Tätigkeitsberichte des HBDI

Kernpunkte des 53. Tätigkeitsberichts zum Datenschutz und des 7. Tätigkeitsberichts zur Informationsfreiheit

1. Datenschutz wird in Hessen akzeptiert und nicht grundsätzlich in Frage gestellt. Schwerwiegende Verstöße waren im Berichtszeitraum nicht festzustellen. Dennoch sind in vielen Bereichen die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) noch immer nicht ausreichend umgesetzt. In vielen Beschwerden machen daher Bürgerinnen und Bürger Verletzungen ihrer Grundrechte geltend. Im Berichtszeitraum sind diese weiter von 3.520 auf 3.839 gestiegen. Die Datenschutzaufsicht geht diesen Beschwerden nach und stellt, soweit sie Verstöße feststellt, diese ab. Die meisten Verantwortlichen beseitigen datenschutzwidrige Zustände umgehend. Soweit dies nicht der Fall war, halfen förmliche Anordnungen, Durchsetzungsmaßnahmen und Sanktionen. Die Digitalisierung vieler Aufgaben und Tätigkeiten verursacht für die Verantwortlichen zusätzliche Pflichten, bringt zusätzliche Anforderungen mit sich und erfordert zusätzliche Aufmerksamkeit (Teil I Kap. 1).
2. Datenverarbeitung in hessischen Unternehmen und Behörden ist stark abhängig von den IT-Systemen und -Dienstleistungen internationaler Digitalkonzerne – hauptsächlich aus USA und China. Dies wird sich durch die zunehmende Nutzung von Systemen Künstlicher Intelligenz noch verstärken. Diese Abhängigkeit hat zwei Nachteile: Zum einen entsprechen diese Systeme und Dienstleistungen meist nicht den Datenschutzanforderungen. Dies hat zur Folge, dass auch Verantwortliche in Hessen, die diese Techniken und Dienste nutzen, ihre datenschutzrechtlichen Pflichten nicht erfüllen können. Zum anderen erhöht die Abhängigkeit das Erpressungspotenzial anderer Staaten, auf notwendige Regelungen auch im Datenschutz und ihre Anwendung auf die Digitalkonzerne zu verzichten. Daher kommt es darauf an, soweit möglich technisch-organisatorische Alternativen zu diesen Systemen und Diensten zu nutzen und dadurch digitale Souveränität zu erringen und datenschutzgerechte Datenverarbeitung zu gewährleisten.
3. Soweit und solange diese Abhängigkeit besteht, kommt es darauf an, eine Anpassung von Angeboten und Vertragsregelungen an die europäischen Datenschutzanforderungen zu erreichen. Daher bin ich mit Microsoft in intensiven und schwierigen Gesprächen, die dieses Ziel verfolgen. Ge sucht wird nach Wegen, wie die Nutzer von Microsoft 365 in Hessen ihre Datenverarbeitung datenschutzgerecht durchführen können (Teil 1 Kap. 1).
4. Das Datenschutzrecht wird vor allem durch die europäische DS-GVO geprägt. Auch für die Weiterentwicklung des Datenschutzes in Hessen ist entscheidend, wie die unbestimmten Rechtsbegriffe und die inhaltlich offenen Rechtsregeln dieser Unionsverordnung verstanden werden. Im Berichtsjahr hat der Europäische Gerichtshof (EuGH) wieder in einer hohen Zahl von Entscheidungen zum Datenschutzrecht viele umstrittene Rechtsfragen geklärt. Auch der Europäische Datenschutzausschuss (EDSA) hat mit vielen Leitlinien, Empfehlungen und Stellungnahmen zu einer Konsolidierung des Datenschutzrechts und zu einem unionsweit einheitlichen Vollzug beigetragen. Wer auf diese Entwicklung Einfluss nehmen will, muss sich in die europäischen Diskussionen – vor allem durch engagierte Mitarbeit in Arbeitskreisen des EDSA – einbringen. Die Anzahl der europaweiten Verfahren, an denen ich beteiligt war, ist von 1.062 im Jahr 2023 auf 848 im Jahr 2024 gesunken. (Teil I Kap. 1 und Kap. 2).
5. Die Aufsichtstätigkeit wird weiterhin stark durch die Verwaltungsverfahren zur Aufklärung von Beschwerden und deren gerichtliche Kontrolle geprägt. Hierzu hat der EuGH wichtige Feststellungen getroffen, die den Ermessensspielraum der Aufsichtsbehörden bestimmen (Teil I Kap. 1). Die Zahl der verhängten Geldbußen sank von 124 im Jahr 2023 auf 47 im Jahr 2024. Dagegen nahmen die Gerichtsverfahren von 27 im Jahr 2023 auf 37 im Jahr 2024 zu (Teil I Kap. 3). Die Bedeutung des Justiziariats bleibt weiterhin hoch.
6. Ein besonderer Schwerpunkt der Aufsichtstätigkeit ist die Bearbeitung von Beschwerden, Nachfragen und Beratungen zur Ausübung von Betroffenenrechten sowie zur Unterstützung von Verantwortlichen. Die Zahl der schriftlich zu bearbeitenden Vorgänge stabilisierte sich sieben Jahre nach dem Wirksamwerden der DS-GVO auf einem sehr hohen Niveau. Sie stieg um mehr als 700 von 7.162 im Jahr 2023 auf 7.892 im Jahr 2024. Durch die zunehmende Digitalisierung wird der Bedarf an Beratung und Hilfestellungen größer und qualitativ anspruchsvoller. Dadurch steigt die Arbeitsbelastung stärker als die Zahl der Vorgänge (Teil I Kap. 16).
7. Die Meldungen von Datenschutzverstößen gemäß Art. 33 DS-GVO nahmen im Berichtszeitraum wieder zu: von 1.934 im Jahr 2023 auf 2.141 im Jahr 2024. Dies ist die bisher höchste Zahl gemeldeter Datenschutzverstöße. Sie zu analysieren und zu bewerten und vor allem dazu beizutragen, sie in ihrem Schadenspotenzial zu beschränken und ihre Wiederholung zu verhindern, ist ein weiterer Arbeitsschwerpunkt der Aufsichtstätigkeit. Angriffe auf IT-Systeme nahmen quantitativ von 502 im Jahr 2023 auf 482 im Jahr 2024 leicht ab, werden aber qualitativ immer raffinierter und professioneller. Sie richten sich zunehmend gegen Auftragsverarbeiter, die für viele Unternehmen und Behörden arbeiten, und verstärken damit das Schadenspotenzial (Teil 1 Kap. 14).
8. Bei der Polizei, dem Landesamt für Verfassungsschutz und mehreren Staatsanwaltschaften stellten Datenschutzprüfungen keine gravierenden Verstöße gegen datenschutzrechtliche Vorgaben fest. Neue technische Entwicklungen im Sicherheitsbereich führen im Regelfall dazu, dass die durch sie verursachten Eingriffe in Grundrechte umfangreicher und tiefgehender werden. Sie müssen daher an bestimmte und verhältnismäßige gesetzliche Regelungen gekoppelt werden. Um solche wurde sowohl im
   Bereich des Verfassungsschutzes als auch den der Polizei gerungen. Im Gesetzgebungsverfahren zu den Novellen des HSOG und des HVSG habe ich kritische Anmerkungen vorgetragen, die zu einem großen Teil zu Änderungen in dem jeweiligen Gesetz geführt haben (Teil I Kap. 4).
9. In den Verwaltungsbehörden des Landes und der Kommunen werden derzeit große und anspruchsvolle Projekte der Verwaltungsmodernisierung konzipiert, geplant und umgesetzt. Daneben waren viele alltägliche Probleme des Datenschutzes in Kommunen und Landesbehörden zu klären. Aber auch für die konventionelle Datenverarbeitung ergeben sich immer wieder grundlegende Fragen zum Datenschutz. Eine Untersuchung zur Benennung und zur Stellung von kommunalen Datenschutzbeauftragten hat ein weitgehend befriedigendes Ergebnis erbracht (Teil I Kap. 5).
10. In Schulen und in schulnahen Gremien werden viele personenbezogene Daten verarbeitet, die immer wieder zahlreiche Datenschutzthemen hervorrufen. Zum Beispiel konnten mit den Schulträgern viele Fragen der datenschutzrechtlichen Beziehungen zwischen ihnen und den Schulen geklärt und Mustervorlagen für Vereinbarungen zur gemeinsamen Verantwortung oder Auftragsverarbeitung erstellt werden. Elternbeiräte sind keine privaten Vereinigungen, sondern gesetzlich vorgesehene Gremien. Sie müssen daher bei der Auswahl von Messenger-Diensten auf deren Datenschutzkonformität achten und für ihre Mitglieder auch gleichwertige alternative Kommunikationsmöglichkeiten vorsehen (Teil I Kap. 6).
11. Im Bereich des Beschäftigtendatenschutzes erhalten wir viele Beschwerden, die es oft erfordern, korrigierend einzugreifen. Dies gilt insbesondere für Fälle, in denen das Verhalten und die Leistung von Beschäftigten überwacht werden (Teil I Kap. 7).
12. Bezogen auf das Internet ist die wichtigste Entwicklung der letzten Jahre die Verbreitung cloud-gestützter Systeme Künstlicher Intelligenz. Diese erfordert, die „alten“ Regelungen der DS-GVO für deterministische IT-Systeme auf völlig neue Verarbeitungsweisen personenbezogener Daten anzuwenden, die für sie nicht unmittelbar passen. Eine wichtige, vergleichsweise konventionelle Frage war vielfach, ob und wann Einwilligungen der richtige Erlaubnistatbestand für Datenverarbeitungen im Internet darstellen (Teil I Kap. 8).
13. Im Bereich Werbung und Adresshandel musste ich mehrfach intervenieren, weil Mitarbeitende, die das Unternehmen verlassen hatten, wertvolle Adress- oder Profildaten mitgenommen und im Rahmen des neuen Arbeitsverhältnisses rechtswidrig für Werbezwecke verwendet haben. Unzulässig ist es auch, Interessenten, die einen Online-Einkauf abbrechen, nachdem sie die Waren bereits in den Warenkorb gelegt haben, mit Follow-Up-E-Mails doch noch zum Kauf der Waren zu verleiten (Teil I Kap. 9).
14. Im Bereich der Wirtschaft waren die neuen Verhaltensregeln für die Prüf- und Speicherfristen von rechtmäßig gespeicherten personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien zu verhandeln und zu genehmigen. Dabei konnten viele datenschutzrechtliche Verbesserungen erzielt werden. Wichtig war auch, die datenschutzrechtliche Rolle von Inkassounternehmen als Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO zu klären. Gegenüber der Deutschen Bahn konnte erreicht werden, dass sie beim Verkauf von Sparpreistickets nicht mehr fordert, dass die Daten eines E-Mail-Kontos oder eines Smartphones angegeben werden müssen (Teil I Kap. 11).
15. Im Gesundheitsbereich war es in vielen Fällen notwendig, zum Schutz von Patientendaten in Kliniken, Arztpraxen und Apotheken zu intervenieren. Außerdem habe ich die Kammern für Gesundheitsberufe in Hessen aufgefordert, das Recht des Patienten auf kostenlose Kopie der Patientenakte auch in ihren Berufsordnungen zu berücksichtigen. In mehreren Fällen war der Schutz von Gesundheitsdaten in besonderer Weise gefährdet, weil Krankenhäuser geschlossen wurden und niemand mehr für den Schutz der Patientenakten verantwortlich war. Daher mussten wir mit den zuständigen Gemeinden und Polizeistellen Schutzmöglichkeiten für diese Akten finden. Für solche Fälle bedarf es ausdrücklicher Regelungen zur Letztverantwortung für die Aufbewahrung von Patientenakten (Teil I Kap. 12).
16. Der Zweck der „wissenschaftlichen Forschung“ erfährt von der DS-GVO mehrere Bevorzugungen. Daher war es sehr wichtig, dass die DSK auf meine Vorarbeiten hin diesen Begriff definiert und abgegrenzt hat. Diese Klarstellungen führt zu einer einheitlichen Praxis im deutschen Datenschutzrecht (Teil I Kap. 13).
17. Zur Auswahl, zur Gestaltung und zum Einsatz von Software und IT-Diensten bei Unternehmen und Behörden, zu angemessenen technischen und organisatorischen Schutzmaßnahmen, zum Löschen und Vernichten nicht mehr benötigter Daten sowie zu software-gestützter Schwärzung von PDF-Dateien hat meine Behörde viele Beratungen durchgeführt. Technische Überprüfungen erfolgten z. B. zu einer großen Zahl von Websites Kernpunkte XIII  und zu den Softwaresystemen bei hessischen Gesundheitsämtern (Teil I Kap. 14).
18. Obwohl die Informationsfreiheit in Hessen immer noch nur in der Landesverwaltung und wenigen Gemeinden und Landkreisen gilt, hatte ich als Informationsfreiheitsbeauftragter im Berichtsjahr viele interessante Fragen zur Informationsfreiheit zu beantworten und unterstützte viele Bürgerinnen und Bürger bei der Durchsetzung ihrer Ansprüche. Außerdem beteiligte ich mich an der rechtspolitischen Fortentwicklung der Informationsfreiheit und arbeitete in der Konferenz der Informationsfreiheitsbeauftragten (IFK) mit (Teil II Kap. 1). Beschwerden und Beratungen stiegen von 99 auf 116.