Tätigkeitsberichte

Gemäß § 30 des Hessischen Datenschutzgesetzes hat der Hessische Datenschutzbeauftragte zum 31. Dezember jeden Jahres dem Landtag und der Landesregierung einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen. Nachfolgend finden Sie die Tätigkeitsberichte des Hessischen Datenschutzbeauftragten in chronologischer Reihenfolge.

Sechsundvierzigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten

Kernpunkte

1.    Die Vorbereitungen auf die neue Rechtslage nach Geltungsbeginn der Datenschutz-Grundverordnung (DS-GVO) waren im Berichtsjahr vordringliches Thema. Verantwortliche, behördliche und betriebliche Datenschutzbeauftragte müssen sich auf Änderungen einstellen (z. B. Ziff. 2.3, Ziff. 2.4). Die Aufsichtsbehörden haben für eine erste Orientierung gemeinsam Kurzpapiere zu verschiedenen Themen der DS-GVO erarbeitet und veröffentlicht (Ziff. 19).

2.    Auf EU-Ebene wird eine IT-Infrastruktur bereitgestellt werden, die die kooperativen Verfahren und das Kohärenzverfahren nach DS-GVO ermöglichen wird. In der zuständigen EU-Arbeitsgruppe, der IT Task Force, vertritt Hessen die Interessen aller Landesdatenschutzbehörden Deutschlands (Ziff. 4.2).

3.    Die erste Überprüfung des Privacy Shield hat stattgefunden. Es besteht datenschutzrechtlicher Nachbesserungsbedarf (Ziff. 4.1).

4.    Fragen zu den Rahmenbedingungen möglicher Auftragsdatenverarbeitung und Outsourcing im öffentlichen und nichtöffentlichen Bereich werden in den Beiträgen Ziff. 5.1 (Verkehrsüberwachung), Ziff. 7.4 (Gesundheitsbereich), Ziff. 8.5 (Sozialbereich) und Ziff. 15.4 (Übertragung hoheitlicher Aufgaben) behandelt.

5.    Im Gesundheitsbereich kommt es immer wieder zu Datenschutzverstößen, die wegen der Sensibilität der betroffenen Patientendaten besonders ärgerlich sind. Betroffen sind Kliniken (Ziff. 7.1, 7.3) ebenso, wie z. B. die Terminverwaltung in Arztpraxen (Ziff. 7.5). In einem klinischen Forschungsprojekt konnte ich dagegen vorab beratend die richtigen datenschutzrechtlichen Weichen stellen (Ziff. 7.2), gleiches galt bei einem beabsichtigten Forschungsvorhaben mit Adoptionsvermittlungsakten (Ziff. 8.4).

6.    Foto- und Videoaufnahmen sind nach wie vor Anlass zu Beschwerden. Bei diesem Thema werden die Schutzbereiche des Rechts auf informationelle Selbstbestimmung besonders deutlich. Betroffen sind nahezu alle Lebensbereiche: Kindertagesstätten (Ziff. 8.2), Schulen (Ziff. 9.5), öffentlich zugängliche Bereiche (Ziff. 11.3) und Verkehr (Ziff. 15.2).

7.    Die Digitalisierungswelle hat den Schulbereich erreicht:

Mit der frühzeitigen Einbindung der Aufsichtsbehörden in das Projekt „Digitales Lernen unterwegs“ kann ein anspruchsvolles Projekt im Bereich schulischer Betreuung von Kindern beruflich Reisender realisiert werden (Ziff. 9.2).           
Der Einsatz von Microsoft Office 365 an hessischen Schulen ist datenschutzrechtlich möglich (Ziff. 9.3).

8.    Die Hessenbox unterstützt mit einer Cloud-Speicherlösung den Austausch von Dokumenten an hessischen Hochschulen (Ziff. 16.1).

9.    Das Kopieren von Personalausweisen zum Abgleich und Feststellung von Identitäten geht schnell, ist verbreitet, aber nicht immer zulässig. Datenschutzrechtliche Bewertungen erfolgen zur neuen Gesetzeslage (Ziff. 3.1) sowie zu typischen Beschwerdefällen (Ziff. 11.1, Ziff. 13.2).

10.  Die Wirtschaft erhebt personenbezogene Daten von Kunden und Verbrauchern – absichtlich oder unabsichtlich – nicht immer in zulässiger Weise; so z. B. bei der Aufzeichnung von Gesprächsinhalten am Telefon (Ziff. 11.2), der Freischaltung eines DVB-T-Empfängers (Ziff. 11.5), bei der Buchung eines Ferienhauses (Ziff. 12.2). Allerdings verschiebt sich auch die gängige Erwartungshaltung von Kunden: Die Übermittlung von E-Mail-Adressen eines Kunden durch den Händler an Postdienstleister zu Zustellzwecken ist nicht unzulässig (Ziff. 12.1).

11.  Technische Maßnahmen sind für einen ausreichenden Datenschutz existentiell und stehen zunehmend im Fokus einer datenschutzrechtlichen Prüfung (Ziff. 12.3, Ziff. 16.2).

Fünfundvierzigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
Vierundvierzigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
Dreiundvierzigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
Zweiundvierzigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
Einundvierzigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
Vierzigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
Neununddreißigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
Achtunddreißigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
Siebenunddreißigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
Sechsunddreißigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten
Fünfunddreißigster Tätigkeitsbericht des Hessischen Datenschutzbeauftragten

Seiten

SERVICE