Der Hessische Beauftragte für Datenschutz und Informationsfreiheit legte seinen 48. Tätigkeitsbericht zum Datenschutz und seinen 2. Tätigkeitsbericht zur Informationsfreiheit vor

Pressemitteilung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit vom 13.05.2020.

Normalerweise hätte die Vorstellung dieses Berichts ganz im Zeichen des 50-jährigen Bestehens des Hessischen Datenschutzgesetzes stehen sollen.

Am 13.10.1970 trat das Hessische Datenschutzgesetz in Kraft. Es war weltweit das erste seiner Art und leitete eine Entwicklung ein, die zu einem vor 50 Jahren nicht voraussehbaren Bedeutungszuwachs des Datenschutzrechts führte. Die aus diesem Anlass geplanten Jubiläumsveranstaltungen fielen bisher der Corona-Pandemie zum Opfer. Mehr noch: Die zur Abwehr der Pandemie vorgenommenen massiven Grundrechtseingriffe werfen die Frage auf, ob nicht der Datenschutz insgesamt zu einer Farce zu werden droht. Das Gegenteil ist jedoch der Fall. Der Rechtsstaat ist vor allem in Krisensituationen der „Staat“ des geordneten Verwaltungsrechts. Die Executive in Hessen ist ersichtlich bemüht, die Rechtsordnung zu wahren und zu gewährleisten – etwa die Eingriffe in die informationelle Selbstbestimmung der Bürgerinnen und Bürger so gering wie möglich zu halten und im Zweifel die Abstimmung mit dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zu suchen.

Es ist daher nicht damit zu rechnen, dass die Maßnahmen zur Krisenbewältigung nach Zweckerreichung missbraucht werden sollen. Es ist vielmehr unstreitig, dass die grundrechtsbeschränkenden Maßnahmen keinen Dauerzustand darstellen. Das vorbildliche und disziplinierte Verhalten der Bevölkerung in Deutschland lässt sich nur mit dem Vertrauen erklären, das die Bevölkerung gegenüber der öffentlichen Verwaltung aufbringt. Bleibt es namentlich im Datenschutzbereich dabei, dann ist es gerechtfertigt, das hessische Datenschutzrecht (jeweils im kleinsten Kreis) zu feiern.

Das Jahr 2019 ist das erste Jahr, in dem durchgängig die neue Rechtslage nach DS-GVO und Datenschutzrichtlinie galt. Die Zahl der Anfragen und Beschwerden sowie der gemeldeten Datenpannen ist im Vergleich zum Vorjahr weiter gestiegen. Hier ist jedoch positiv zu vermerken, dass sich auch die Zahl der Mitarbeiterinnen und Mitarbeiter des HBDI, die mit der Bearbeitung dieser Eingaben betraut sind, im Vergleich zum Vorjahr erhöht hat.

Die Anforderungen, die durch die verstärkt internationalen Abstimmungsprozesse an die Aufsichtsbehörden gestellt werden, hatten eine Aufstockung des Personals allerdings auch dringend erforderlich gemacht.

Einzelthemen:

Hessisches Schulportal

Derzeit wird in Hessen eine landeseinheitliche Lernplattform im Rahmen des sogenannten Schulportals umgesetzt. Die Vorteile derartiger landeseinheitlicher Lernplattformen liegen gerade in Zeiten der Corona – Pandemie auf der Hand.

Da auf einer solchen Plattform aber auch eine Menge personenbezogener Daten von Schülerinnen und Schülern sowie Lehrkräften verarbeitet werden, sind zwangsläufig auch Konzepte zu entwickeln, die den datenschutzkonformen Umgang mit diesen Daten sicherstellen. Da dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit bisher keine umfassende Dokumentation über die Planungen vorliegen, konnte er noch keine abschließende datenschutzrechtliche Bewertung abgeben, will das Vorhaben aber weiterhin positiv begleiten.

Glascontainer mit Patientendaten auf dem Gelände eines Krankenhauses

Der Datenschutzbeauftragte eines hessischen Klinikums wurde darauf aufmerksam gemacht, dass sich in einem normalen Altglas-Standardcontainer auf dem frei zugänglichen Gelände der Klinik Glasflaschen mit Patientendaten befanden. Die Klinik hatte in diesem Container Altglas entsorgt, wie es bei Infusionslösungsflaschen oder anderen Flüssigmedikamenten zum Einsatz kommt. Ein nicht unerheblicher Anteil der Glasbehälter war mit Etiketten versehen, auf denen sich z.B. die Patienten-ID, Name und Vorname des Patienten, Geburtsdatum, Adresse, Krankenversicherungsnummer, Name der Krankenversicherung, betroffene Krankenstation und teilweise der Name des behandelnden Arztes befanden. Nachdem die Klinikleitung davon erfahren hatte, wurde der HBDI unverzüglich über diese Datenpanne in Kenntnis gesetzt. Außerdem wurde die Daten sofort gesichert und ein neues Entsorgungskonzept installiert.

Datenpanne bei Mastercard und Mastercard Priceless Specials

Im August 2019 wurde Mastercard durch Dritte darauf aufmerksam gemacht, dass eine Liste mit Kunden von Mastercard, die etwa 90.000 Personen umfasst hat, im Internet veröffentlicht wurde. In dieser Liste waren neben Namen der betroffenen Personen auch deren Geburtsdatum, die Postanschrift, die E-Mail-Adresse und die vollständige Kreditkartennummer enthalten. Betroffen waren überwiegend deutsche Kunden. Da die deutsche Niederlassung von Mastercard ihren Sitz in Hessen hat, hat Mastercard die Datenpanne an den HBDI gemeldet und innerhalb kürzester Zeit haben sich über 500 Kunden ebenfalls an den HBDI gewandt.

Die Untersuchung des Vorgangs ergab, dass die Datenpanne auf das Programm Mastercard Priceless Specials (Kundenbindungsprogramm) beschränkt und das Zahlungsverkehrsnetz von Mastercard nicht betroffen war. Vor allem Sicherheitsprobleme bei dem von Mastercard beauftragten Dienstleister haben zu dem Datenschutzverstoß geführt.

Durch die Bearbeitung sind sowohl bei Mastercard als auch beim HBDI in erheblichem Umfang Aufwände entstanden. Die Abstimmung zwischen den Aufsichtsbehörden und mit Mastercard zur Aufklärung des Sachverhalts war sehr aufwändig. Auch die Bearbeitung der beim HBDI eingegangenen Beschwerden war mit den üblichen Ressourcen und Arbeitsabläufen aufgrund der Masse der Eingaben nicht mehr möglich. Der Vorgang macht deutlich, so Prof. Ronellenfitsch, dass auch Sicherheitsmängel von vermeintlich geringem Umfang bei Veröffentlichung von personenbezogenen Daten zu einem erheblichen Aufwand und zu Reputationsschäden beim Verantwortlichen führen können.

Bußgelder gegen Mitarbeiter öffentlicher Stellen bei zweckwidriger Datenverwendung

Gegen öffentliche Stellen können in Hessen wegen Datenschutzverstößen keine Bußgelder verhängt werden. Allerdings können gegen deren Mitarbeiterinnen und Mitarbeiter dann Bußgelder verhängt werden, wenn das schädigende Verhalten nicht dem öffentlichen Arbeitgeber anzulasten ist. So hat der HBDI gegen eine Mitarbeiterin eines Ordnungsamtes ein Bußgeld verhängt, die ohne dienstlichen Anlass eine elektronische Einwohnermeldeabfrage vorgenommen und Daten zu einer bestimmten Person angefordert hat. Dies geschah zwar vom Arbeitsplatz des Dienstherrn aus, aber zu rein privaten Zwecken, so dass dies Vorgehen nicht dem Dienstherrn, sondern der Mitarbeiterin zuzurechnen war. In derartigen Fällen des sogenannten Mitarbeiterexzesses kann die Aufsichtsbehörde direkt gegen Mitarbeiter einer öffentlichen Stelle vorgehen.

Entwicklung der Informationsfreiheit

Die Informationsfreiheit entwickelt sich seit Inkrafttreten des vierten Teils des Hessischen Datenschutz- und Informationsfreiheitsgesetzes im Mai 2018 gut. Auch in den Kommunen, für die der Gesetzgeber die Informationsfreiheit unter den Vorbehalt einer kommunalen Satzung gestellt hat, wird verschiedentlich das Erfordernis einer korrekten Information durch den Staat gesehen, um der Fülle von falschen und unvollständigen Informationen insbesondere in den sozialen Medien vorzubeugen bzw. entgegenzuwirken. So haben inzwischen einige Kommunen Informationsfreiheitssatzungen beschlossen. Allerdings fehlt dem HBDI eine Übersicht, welche Kommunen sich zu diesem Schritt entschlossen haben, da es dafür keine Anzeigepflicht gibt.

Hier geht es zum 48. Tätigkeitsbericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit.

Die Pressemitteilungen des Hessischen Beauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.