Tätigkeitsberichte des HBDI

Gemäß § 30 des Hessischen Datenschutzgesetzes (bis 24. Mai 2018) und Art. 59 der Verordnung (EU) Nr. 2016/679 (ab 25. Mai 2018) i.V.m. § 15 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) sowie § 89 HDSIG hat der Hessische Datenschutz- und Informationsfreiheitsbeauftragte (HBDI) zum 31. Dezember jeden Jahres dem Landtag und der Landesregierung einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen. Die hessische Landesregierung reagiert auf den Tätigkeitsbericht (TB) in einer Stellungnahme. Nachfolgend finden Sie die Tätigkeitsberichte und Stellungnahmen in chronologischer Reihenfolge.

Im Jahr 2011 wurde die Datenschutzaufsicht für den nicht öffentlichen Bereich vom Gesetzgeber auf den Hessischen Datenschutzbeauftragten übertragen. Bis zu diesem Zeitpunkt hat die Hessische Landesregierung jährlich einen Bericht über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich zuständigen Aufsichtsbehörde abgegeben. Die Berichte der Landesregierung stehen hierÖffnet sich in einem neuen Fenster zum Download zur Verfügung.

Kernpunkte des 51. Tätigkeitsberichts zum Datenschutz und des 5. Tätigkeitsberichts zur Informationsfreiheit

1. Für den Datenschutz in Hessen waren im Berichtszeitraum keine schwerwiegenden Verstöße festzustellen – ganz im Gegensatz zur Entwicklung in Deutschland oder in der Welt. In Hessen wurde Datenschutz weitgehend akzeptiert und nicht grundsätzlich in Frage gestellt. Dennoch sind in vielen Bereichen die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) noch immer nicht ausreichend umgesetzt, führen zu Beschwerden und erfordern das Eingreifen der Datenschutzaufsicht. Die meisten Verantwortlichen beseitigen datenschutzwidrige Zustände umgehend. Soweit dies nicht der Fall war, halfen förmliche Anordnungen, Durchsetzungsmaßnahmen und Sanktionen. Die Digitalisierung vieler Aufgaben und Tätigkeiten verursacht für die Verantwortlichen zusätzliche Pflichten, bringt zusätzliche Anforderungen mit sich und erfordert zusätzliche Aufmerksamkeit (Teil I Kap. 1).
2. Datenschutzrecht durchzusetzen, wird durch Techniksysteme, Dienstleistungen, Auftragnehmer und Geschäftsmodelle in Frage gestellt, die nicht den Anforderungen des Datenschutzes entsprechen, weil die Anbieter nicht in der Lage oder nicht willens sind, die europäischen Datenschutzanforderungen zu erfüllen. Verantwortliche in Hessen, die sie in Anspruch nehmen, sind im Regelfall nicht in der Lage, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu entsprechen. Daher kommt es darauf an, soweit möglich technisch-organisatorische Alternativen zu den aus dem Drittland angebotenen Hardware, Software, Diensten und Plattformen zu nutzen und dadurch digitale Souveränität zu erringen (Teil I Kap. 2). Hierzu konnten im Berichtsjahr im Bereich der Videokonferenzen deutliche Erfolge erzielt werden (Teil I Kap. 3).
3. Für die Weiterentwicklung des Datenschutzes in Hessen gewinnt die Europäisierung mit Entscheidungen des Europäischen Gerichtshofs (EuGH) und des Europäischen Datenschutzausschusses (EDSA) (Teil I Kap. 1 und 4) sowie die Juridifizierung des Datenschutzrechts mit einem leichten Anstieg der Bußgeldbescheide (von 29 im Jahr 2021 auf 113 im Jahr 2022) und Gerichtsverfahren (von 34 im Jahr 2021 auf 35 im Jahr 2022) (Teil I Kap. 1 und 5) zunehmend an Bedeutung. Dies erfordert stärkere Einflussnahme auf die europäischen Entwicklungen durch engagierte Mitarbeit in Arbeitskreisen des EDSA und den Ausbau des Justiziariats zur Bewältigung der zusätzlichen Prozessverfahren.
4. Während in den beiden Vorjahren die Corona-Pandemie die Arbeit der Datenschutzaufsicht sehr stark prägte, änderte sich dies im Jahr 2022. Die Corona-Pandemie ebbte im Laufe des Jahres ab, neue Schutzmaßnahmen kamen nicht mehr dazu, sie wurden im Gegenteil nach und nach abgebaut. Damit reduzierten sich auch die mit ihnen verbundenen Datenschutzprobleme.
5. Nach wie vor war ein zentraler Schwerpunkt der Aufsichtstätigkeit die Bearbeitung von Beschwerden, Nachfragen und Beratungen zur Ausübung von Betroffenenrechten sowie zur Unterstützung von Verantwortlichen. Die Zahl der schriftlich zu bearbeitenden Vorgänge stabilisiert sich fünf Jahre nach dem Wirksamwerden der DS-GVO auf einem sehr hohen Niveau. Sie sank leicht von 8.404 auf 6.836. Durch die zunehmende Digitalisierung wird die Bearbeitung der Vorgänge aber qualitativ anspruchsvoller. Große Digitalisierungsprojekte, wie z. B. die Umsetzung des Onlinezugangsgesetzes oder das Hessische Schulportal schlagen in der Statistik nicht in dem Ausmaß zu Buche, wie sie meine Behörde tatsächlich beschäftigen (Teil I Kap. 19).
6. Meldungen von Datenschutzverstößen gemäß Art. 33 DS-GVO bilden mittlerweile einen Großteil der reaktiven Tätigkeit meiner Aufsichtsbehörde. Neue Formen von Cyberkriminalität wie Phishing- und Ransomware-Angriffe, das Ausnutzen von Sicherheitsschwachstellen und das Veröffentlichen personenbezogener Daten im Darknet nahmen im Berichtszeitraum leicht ab (von 2.016 im Jahr 2021 auf 1.754 im Jahr 2022), verursachten aber weiterhin neue Gefährdungen der betroffenen Personen und der Verantwortlichen (Teil 1 Kap. 17).
7. In den Verwaltungsbehörden des Landes und der Kommunen werden derzeit große und anspruchsvolle Digitalisierungsprojekte konzipiert, geplant und umgesetzt, die eine intensive Beteiligung und kritische Mitarbeit der Datenschutzaufsicht erfordern (Teil I Kap. 7).
8. Die Schulen und Hochschulen waren vor allem geprägt durch starke Entwicklungen zu mehr Digitalisierung von Unterricht und Prüfungen, Lehre und Lernen. Beim Einsatz von datenschutzgerechten Videokonferenzsystemen konnten große Fortschritte erzielt werden (Teil I Kap. 3). Im Schulbereich begleitete ich die Entwicklungen des Hessischen Schulportals und weiterer Digitalisierungsprojekte (Teil I Kap. 8).
9. Die Digitalisierung der Arbeit führt dazu, dass in Beschäftigtenverhältnissen die Arbeitgeber immer intensiver die Leistung und das Verhalten der Beschäftigten überwachen können. In diesem Bereich musste meine Behörde in mehreren Fällen korrigierend eingreifen (Teil I Kap. 11).
10. Die partielle Volkszählung 2022 wurde von mir intensiv begleitet und kontrolliert. Außer kleineren Nachlässigkeiten waren keine gravierenden Datenschutzverstöße festzustellen (Teil I Kap. 9).
11. Bei der Polizei, dem Landesamt für Verfassungsschutz und mehreren Staatsanwaltschaften stellten Datenschutzprüfungen keine gravierenden Verstöße gegen datenschutzrechtliche Vorgaben fest. Kritische Anmerkungen habe ich zur geplanten Novelle des HSOG Gesetzgebungsverfahren sowie zur gesetzlichen Grundlage für eine umfassende Auswertung aller polizeilichen Datensammlungen in einem Verfassungsbeschwerdeverfahren vor dem Bundesverfassungsgericht vorgetragen (Teil I Kap. 6).
12. Hinsichtlich der Internetnutzung musste ich viele Verstöße durch Profilbildungen mit Hilfe von Cookies, durch die Geschäftsmodelle von Social Media und durch Werbemaßnahmen feststellen (Teil I Kap. 12).
13. Im Bereich der privaten Wirtschaft musste ich vielen Detailfragen zu Datenverarbeitungen bei Banken, Auskunfteien, Steuerberatern und unterschiedlichen Unternehmen nachgehen (Teil I Kap. 14).
14. Im Gesundheitsbereich waren im ersten Halbjahr 2022 noch einige Datenschutzverstöße im Kontext der Corona-Pandemie zu verfolgen. Stärker waren jedoch Probleme der Digitalisierung zu bearbeiten wie etwa zur Patientenakte, zum Upload medizinischer Bilder oder zur elektronischen Auskunftserteilung (Teil I Kap. 15).
15. Ein Schwerpunktthema im Berichtszeitraum war die Unterstützung der Forschung durch Datenschutz. In diesem Bereich waren Lösungen zu finden, die Forschungsprojekte im Allgemeininteresse ermöglichen, zugleich aber durch überzeugende Datenschutzmaßnahmen das Vertrauen der Patienten gewinnen (Teil I Kap. 16).
16. Obwohl die Informationsfreiheit in Hessen immer noch nur in der Landesverwaltung und wenigen Gemeinden und Landkreisen gilt, hatte ich als Informationsfreiheitsbeauftragter im Berichtsjahr viele interessante Fragen zur Informationsfreiheit zu beantworten und unterstützte viele Bürgerinnen und Bürger bei der Durchsetzung ihrer Ansprüche. Außerdem beteiligte ich mich an der rechtspolitischen Fortentwicklung der Informationsfreiheit und arbeitete in der Konferenz der Informationsfreiheitsbeauftragten (IFK) mit (Teil II). Beschwerden und Beratungen sanken leicht von 123 auf 110.