten haben, unzulässigerweise für Werbezwecke verwendet haben. Vielfach wurden auch Werbewidersprüche ignoriert, weil die Unternehmen für die automatisierte Bearbeitung ungeeignete technisch-organisatorische Maßnahmen eingesetzt haben. Daten, die sie rechtmäßig erhalten haben, dürfen sie für Werbezwecke nicht zeitlich unbegrenzt einsetzen (Teil I Kap. 11).
16. Im Bereich der Wirtschaft waren die neuen Verhaltensregeln für die Prüf- und Speicherfristen von rechtmäßig gespeicherten personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien Gegenstand mehrerer gerichtlicher Verfahren. Eine Entscheidung des Bundesgerichtshofs hat schließlich festgestellt, dass diese Verhaltensregeln im Regelfall einen angemessenen Interessenausgleich enthalten. Erfolgen Datenverstöße im Rahmen des internationalen Wirtschaftsverkehrs, stoßen meine Möglichkeiten, den betroffenen Personen zu helfen, auf rechtliche und praktische Schwierigkeiten (Teil I Kap. 13).
17. Im Gesundheitsbereich konnte ich den Aufbau einer Treuhandstelle beratend unterstützen, die die mehrfache Nutzung von Gesundheitsdaten durch verschiedene Stellen in der Gesundheitsversorgung und der Gesundheitsforschung datenschutzgerecht ermöglicht. Auch beriet ich Ärzte, die aus einer Gemeinschaftspraxis ausscheiden wollten, wie sie dabei verfahren müssen, um die Patientenakten ausreichend zu schützen. Im Berichtszeitraum war es wieder vielfach notwendig, zum Schutz von Patientendaten in Kliniken, Arztpraxen und Apotheken zu intervenieren. Um das Patientengeheimnis zu wahren und die notwendige Vertraulichkeit sicherzustellen, sind im Anmeldebereich von Arztpraxen und Notaufnahmen geeignete bauliche und organisatorische Maßnahmen notwendig (Teil I Kap. 14).
18. Mir ist es wichtig, die datenschutzkonforme wissenschaftliche Forschung durch konstruktive Hilfen zu unterstützen. Hierzu zählen die von mir initiierten Anwendungshinweise der DSK zum Drittstaatentransfer in der medizinischen Forschung, Erleichterungen für die gemeinsame Verarbeitung von Gesundheitsdaten durch Forschungseinrichtungen und der datenschutzgerechte Zugang zu Daten sehr großer Online-Plattformen und Suchmaschinen. Zusammen mit der Deutschen Gesellschaft für Innere Medizin (DGMI) habe ich einen Leitfaden für Datenschutz in der medizinischen Forschung erarbeitet, der für medizinische Forschungsprojekte mehr Rechtssicherheit gewährleisten kann (Teil I Kap. 15).
19. Zur Auswahl, zur Gestaltung und zum Einsatz von Software und IT-Diensten bei Unternehmen und Behörden, zu angemessenen technischen und organisatorischen Schutzmaßnahmen, zur Nutzung von Microsoft 365 und zur Einführung der Bezahlkarte für Asylsuchende hat meine Behörde viele Beratungen durchgeführt. Zur Analyse von Datenveröffentlichungen im Darknet und für Webseiten-Checks für Vereine hat sie jeweils ein technisches Werkzeug entwickelt. Datenschutzverletzungen größeren Ausmaßes wie z. B. Ransomware-Angriffe auf Pflegeeinrichtungen, Datenpreisgaben bei einem Luftfahrtkonzern und Datenschutzvorfälle durch Phishing erforderten besondere Prüfungen (Teil I Kap. 16).
20. Obwohl die Informationsfreiheit in Hessen immer noch nur in der Landesverwaltung und in wenigen Gemeinden und Landkreisen gilt, hatte ich als Informationsfreiheitsbeauftragter im Berichtsjahr viele interessante Fragen zur Informationsfreiheit zu beantworten und unterstützte viele Bürgerinnen und Bürger bei der Durchsetzung ihrer Ansprüche. Die Informationsfreiheit muss sich dynamisch an die rasanten Entwicklungen in Technik, Wirtschaft, Verwaltung und Gesellschaft anpassen. Die Digitalisierung der Verwaltung vermehrt zum einen die verfügbaren Informationen. Sie erzeugt damit Mehrwerte für die Nutzung dieser Informationen, die der Gesellschaft, insbesondere für die Forschung und weitere Allgemeininteressen, zur Verfügung gestellt werden müssen. Zum anderen erleichtert sie die Erfüllung von Informationsbegehren, insbesondere wenn sie Prinzipien der „Informationsfreiheit by Design“ beachtet. Für beides wird Künstliche Intelligenz grundlegende Veränderungen bringen. Im Berichtszeitraum entstanden neue gesetzliche Möglichkeiten für Gemeindevertretungen, Stadtverordnetenversammlungen und Kreistage, die Protokolle der Kommunalparlamente im Internet öffentlich zugänglich zu machen. Außerdem waren u. a. die Fragen zu beantworten, welche Auswirkungen es hat, wenn in amtlichen Informationen Geschäftsgeheimnisse enthalten sind, und ob Forschende im Rahmen eines Forschungsprojekts an einer öffentlichen Hochschule als natürliche Personen anzusehen sind, die sich auf die Informationsfreiheit berufen können (Teil II).