Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel hat am 18. April 2023 seine Tätigkeitsberichte für das Jahr 2022 vorgestellt. Im 51. Tätigkeitsbericht zum Datenschutz zieht Roßnagel insgesamt ein positives Fazit: „Im Jahr 2022 waren in Hessen keine schwerwiegenden Verstöße festzustellen. Datenschutz wird in Wirtschaft und Verwaltung weitgehend akzeptiert.“ Die Vorgaben des Datenschutzes würden zwar nicht überall befolgt, so Roßnagel weiter. Festgestellte Fehlverhalten würden aber nach dem Eingreifen der Datenschutzaufsicht korrigiert.
Die Gesamtzahl der schriftlich zu bearbeitenden Verfahren sank leicht von 8.400 auf 6.800 und scheint sich damit auf einem sehr hohen Niveau zu stabilisieren.
Neben der Bearbeitung von Beschwerden versucht der HBDI zunehmend die Grundlagen von Datenschutzproblemen anzugehen. Dabei geht es etwa um große, nicht datenschutzkonforme IT-Systeme und Geschäftsmodelle, die Datenschutz ignorieren. Die Beseitigung dieser Probleme könne Grundrechtsverletzungen in vielen tausend Einzelfällen verhindern, wie Roßnagel betont.
Für die Aufsichtsbehörde ist Datenschutz besonders schwierig durchzusetzen, wenn die Verantwortlichen IT-Systeme nutzen, deren Anbieter nicht willens sind, die europäischen Datenschutzanforderungen zu erfüllen. Ein Beispiel hierfür ist etwa der Konzern Meta. Er begeht beim Angebot von Facebook-Seiten mehrfache Datenschutzverstöße, die von Gerichten rechtskräftig festgestellt worden sind. Da das Unternehmen seinen europäischen Hauptsitz in Irland hat, ist dafür allerdings die irische Aufsichtsbehörde zuständig. Der HBDI ist nur für hessische Nutzende dieser Produkte zuständig. Diese sind aufgrund der technischen Vorgaben im Regelfall nicht in der Lage, ihrer datenschutzrechtlichen Verantwortung zu entsprechen. Sie müssten daher zu Anbietern wechseln, die datenschutzkonforme Techniksysteme anbieten, wie Roßnagel erklärt. Seine Behörde informiere die Nutzenden zwar über diese Notwendigkeit, gerade in der Wirtschaft fühlen sich die meisten Verantwortlichen jedoch von datenschutzrechtlich unzulässigen IT-Systemen abhängig.
Im öffentlichen Bereich dagegen hat die Aufsichtsbehörde große Fortschritte erzielt. Seit dem letzten Jahr haben die Schulen und Hochschulen Hessens datenschutzgerechte Videokonferenzsysteme eingesetzt. Auch in der Landesverwaltung wurde ein Videokonferenzsystem eingeführt, das Datenschutzanforderungen entspricht. Alle genannten Systeme entsprechen dem Open-Source-Standard und werden von deutschen Anbietern bereitgestellt. Auch das hessische Schulportal wurde als souveräne technische Lösung etabliert. Die Landesverwaltung plant, konzipiert und setzt derzeit darüber hinaus mehrere große und anspruchsvolle Digitalisierungsprojekte um – etwa den Online-Zugang zur Verwaltung, die Registermodernisierung und die souveräne Verwaltungscloud. In diesen Projekten ist die Datenschutzaufsicht intensiv beteiligt und berät aktiv.
Cyberkriminalität und Angriffe auf IT-Systeme nahmen 2022 um ca. 10% leicht ab – von 2000 im Jahr 2021 auf 1.750 im Jahr 2022. Um Unternehmen und Behörden zu erpressen, verschlüsseln die Angreifer dabei deren Daten und bieten die Entschlüsselung gegen hohe Geldsummen an. Alternativ wird ein Teil der Daten im Darknet veröffentlicht oder mit der Veröffentlichung gedroht. Im letzten Jahr zielten viele Angriff auf IT-Dienstleister, die für hunderte Unternehmen und Behörden die Datenverarbeitung übernehmen. Damit wird der Schaden vielfach multipliziert. Der HBDI prüft und berät in diesen Fällen, welche Maßnahmen zur Schadensbegrenzung zu ergreifen sind und wie Wiederholungen erfolgreicher Angriffe zu verhindern sind. Auch sorgt die Behörde dafür, dass die betroffenen Personen – die Kunden oder Bürger – rechtzeitig informiert werden und Schutzmaßnahmen ergreifen können.
Auch in der Arbeitswelt ist die Digitalisierung weiter vorangeschritten. Sie ermöglicht, Beschäftigte immer intensiver hinsichtlich ihrer Leistung und ihres Verhaltens zu überwachen. Auch hier setzt der Datenschutz allerdings Grenzen, wie Roßnagel erläutert: „Es ist keinesfalls zulässig, alle Beschäftigten unter Generalverdacht zu stellen und von vornherein präventiv zu überwachen. So ist es insbesondere nicht gestattet, die Fahrer und Fahrerinnen einer Spedition mit Außen-Kameras und Kameras in der Fahrkabine beim Fahren lückenlos zu überwachen.“
Bei der Polizei, dem Landesamt für Verfassungsschutz und mehreren Staatsanwaltschaften stellten Datenschutzprüfungen keine gravierenden Verstöße gegen Datenschutzvorgaben fest. Kritische Anmerkungen hat der HBDI 2022 zur geplanten Novelle des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) im Gesetzgebungsverfahren vorgetragen. Im Verfahren zur automatisierten Auswertung von Polizeidaten mittels HessenDATA vor dem Bundesverfassungsgericht wies er auf Datenschutzrisiken hin. Diese wurden im Urteil des Gerichts insofern bestätigt, dass es die gesetzliche Ermächtigung für die automatisierte Auswertung für verfassungswidrig erklärt.
Mit dem 51. Bericht zum Datenschutz veröffentlichte der HBDI auch den 5. Bericht zur Informationsfreiheit in Hessen. Beschwerden und Beratungen in diesem Bereich sanken 2022 leicht von 123 auf 110. Im Gegensatz zu anderen Bundesländern und dem Bund gilt die Informationsfreiheit in Hessen erstmal nur in der Landesverwaltung. In den Gemeinden und Landkreisen gilt sie nur, soweit diese sie durch Satzung übernommen haben. Nur eine Minderheit habe dies bisher getan, wie Roßnagel feststellte. „Daher gilt in Hessen die Informationsfreiheit in vielen praktisch relevanten Verwaltungsbereichen nicht. Im letzten Jahr hat jedoch Wiesbaden eine Informationsfreiheitssatzung erlassen. Die anderen Kommunen sollten diesem Beispiel folgen“, so der HBDI.