Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Prof. Dr. Alexander Roßnagel, hat am 20. Mai 2025 seine Tätigkeitsberichte zum Datenschutz und zur Informationsfreiheit für das Jahr 2024 vorgestellt und sie an die Präsidentin des Hessischen Landtages, Astrid Wallmann, übergeben.
Im 53. Tätigkeitsbericht zum Datenschutz in Hessen zieht Roßnagel insgesamt ein positives Fazit: „Im Jahr 2024 gab es keine schwerwiegenden Verstöße gegen den Datenschutz. Dennoch machten mehr Bürgerinnen und Bürger Verletzungen ihrer Grundrechte geltend. Wir gehen jeder Beschwerde nach und stellen festgestellte Verstöße ab“, so Roßnagel.
Im letzten Jahr haben vor allem die datenschutzrechtlichen Beratungen zugenommen. 1.171-mal haben Verantwortliche und Auftragsverarbeitende um Beratung nachgefragt. Noch mehr Beratungen erfolgten im Rahmen von Beschwerdeverfahren, da die meisten Verstöße gegen Datenschutzrecht aus Unkenntnis und nicht aus Absicht erfolgen. „Wenn wir aufzeigen, wie eine datenschutzgerechte Datenverarbeitung möglich ist, wird dies überwiegend unmittelbar umgesetzt“, so Roßnagel. Beratungen erfolgten z.B. gegenüber kleinen und mittleren Unternehmen, Kommunen, Schulen und Schulträgern, Werbetreibenden, Personalvermittlern, Anbietern von Parkraumüberwachungssystemen, Arztpraxen, Apotheken, Krankenhäusern und Reha-Kliniken. Ein wichtiges Beratungsthema war die Nutzung von Systemen Künstlicher Intelligenz. 15 Beratungen erfolgten in Gesetzgebungsverfahren, in denen die Empfehlungen des HBDI meist übernommen wurden, auch etwa zu den Gesetzesnovellen zur hessischen Polizei und zum hessischen Verfassungsschutz.
Eine besondere Form der Beratung war das Genehmigungsverfahren zu den neuen Verhaltensregeln des Verbands „Die Wirtschaftsauskunfteien“. Hierzu erläutert Roßnagel: „Nachdem ich die alten Verhaltensregeln im Jahr 2023 beanstandet hatte, legte der Verband neue Regelungen vor. In intensiven Verhandlungen konnten wir erreichen, dass die neuen Verhaltensregeln erhebliche Verbesserungen für die betroffenen Personen enthalten. Erst danach habe ich die neuen Verhaltensregeln zu Speicher- und Löschfristen rechtmäßig gespeicherter personenbezogener Daten genehmigt.“
Der HBDI hat auch die Digitalministerin, Frau Prof. Dr. Sinemus, hinsichtlich der Möglichkeit beraten, das Videokonferenzsystem Teams von Microsoft einzusetzen. Hierzu erfolgten direkte intensive Verhandlungen zwischen dem HBDI und Microsoft, die hinsichtlich der Datenschutzklauseln von Microsoft zu Ergebnissen führten, die eine datenschutzgerechte Nutzung ermöglichen.
Nur in seltenen Fällen waren in den Beschwerdeverfahren Abhilfemaßnahmen notwendig oder mussten Sanktionen verhängt werden. In 55 Fällen wurden Verwarnungen ausgesprochen, in 13 Fällen Anweisungen und Anordnungen getroffen und in 47 Fällen Geldbußen – insgesamt in einer Höhe von 545.000 € – verhängt. Als Beispiele für Fälle, in denen Geldbußen verhängt wurden, führt Roßnagel aus, dass Arztpraxen mehrfach auf anonyme negative Online-Rezensionen reagiert haben, indem sie Patientinnen und Patienten öffentlich mit Klarnamen angesprochen und Behandlungsdetails, Diagnosen und Befunde mitgeteilt haben. In einer anderen Arztpraxis befand sich eine Videokamera in einer Wanduhr versteckt, um den Empfangsbereich zu überwachen. In einer weiteren Arztpraxis hat der Praxismanager Patientendaten mit nach Hause genommen und dort ungeschützt aufbewahrt, sodass Partygäste die Daten zur Kenntnis nehmen konnten. Auch hat er mit seiner Lebensgefährtin Fotografien der Patientenakten per WhatsApp ausgetauscht. Im Bereich der Werbung wurden Geldbußen verhängt, weil Daten ohne Rechtsgrundlage zu Werbezwecken verarbeitet wurden, Werbewidersprüche unberücksichtigt blieben und Hinweise auf das Widerspruchsrecht fehlten. Ein Webseitenbetreiber, der notwendige Datenschutzinformationen für seine Nutzer nicht bereitstellte, reagierte auf vielfache Kontaktversuche trotz dreimaliger Anordnung von Zwangsgeld in Höhe von jeweils 2.000 € nicht und musste daher zusätzlich noch eine Geldbuße in Höhe von 10.000 € für fehlende Mitwirkung bezahlen.
Die Bearbeitung von Beschwerden, Nachfragen und Beratungen zur Ausübung von Betroffenenrechten sowie zur Unterstützung von Verantwortlichen bildete wie schon in den Vorjahren den Schwerpunkt der Arbeit des HBDI. Die Zahl der schriftlich zu bearbeitenden Vorgänge stieg gegenüber dem Vorjahr um über 10% von 7.162 auf 7.892.
Zusätzlich zu dieser Aufsichtstätigkeit hatte Prof. Dr. Roßnagel im Berichtsjahr den Vorsitz in der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) (https://www.datenschutzkonferenz-online.de/) übernommen. In dieser Funktion hatte er die deutschen Datenschutzaufsichtsbehörden nach außen zu vertreten und nach innen zu koordinieren. In der Außenvertretung hielt er Vorträge, nahm an Besprechungen teil, führte Korrespondenzen und vertrat die DSK gegenüber der Presse sowie in Anhörungen im Bundestag und in Landtagen. Zur Koordination der Aufsichtsbehörden leitete er jeden Montag den Jour fixe der DSK, organisierte mehrere Konferenzen und bereitete Stellungnahmen der DSK vor.
Die Meldungen von Datenschutzverletzungen an den HBDI gemäß Art. 33 DS-GVO nahmen im Berichtszeitraum von 1.934 im Jahr 2023 um 11% auf 2.141 im Jahr 2024 zu. Das ist der bisherige Höchstwert. Mit einer hohen Dunkelziffer ist zu rechnen. Die Datenschutzverletzungen betreffen zu einem großen Teil Fehlversand von Daten (895) und offene E-Mail-Verteiler (110), aber auch Missbrauch von Zugriffsrechten (92), unrechtmäßige Offenlegungen und Veröffentlichungen (219) und Cyberangriffe auf IT-Systeme in Hessen. Diese sind vom Jahr 2023 mit 502 Angriffen auf 482 im Jahr 2024 zahlenmäßig leicht gesunken, der Schaden, der durch solche Angriffe verursacht wird, steigt jedoch stetig an. Denn sie richten sich zunehmend gegen Auftragsverarbeiter, die für viele Unternehmen und Behörden eine Großzahl von Daten verarbeiten. Auffällig ist auch, dass die Cyberangriffe auf hessische Kommunen zugenommen haben und teilweise erfolgreich waren. „Wir analysieren und bewerten alle Meldungen und versuchen, dazu beizutragen, sie in ihrem Schadenspotential zu beschränken und ihre Wiederholung zu verhindern“, so Roßnagel.
Neben dem 53. Bericht zum Datenschutz stellte Roßnagel auch seinen 7. Tätigkeitsbericht zur Informationsfreiheit vor. Für die Wahrnehmung der Grundrechte und die Teilnahme an der demokratischen Willensbildung ist in einer digitalen Gesellschaft neben dem Datenschutz der Zugang zu öffentlichen Informationen von besonderer Bedeutung. Dennoch gilt die Informationsfreiheit in Hessen immer noch nur in der Landesverwaltung und wenigen Gemeinden und Landkreisen. In diesen Bereichen hat der HBDI viele Bürgerinnen und Bürger bei der Durchsetzung ihrer Ansprüche unterstützt. Die Zahl der Beschwerden und Beratungen stieg von 99 auf 116.
Zwei Beispiele aus den zu bearbeitenden Fällen: Das Informationsfreiheitsrecht hat den Zweck, die demokratische Meinungs- und Willensbildung der Zivilgesellschaft zu unterstützen, indem es die Transparenz der öffentlichen Hand gegenüber der Zivilgesellschaft erhöht. Das Informationsfreiheitsrecht ist aber kein Mittel, das der öffentlichen Hand und ihren Untergliederungen oder Mitgliedern selbst zur Informationsbeschaffung zur Verfügung steht. Daher können sich z.B. Gemeinderatsmitglieder oder Personalräte nicht auf die Informationsfreiheit berufen.
Der Anspruch auf Informationszugang besteht gegenüber manchen öffentlichen Stellen – wie dem Landtag, dem HBDI, den Gerichten und den Strafverfolgungsbehörden – nur, soweit sie öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen. Daher war es von hohem praktischen Interesse, zu klären, was öffentlich-rechtliche Verwaltungsaufgaben sind. An diesen fehlt es z.B., wenn im Landtag eine wissenschaftliche Tagung stattfindet. Die dort gehaltenen Vorträge können nicht über den Anspruch auf Informationszugang herausgefordert werden.