Der Hessische Datenschutzbeauftragte legte den 46. Tätigkeitsbericht vor

Wie schon das vergangene Berichtsjahr stand auch das Jahr 2017 ganz im Zeichen der Umsetzung der europarechtlichen Vorgaben im Datenschutzrecht. Es galt auf den Stichtag 25. Mai 2018, an dem das Europäische Datenschutzreformpaket Geltung erlangt, vorbereitet zu sein.

Die neue Rechtslage stellt alle öffentlichen und nicht-öffentlichen Stellen, die personenbezogene Daten verarbeiten, vor große Herausforderungen. Diese treffen auch die Behörde des Hessischen Datenschutzbeauftragten.

Um sich diesen Herausforderungen zu stellen, hat der Hessische Datenschutzbeauftragte zusammen mit seinen Mitarbeiterinnen und Mitarbeitern zahlreiche Vorträge und Schulungen bei Unternehmen, Organisationen und Behörden durchgeführt. Zudem gilt es, die eigene Behördenstruktur auf die geänderte Rechts- und Aufgabenlage anzupassen. Hier sind exemplarisch zu nennen: der Aufbau einer neuen Homepage, die Anpassung der Aktenführung, die Überarbeitung von Meldeformularen, der Aufbau eines Fristenkalenders, der Aufbau eines Justiziariats mit Sanktionsstelle sowie die Erweiterung des bestehenden Testlabors zu einem leistungsfähigeren IT-Laboratorium.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat als Hilfestellung im Zusammenhang mit der Umsetzung der Datenschutz-Grundverordnung zahlreiche „Kurzpapiere“ zu wesentlichen Themen herausgegeben, die sowohl auf der Homepage des Hessischen Datenschutzbeauftragten als auch in dem jetzt veröffentlichten Tätigkeitsbericht zu finden sind. 

Das Europäische Reformpaket erforderte auch die Anpassung des Hessischen Datenschutzgesetzes. Der Hessische Datenschutzbeauftragte war intensiv in die Erstellung eines Entwurfs zum HDSG-neu eingebunden und es fanden intensive Beratungen der mit der Anpassung der Landesgesetzgebung befassten Behörden statt.

Wie immer gab es daneben auch zahlreiche Eingaben von Bürgern, Verwaltung und Unternehmen zu bearbeiten sowie Beratungen von Daten verarbeitenden Stellen vorzunehmen. Dabei hat sich insbesondere die Anzahl der telefonischen Beratungen im Vergleich zum Vorjahr deutlich erhöht. Diese Steigerung war auf zahlreiche Nachfragen von Unternehmen und betrieblichen Datenschutzbeauftragten zu einzelnen Themen der bevorstehenden Änderungen durch die EU-Datenschutzreform und die Neuregelung des BDSG zurück zu führen.

Einzelfälle:

Dauerbrenner Ausweiskopie

Inzwischen hat der Gesetzgeber mit der Änderung des Personalausweisgesetzes das Kopieren mit Einwilligung des Ausweisinhabers gesetzlich für zulässig erklärt (3.1). Jedoch eröffnet dies in vielen Fällen nicht die Möglichkeit, Ausweiskopien zu verlangen. So sind die Mitarbeiter von Hotelrezeptionen nicht berechtigt, bei der Anmeldung eines Hotelgastes eine Personalausweiskopie zu fordern (11.1). Banken hingegen sind gesetzlich verpflichtet, Kopien von Personalausweisen oder anderen Legitimationspapieren ihrer Kunden zu verlangen. Betroffene dürfen die Fertigung einer Ausweiskopie durch die Bank nicht verweigern (13.2).

Zu viele Daten in der Wahlhelferdatei

Die Wahlgesetze schreiben abschließend vor, welche personenbezogene Daten über potentielle Wahlhelfer von den Kommunen gespeichert werden dürfen. Es handelt sich um Name, Vorname, Geburtsdatum, Anschrift, Telefonnummern und Zahl der Berufungen zu einem Mitglied der Wahlvorstände und die dabei ausgeübte Funktion. Bei stichprobenartigen Überprüfungen haben Mitarbeiter des Hessischen Datenschutzbeauftragten festgestellt, dass das in den meisten Kommunen eingesetzte Programm zur Verarbeitung dieser Daten zusätzlich noch die Datenfelder Parteizugehörigkeit und Beruf enthielt und zum Teil auch befüllt wurde. Die Verarbeitung dieser Daten erfolgte ohne Rechtsgrundlage und war unzulässig. Das Hessische Ministerium des Innern und für Sport hat dies mit Erlass vom 11. September 2017 bekräftigt (6.3).

Unsachgemäße Aufbewahrung von Patienteninformationen

In den vergangenen Jahren hatte Prof. Ronellenfitsch schon wiederholt darüber berichtet, dass in Krankenhäusern Patientenakten nicht ordnungsgemäß aufbewahrt wurden. Im diesjährigen Berichtszeitraum wurde er darüber informiert, dass in einem Krankenhaus Laborproben, beschriftet mit Name und Geburtsdatum der Patienten sowie dem Datum der Entnahme der Probe, im allgemein zugänglichen Stationsvorraum zur Abholung durch das hausinterne Labor abgestellt wurden. Ein Entwenden der Proben oder eine Änderung der Beschriftung wäre ohne weiteres möglich gewesen. Der Hessische Datenschutzbeauftragte hat deshalb gefordert, dass die Abholung der Laborproben neu zu organisieren ist. Dies hat das Krankenhaus zugesichert (7.3).

Fotos von Kindern in Kindertageseinrichtungen und Schulen

Dürfen in Schulen und Kindertageseinrichtungen Bilder der die Einrichtung nutzenden Kinder gemacht werden? Diese Frage wird sowohl von Erzieherinnen als auch von Eltern immer wieder problematisiert. Der HDSB weist darauf hin, dass dies grundsätzlich nur mit Einwilligung der Erziehungsberechtigten erfolgen darf. Dabei darf sich die Einwilligung nicht pauschal auf die Dauer der Zugehörigkeit eines Kindes zu der entsprechenden Einrichtung beziehen. Vielmehr muss die Einwilligung anlassbezogen erteilt werden (8.2). 

Beschwerden gegenüber der SCHUFA Holding AG

Im Berichtsjahr gab es mehrere Beschwerden über die fehlerhafte Zuordnung von gespeicherten Bonitätsinformationen zu betroffenen Personen. In allen Fällen waren negative Bonitätsinformationen falschen Personen zugeordnet worden. Die Bonität der betroffenen Personen wurde dadurch fälschlich negativ bewertet. Dies wirkte sich auf deren Möglichkeit zum Abschluss von Geschäften aus. In allen Fällen war die fehlerhafte Zuordnung durch manuelle Bearbeitung entstanden. Der Hessische Datenschutzbeauftragte hat die SCHUFA darauf hingewiesen, dass eine fehlerhafte Zuordnung von Bonitätsinformationen wegen der damit verbundenen negativen Folgen für die Betroffenen nicht zu tolerieren ist. Beschwerden über fehlerhafte Zuordnung sind deshalb bevorzugt und beschleunigt zu bearbeiten (13.4).

Hier geht es zum 46. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten

Kontakt für Pressevertreter
Pressesprecher: Frau Ulrike Müller
Presse- und Öffentlichkeitsarbeit:
Telefon: +49 611 1408 142
Fax: +40 611 1408 900

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden