Der Hessische Beauftragte für Datenschutz und Informationsfreiheit legte seinen 47. Tätigkeitsbericht zum Datenschutz und seinen 1. Tätigkeitsbericht zur Informationsfreiheit vor

Fotolia_191229458_S.jpg

Stacks of paperwork in the office

Mit Inkrafttreten des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) vom 3. Mai 2018 ist dem Hessischen Datenschutzbeauftragten auch die Aufgabe des Informationsfreiheitsbeauftragten übertragen worden. In dieser Funktion ist er gem. § 89 HDSIG ebenfalls dem Landtag und der Landesregierung berichtspflichtig, so dass es nunmehr einen Doppelbericht zu den Themen Datenschutz und Informationsfreiheit gibt.

In der Kombination von Datenschutz und Informationsfreiheit geht Hessen einen neuen Weg. Die Regelungen zur Informationsfreiheit sind von einem modernen Verständnis der informationellen Selbstbestimmung geprägt. Die Erstreckung der informationellen Selbstbestimmung in den Bereich des Informationszugangs verstärkt die Rechtsstellung der Bürgerinnen und Bürger, aber macht diese nicht zum Mittel der Staatskontrolle. Der Hessische Gesetzgeber hat daher davon abgesehen, das Transparenzprinzip als bürgerliches Kontrollinstrument über die Verwaltung heranzuziehen, so der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Michael Ronellenfitsch.

Das Jahr 2018 war geprägt durch die Vorbereitung auf die neue Rechtslage mit Wirksamwerden der Datenschutz-Grundverordnung sowie deren Umsetzung nach dem 25. Mai 2018. Der Datenschutzbericht behandelt somit Fragestellungen sowohl nach alter (bis 24. Mai 2018) als auch nach neuer (ab 25. Mai 2018) Rechtslage. Die Eingaben zur neuen Rechtslage haben die Behörde des HBDI mit einer Flut von Anfragen überschüttet, die kaum zu bewältigen war. Zeitweise fühlten sich die Beschäftigten der Behörde wie Mitarbeiter eines Callcenters. Im Vergleich zum Vorjahr stieg die Zahl der Beschwerden und Beratungen von 7.997 auf 12.736. Ebenfalls stark angestiegen ist die Anzahl der zu meldenden Datenpannen. Dies ist auch dem Umstand geschuldet, dass entgegen der alten Rechtslage seit Wirksamwerden der DS-GVO auch öffentliche Stellen des Landes und der Kommunen Datenpannen an den Datenschutz- und Informationsfreiheitsbeauftragten melden müssen.

Durch die vielen neuen Fragestellungen waren die Mitarbeiterinnen und Mitarbeiter des HBDI verstärkt gefordert, Gremien in Wirtschaft und Verwaltung zu schulen und zu beraten.

Die Europäische Datenschutzreform hat auch die Anpassung nationaler Spezialgesetze erforderlich gemacht. Neben dem Hessischen Datenschutzgesetz wurde beispielsweise auch das Hessische Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) novelliert. Der HBDI hat dieses Gesetzgebungsverfahren begleitet. Beim Einsatz neuer technischer Verfahren zur Datenanalyse (§ 25a HSOG) ist der HBDI künftig anzuhören. Er hat die Verpflichtung, den Einsatz verdeckter und eingriffsintensiver Maßnahmen regelmäßig zu überprüfen (§ 29a HSOG).

Einzelthemen:

Unzulässige Datenübermittlung an das evangelische Kirchensteueramt
Eine offensichtlich in einer größeren Anzahl von Kommunen geübte Praxis, zur Festsetzung der Ortskirchensteuer die Daten aller Grundsteuer A-Pflichtigen an das evangelische Kirchensteueramt zu übermitteln, unabhängig davon ob und welcher Konfession die Steuerpflichtigen angehören, hat der HBDI für unzulässig erklärt. Das Kirchensteueramt hatte Daten von Bürgern erhalten, für die sie gar keine Kirchensteuer festsetzen konnte. (3.1.1)

Es gibt auch Alternativen zu WhatsApp
Viele Lehrkräfte an Hessischen Schulen vermitteln den Eindruck, dass ohne WhatsApp eine Kommunikation mit Eltern und Schülern nahezu unmöglich sei. Unberücksichtigt bleibt, dass bei der Nutzung von WhatsApp personenbezogene Daten von allen Nutzerinnen und Nutzern und deren Kontaktdaten (Telefonbuch!) anfallen, die in die USA respektive an Facebook übertragen werden. Eine Einwilligung aller Kontaktpersonen von WhatsApp – Nutzern wird kaum vorliegen. Dabei gibt es alternative Messengerdienste, die diesen gravierenden Nachteil nicht haben.
Der HBDI musste feststellen, dass viele Lehrkräfte die Vorgaben des Kultusministeriums zur Nutzung sozialer Medien nicht beachten. Für die Nutzung von WhatsApp für schulische Aufgaben gibt es keine Rechtsgrundlage (4.4.1).

Keine Verpflichtung zur Unterzeichnung von Informationsblättern
Werden Daten über eine Person erhoben, muss derjenige, der für die Verarbeitung verantwortlich ist, die betroffene Person darüber informieren, welche Daten zu welchen Zwecken verarbeitet werden (Art. 13 DS-GVO). Viele Ärzte forderten in diesem Zusammenhang, dass Patienten diese Information mit Ihrer Unterschrift quittieren. Das quittierte Dokument wurde dann zu den ärztlichen Unterlagen genommen. Weigerte sich der Patient, die Unterschrift zu leisten, lehnten zahlreiche Ärzte die weitere Behandlung ab. Das wird von der DS-GVO nicht verlangt und verkennt den Sinn und Zweck der Information nach Art. 13 DS-GVO. Art. 13 DS-GVO dient in erster Linie dem Informationsrecht der Betroffenen - hier der Patienten - und nicht der Dokumentationsverpflichtung der Ärzte (4.6.2). (s.a. Beschluss der DSK vom 5. Sept. 2019)

Datenschutz bei Vereinen
Besonders groß war die Verunsicherung bei Vereinsvertretern, Verbandsfunktionären und Vereinsmitgliedern nach Wirksamwerden der DS-GVO. Dabei hat die DS-GVO, entgegen der allgemeinen Auffassung, bei den Vereinen nur in wenigen Bereichen zu wirklich substantiellen Veränderungen der datenschutzrechtlichen Anforderungen geführt. Vielmehr hat die DS-GVO vielen Verantwortlichen erstmals datenschutzrechtliche Erfordernisse ins Bewusstsein gebracht, die vorher vernachlässigt worden sind. Deshalb ergibt sich bei Vereinen ein höherer Anpassungsbedarf. Dieser begründet sich nicht in neuen gesetzlichen Regelungen, sondern in den Versäumnissen der Vergangenheit. Der HBDI hat zur Unterstützung der Vereine auf seiner Homepage Hinweise zu datenschutzrechtlichen Fragestellungen im Zusammenhang mit der Verarbeitung personenbezogener Daten bei Vereinen gegeben (4.7.4).

Fotos von Beschäftigten
Seit Geltung der DS-GVO wird ganz besonders häufig die Rechtmäßigkeit der Erstellung von Fotos und ihre Verwendung diskutiert. Dies gilt insbesondere auch im Beschäftigungsverhältnis. Eine Veröffentlichung von Fotos Beschäftigter setzt eine auf freiwilliger Basis erteilte schriftliche Einwilligung der betroffenen Mitarbeiterinnen und Mitarbeiter voraus. Nach der DS-GVO kann allerdings eine erteilte Einwilligung jederzeit widerrufen werden. Da der Widerruf erst ab dem Zeitpunkt der Erklärung Wirkung entfaltet, ist eine bereits erfolgte Veröffentlichung nicht ungeschehen zu machen. Es sollte deshalb bereits bei Einholung der Einwilligung über die genauen Bedingungen der Bildnutzung informiert werden (4.9.1).

Kontakt für Pressevertreter
Pressesprecher: Frau Ulrike Müller
Presse- und Öffentlichkeitsarbeit:
Telefon: +49 611 1408 142
Fax: +40 611 1408 900

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden