Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Prof. Dr. Alexander Roßnagel, hat am 14. April 2026 seine Tätigkeitsberichte zum Datenschutz und zur Informationsfreiheit für das Jahr 2025 vorgestellt und sie an die Präsidentin des Hessischen Landtages, Astrid Wallmann, übergeben.
Im 54. Tätigkeitsbericht zum Datenschutz in Hessen zieht Roßnagel insgesamt ein positives Fazit, weist aber auf den starken Anstieg der Arbeitslast seiner Behörde hin.
Steigende Bedeutung und Arbeitsbelastung
Immer mehr Bürgerinnen und Bürger suchen Unterstützung und Beratung beim HBDI. Die Zahl ihrer Beschwerden wegen Verletzungen ihres Datenschutz-Grundrechts ist im vergangenen Jahr von 3.839 auf 6.070, also um 58 % angestiegen. In bestimmten Bereichen ist ein besonders starker Anstieg zu verzeichnen: In den Sachgebieten Auskunfteien stieg die Zahl der Beschwerden von 503 auf 1.613 (um 221 %), bei der Videobeobachtung von 295 auf 539 (um 83 %) und im Bereich des Beschäftigtendatenschutzes von 287 auf 525 (um 83 %). Nimmt man noch die Hinweise, Beratungen und Meldungen von Datenpannen hinzu, so waren im Jahr 2025 11.218 schriftliche Vorgänge, ein Plus von ca. 40 %, zu bearbeiten. Die gestiegenen Fallzahlen zeigen, dass mit der Digitalisierung der Datenschutz in der Wahrnehmung von Bürgerinnen und Bürgern immer mehr an Bedeutung gewinnt. Sie legen mehr Wert auf ihre Persönlichkeitsrechte und sehen sie zunehmend gefährdet.
Mit dem Bedeutungszuwachs für den Datenschutz steigt aber auch die Arbeitslast der Datenschutzaufsicht. Dennoch ist die Zahl der Beschäftigten beim HBDI in den letzten Jahren gleichgeblieben. In der Folge wird es für die Aufsichtsbehörde immer schwieriger, den gesetzlichen Aufgaben und Anforderungen der Datenschutz-Grundverordnung (DS-GVO) sowie den berechtigten Erwartungen von Bürgerinnen und Bürgern gerecht zu werden. Roßnagel dazu: „In der Vorgangsbearbeitung werden daher Priorisierungen nach dem jeweiligen konkreten Schutzbedarf der betroffenen Grundrechte und in manchen Fällen auch längere Bearbeitungszeiten unvermeidbar sein. Wir befassen uns jedoch weiterhin mit allen Beschwerden.“
Beratungsanfragen
„Behörden und Unternehmen suchen nach Rechtssicherheit und wenden sich zunehmend mit Beratungsanfragen an mich“, erläutert Roßnagel. „Wir haben im Jahr 2025 1.200 individuelle Beratungen durchgeführt und viele allgemeine Beratungshinweise auf unserer Homepage veröffentlicht. Sie zeigen den Verantwortlichen auf, wie sie ihre Datenverarbeitung durchführen und zugleich Datenschutz gewährleisten können.“
Roßnagel nennt drei Beispiele aus dem Gesundheitsbereich: Für den Aufbau einer Treuhandstelle war eine Beratung hilfreich, wie sie die mehrfache Nutzung von Gesundheitsdaten durch verschiedene Stellen in der Gesundheitsversorgung und der Gesundheitsforschung datenschutzgerecht ermöglichen kann. Ärztinnen und Ärzte, die aus einer Gemeinschaftspraxis ausscheiden, wollten wissen, wie sie dabei verfahren müssen, um die Patientenakten ausreichend zu schützen. Eine andere Beratung betraf die Frage, welche baulichen und organisatorischen Maßnahmen notwendig sind, um im Anmeldebereich von Arztpraxen und Notaufnahmen das Patientengeheimnis zu wahren. Zunehmend betreffen Beratungsanfragen auch den Einsatz von Künstlicher Intelligenz.
Bußgelder und andere Abhilfemaßnahmen
„Im Jahr 2025 gab es keine schwerwiegenden Verstöße gegen den Datenschutz. Nur in seltenen Fällen waren Abhilfemaßnahmen notwendig. Wenn wir Verantwortliche auf datenschutzwidrige Zustände hinweisen, beseitigen die meisten diese umgehend. Eine formelle Maßnahme ist dann entbehrlich. Soweit dies nicht der Fall ist, helfen förmliche Anordnungen, Durchsetzungsmaßnahmen und Sanktionen“, bilanziert Roßnagel. Die Zahl der Anordnungen stieg von 115 im Vorjahr auf 124 im Berichtsjahr, davon – wie im Vorjahr – 47 Geldbußen in einer Gesamthöhe von 190.100 €. Beispielhaft erläutert Roßnagel, dass im Bereich der Werbung mehrere Geldbußen verhängt wurden, weil Verantwortliche personenbezogene Daten für Direktwerbung genutzt haben, obwohl sie dafür keine Rechtsgrundlage hatten oder die betroffenen Personen der Werbung ausdrücklich widersprochen hatten. Im Bereich der Polizei wurden mehrfach Geldbußen verhängt, weil Polizistinnen und Polizisten unberechtigt polizeiliche Informationssysteme genutzt hatten oder Bildübertragungen aus einer Arrestzelle verwendet haben, um einen darin Festgehaltenen zu diskriminieren. Auch im Gesundheitsbereich war es wieder vielfach notwendig, zum Schutz von Patientendaten in Kliniken, Arztpraxen und Apotheken zu intervenieren. Zwei Unternehmen aus dem Bereich der digitalen Parkraumüberwachung haben alle Daten gelöscht, wenn eine betroffene Person Auskunft verlangte oder der Rechnung widersprach. Dadurch haben sie gegen ihre Pflicht verstoßen, die rechtmäßige Verarbeitung der erhobenen Daten nachzuweisen. Schließlich wurde erstmals eine Geldbuße gegen einen Rechtsanwalt verhängt. Um auf seine Leistungen als Strafverteidiger hinzuweisen, hatte er auf seinem öffentlichen Instagram-Account ein knapp 30 Sekunden langes Video verbreitet, in dem er Strafakten hochhielt, in denen bei Heranzoomen personenbezogene Daten von mindestens 20 Personen lesbar waren.
„Verantwortliche sind gesetzlich verpflichtet, mit der Datenschutzaufsicht zu kooperieren. Im Berichtsjahr wurden mehrfach Geldbußen verhängt, weil Datenverarbeiter trotz Zwangsgeldandrohung über längere Zeit nicht auf Anfragen geantwortet, keine ausreichenden Informationen vorgelegt oder sogar Beweismittel vernichtet haben“, so Roßnagel.
Cyberangriffe und andere Meldungen von Datenschutzverletzungen
Die Meldungen von Datenschutzverletzungen gemäß Art. 33 DS-GVO nahmen im Berichtszeitraum um 28 % zu: von 2.141 im Jahr 2024 auf 2.730 im Jahr 2025. Dies ist die bisher höchste Zahl gemeldeter Datenschutzverletzungen. Sie zu analysieren und zu bewerten und vor allem dazu beizutragen, sie in ihrem Schadenspotential zu beschränken und ihre Wiederholung zu verhindern, ist ein wichtiger Arbeitsschwerpunkt der Aufsichtstätigkeit des HBDI. Cyberangriffe auf IT-Systeme nahmen quantitativ um 30 % von 482 im Jahr 2024 auf 625 im Jahr 2025 zu und werden qualitativ immer raffinierter und professioneller. Sie richten sich zunehmend gegen Auftragsverarbeiter, die für viele Unternehmen und Behörden arbeiten, und verstärken damit das Schadenspotential. Mit einer hohen Dunkelziffer ist zu rechnen.
Verwendung von Microsoft 365
In vielen Unternehmen und Behörden werden Produkte von Microsoft genutzt, zunehmend die Cloud-Dienste Microsoft 365. Lange war umstritten, ob die Vertragsregelungen von Microsoft die europäischen Datenschutzanforderungen erfüllen. In intensiven und schwierigen Gesprächen mit Microsoft ist es dem HBDI gelungen, Wege zu finden, wie Nutzer von Microsoft 365 ihre Datenverarbeitung datenschutzgerecht durchführen können. Hierfür hat Microsoft sein Data Protection Addendum und seine Datenverarbeitung verändert und den Nutzern zusätzliche Informationen und Handlungsmöglichkeiten zur Verfügung gestellt. Roßnagel dazu: „Dies ermöglicht Unternehmen und Behörden in Hessen, ihren notwendigen Beitrag zur datenschutzgerechten Nutzung vom Microsoft 365 zu leisten. Das ist ein wichtiger Schritt zu mehr Rechtssicherheit.“
Informationsfreiheit
Neben dem 54. Bericht zum Datenschutz stellte Roßnagel auch seinen 8. Tätigkeitsbericht zur Informationsfreiheit vor. Als Beauftragter für Informationsfreiheit hat der HBDI Bürgerinnen und Bürger bei der Durchsetzung ihrer Ansprüche zu unterstützen. Die Zahl der Beschwerden und Beratungen stieg von 116 auf 133.
Auch die Informationsfreiheit muss sich dynamisch an die rasante Entwicklung in Technik, Wirtschaft, Verwaltung und Gesellschaft anpassen. Die Digitalisierung der Verwaltung vermehrt zum einen die verfügbaren Informationen. Sie erzeugt damit Mehrwerte für die Nutzung dieser Informationen – vor allem für die Forschung und weitere Allgemeininteressen. Zum anderen erleichtert sie es der Verwaltung, Informationsbegehren zu erfüllen. Für beide Situationen wird Künstliche Intelligenz grundlegende Veränderungen bringen, die gezielt genutzt werden müssen.