Prof. Dr. Alexander Roßnagel hat heute den 49. Tätigkeitsbericht zum Datenschutz und den 3. Tätigkeitsbericht zur Informationsfreiheit vorgestellt

Prof. Dr. Alexander Roßnagel sagt über das Berichtsjahr: „Das Berichtsjahr macht deutlich, dass der Schutz der Grundrechte der von der Datenverarbeitung betroffenen Personen an Bedeutung und Aufmerksamkeit gewonnen hat. Einen Grund hierfür sehr ich darin, dass das europäische Datenschutzrecht neue Pflichten der Verantwortlichen und erweiterte Recht der betroffenen Personen mit wirksamen Handlungs- und Sanktionsmöglichkeiten verbindet.“

Fotolia_191229458_S.jpg

Stacks of paperwork in the office

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit legt seinen 49. Tätigkeitsbericht zum Datenschutz und seinen 3. Tätigkeitsbericht zur Informationsfreiheit vor

Das Jahr 2020 entwickelte sich unerwartet zu einem besonderen Berichtsjahr. Die Corona-Pandemie stellte den Datenschutz und die Datenschutz-Grundverordnung (DS-GVO) sowie das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG) auf den Praxis-Prüfstand. Eine weitere Besonderheit ergibt sich daraus, dass der vorliegende 49. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten und der 3. Tätigkeitsbericht des Hessischen Beauftragten für Informationsfreiheit von Prof. Dr. Michael Ronellenfitsch verantwortet und von seinem Nachfolger Prof. Dr. Alexander Roßnagel, nach dem Amtswechsel zum 1. März 2021, vorgestellt wird.

Das zweite Jahr seit Geltung der DS-GVO zeigt auf, dass die DS-GVO und die weiteren datenschutzrechtlichen Normen, den Anforderungen einer Pandemie Stand halten. Die Aufsichtspraxis hat die DS-GVO mit Leben gefüllt und nutzt die breite Palette an Aufgaben und Befugnissen, um die Einhaltung des Datenschutzes in Hessen zu fördern. Sehr deutlich wurde gerade in diesem besonderen Berichtsjahr, dass die personelle Ausstattung ein wichtiger Erfolgsfaktor im Zusammenhang mit der effizienten Überwachung der Einhaltung der DS-GVO ist.

Prof. Dr. Alexander Roßnagel hierzu: „Das Berichtsjahr macht deutlich, dass der Schutz der Grundrechte der von Datenverarbeitung betroffenen Personen an Bedeutung und Aufmerksamkeit gewonnen hat. Einen Grund hierfür sehe ich darin, dass das europäische Datenschutzrecht neue Pflichten der Verantwortlichen und erweiterte Rechte der betroffenen Personen mit wirksamen Handlungs- und Sanktionsmöglichkeiten verbindet.“

Einzelthemen

Datenschutz in der Pandemie

In der Corona-Pandemie war auch der Datenschutz ein zentrales Thema. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) erhielt Eingaben zu verschiedenen Fragen im Zusammenhang mit dem Speichern und Verarbeiten personenbezogener Daten zur Vermeidung und Aufdeckung von Corona-Infektionen. Das Fiebermessen als Zutrittsvoraussetzung in systemrelevante Gesundheitseinrichtungen wurde durch den HBDI unter der Bedingung besonders strenger technischer Sicherheitsvorgaben und einer umfassenden Information der betroffenen Personen in Einzelfällen für zulässig erklärt. Sehr umfangreich beschäftigten den HDBI Datenschutzfragen im Zusammenhang mit der Befreiung vom Tragen einer Schutzmaske im Einzelhandel. Hier wurde durch Kopieren ärztlicher Atteste und die Speicherung der Diagnosen über das Ziel hinausgeschossen. Restaurants, Friseure und weitere Betriebe mussten Gäste- und Kundendaten datenschutzkonform erheben, um gegebenenfalls Infektionsketten nachverfolgen zu können. Es kam zu Verstößen wie beispielsweise das Versenden von Werbung an Personen auf der Corona-Kontaktdatenliste und die private Kontaktaufnahme aufgrund persönlichen Interesses an der Person. Beschwerden von Schwimmbadbesuchern über die Erhebung und den Umfang der über sie beim Eintritt erhobenen Daten konnte der HBDI abhelfen. Hierfür fehlte es an einer Rechtsgrundlage in der Corona-Kontakt- und Betriebsbeschränkungsverordnung. Neben der Bearbeitung der einzelnen Beschwerden wurden zudem zahlreiche Informationsangebote erarbeitet und auf der Homepage des HBDI eingestellt.

Einsatz von Videokonferenzsystemen in Schulen

Mit dem ersten Lock-Down im März 2020 wurde der Einsatz von Videokonferenzsystemen zu einem zentralen Thema. In aller Eile wurde nach geeigneten Videokonferenzsystemen gesucht, wobei die Überlegungen hinsichtlich des Datenschutzes bei vielen Stellen nicht an erster Stelle standen. Eine in diesem Zusammenhang bis August 2020 ausgesprochene Duldung fast aller Videokonferenzsysteme für den schulischen Bereich wurde aufgrund der andauernden Pandemie bis Ende Juli 2021 verlängert. Es wurde darauf verzichtet, durch stringente datenschutzrechtliche Vorgaben, die unvorhersehbare Situation für die Schulen durch komplexe datenschutzrechtliche Vorgaben noch schwieriger werden zu lassen.

Internationale Datentransfers – Privacy Shield ungültig

Für erhebliche Verunsicherung im Zusammenhang mit dem Transfer von Daten in Drittstaaten sorgte im Juli 2020 die Entscheidung des EuGH zu Schrems II. Mit diesem Urteil hob der EuGH die Rechtfertigung von Datenübertragungen in die USA durch das Abkommen „Privacy Shield“ auf, weil den Nachrichtendiensten unverhältnismäßige Zugriffskompetenzen auf personenbezogene Daten zustehen und für Betroffene aus Europas keine Rechtschutzmöglichkeiten hiergegen bestehen. Infolge des Urteils muss jedes Unternehmen, das Daten in ein Drittland exportiert, im konkreten Fall prüfen, ob die Datenempfänger in dem Drittland, also z.B. USA, in der Lage sind, die Anforderungen an einen sicheren Datentransfer einzuhalten. Sie müssen durch zusätzliche Garantien verhindern, dass die US-Nachrichtendienste auf die Daten zugreifen. Den Aufsichtsbehörden wurde aufgegeben, Datentransfers zu unterbinden wenn dies nicht der Fall ist. Das Berichtsjahr war davon geprägt, die Umsetzung des EuGH-Urteils vorzubereiten und darüber zu informieren. An der Erarbeitung der entsprechenden Papiere des Europäischen Datenschutzausschusses war der HBDI intensiv beteiligt.

Biometrische Arbeitszeiterfassung mittels Fingerabdruck

Aufgrund verschiedener Anfragen und Beschwerden wurde der HBDI mit der Rechtmäßigkeit der Verarbeitung biometrischer Daten im Beschäftigtenverhältnis befasst. Die Beschwerdeführer fragten beispielsweise an, ob der Einsatz von Arbeitserfassungssystemen mittels Fingerabdruck ohne ihre Einwilligung zulässig ist. Grund für den Einsatz war in einem Fall, dass es beim Einsatz des vorherigen Systems wiederholt zu Missbrauch und Manipulation gekommen war. Die Prüfung der Ausgestaltung des Systems ergab, dass dieses nicht mit der DS-GVO im Einklang war. Aufgrund der Intervention des HBDI wurde die biometrische Arbeitszeiterfassung durch ein ausweisbasiertes Zeiterfassungssystem ersetzt.

Zugriff auf Daten durch ehemalige Krankenhausmitarbeiter

Eine Datenpannenmeldung eines hessischen Krankenhauses nach Artikel 33 DS-GVO machte den HBDI auf ein Problem der Datenverarbeitung im Krankenhaus im Zusammenhang mit Mitarbeiterzugriffen aufmerksam. Ein ehemaliger Mitarbeiter hatte sich über einen Stationsstützpunkt Zugriff auf einen Krankenhaus-PC verschafft und auf personenbezogene Daten Dritter zugegriffen. Dieser Fall macht deutlich, wie wichtig es ist, darauf zu achten, dass beim Ausscheiden von Mitarbeiterinnen und Mitarbeitern aus einem Unternehmen deren Accounts deaktiviert werden.

Verarbeitung von Daten durch Inkassounternehmen

Häufig beschwerten sich betroffene Personen darüber, dass die von Ihnen geltend gemachte unverzügliche und vollumfängliche Löschung ihrer Daten aus dem Datensatz eines Inkassounternehmens nicht umgesetzt wurden. Grundsätzlich dient die Mandatierung eines Inkassounternehmens der Realisierung offener Forderungen. Hierzu werden die Daten des Schuldners an das Inkassounternehmen übermittelt. Eine Einwilligung der betroffenen Personen ist nicht erforderlich. Im Falle des Ausgleichs des Forderungsbetrages an das Inkassounternehmen und damit des Abschlusses des Inkassoverfahrens scheint zunächst ein Anspruch auf Löschung der Daten zu bestehen. Gleichwohl kann die Verarbeitung etwa aus steuerlichen Gründen  auch weiterhin zulässig sein. Die Verarbeitung der Daten wird dann für eine Übergangszeit eingeschränkt, zum Beispiel durch Sperrung der Datensätze.

Übermittlung personenbezogener Daten per E-Mail

Die Kommunikation per E-Mail hat gerade in der Pandemie noch mehr an Bedeutung gewonnen. Damit verbunden sind Fragen rund um den Versand personenbezogener Daten per E-Mail. Der Fehlversand von E-Mails gehörte auch 2020 zu den meist gemeldeten Vorfällen bei den Datenpannen gemäß Artikel 33 DS-GVO. Mit der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ wurde von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ein hilfreicher Leitfaden für eine datenschutzsichere Praxis erarbeitet.

Entwicklung der Informationsfreiheit

Das Recht auf Informationsfreiheit, das es in Hessen erst seit drei Jahren gibt, wird vermehrt in Anspruch genommen, ist aber noch entwicklungsfähig. In den Kommunen, Kreisen und Städten, ist hierzu bisher wenig geschehen. Eine Erhebung des HBDI ergab, dass sich bislang erst drei Landkreise, eine Großstadt und ganz wenige kleine Städte für eine Informationsfreiheitssatzung entschieden haben.

Aber auch auf der Ebene des Landes sieht der HBDI noch Verbesserungspotential: Das Hessische Datenschutz- und Informationsfreiheitsgesetz sieht vollständige Ausnahmen für die Bereiche Polizei und Verfassungsschutz vor. Hier setzt der HBDI sich dafür ein, dass die Ausnahmen auf die operativen Maßnahmen, die geheimhaltungsbedürftig sind, beschränkt werden und nicht generell für alle Tätigkeiten von Polizei und Verfassungsschutz gelten.

Kontakt für Pressevertreter
Pressesprecherin: Fr. Maria Christina Rost
Presse- und Öffentlichkeitsarbeit:
Telefon: +49 611 1408 119
Fax: +40 611 1408 900

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden