Datenschutz in öffentlichen Einrichtungen – Besondere Anforderungen in Hessen

Öffentliche Einrichtungen in Hessen stehen vor besonderen datenschutzrechtlichen Herausforderungen. Sie verarbeiten täglich eine Vielzahl personenbezogener Daten von Bürgerinnen und Bürgern – oft in besonders sensiblen Bereichen wie Sozialleistungen, Gesundheit, Bildung oder Sicherheit. Gleichzeitig unterliegen sie einem besonders strengen Datenschutzregime, das sich aus der Kombination von DSGVO und HDSIG ergibt.

Das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG)

Das HDSIG trat 2018 in Kraft und löste das alte Hessische Datenschutzgesetz ab. Es gilt für öffentliche Stellen des Landes Hessen und der hessischen Kommunen und ergänzt die DSGVO in den Bereichen, in denen die Verordnung den Mitgliedstaaten Spielraum lässt. Wichtige Regelungsbereiche des HDSIG sind die Bestellung des Datenschutzbeauftragten (§ 5 HDSIG), die Verarbeitung personenbezogener Daten für besondere Zwecke (§§ 6 ff. HDSIG) sowie die Rechte der betroffenen Personen (§§ 15 ff. HDSIG).

Pflicht zur Bestellung eines DSB

Nach § 5 Abs. 1 HDSIG sind öffentliche Stellen des Landes und der Kommunen verpflichtet, einen Datenschutzbeauftragten zu benennen. Diese Pflicht gilt ohne Ausnahme – unabhängig von der Größe der Einrichtung oder der Art der Datenverarbeitung. Auch kleine Gemeinden mit wenigen Mitarbeitenden müssen einen DSB bestellen.

Der DSB kann intern aus dem Kreis der Beschäftigten oder extern auf der Grundlage eines Dienstleistungsvertrags bestellt werden. Für kleinere Einrichtungen ist der externe DSB häufig die praktikablere und wirtschaftlichere Lösung, da keine eigene Fachkompetenz aufgebaut werden muss.

Besondere Verarbeitungssituationen

Öffentliche Einrichtungen verarbeiten häufig besondere Datenkategorien nach Art. 9 DSGVO: Gesundheitsdaten in Gesundheitsämtern und Krankenhäusern, Daten über religiöse Überzeugungen in Schulen, biometrische Daten bei Behörden mit Ausweisfunktion. Diese Verarbeitungen erfordern besondere Schutzmaßnahmen und müssen sorgfältig dokumentiert werden.

Darüber hinaus sind viele Verarbeitungen in öffentlichen Einrichtungen gesetzlich vorgeschrieben. Dies erleichtert zwar die Frage der Rechtsgrundlage (Art. 6 Abs. 1 lit. e DSGVO), entbindet aber nicht von der Pflicht zur Einhaltung der übrigen datenschutzrechtlichen Anforderungen.

Zusammenarbeit mit dem HBDI

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) überwacht die Einhaltung der datenschutzrechtlichen Vorschriften durch öffentliche Stellen in Hessen. Er kann Prüfungen durchführen, Empfehlungen aussprechen und bei schwerwiegenden Verstößen Maßnahmen anordnen. Eine konstruktive Zusammenarbeit mit dem HBDI ist für öffentliche Einrichtungen wichtig.

Als externer Datenschutzbeauftragter bin ich die primäre Anlaufstelle für den HBDI bei meinen Mandanten. Ich begleite Prüfungen, beantworte Anfragen und setze Empfehlungen des HBDI um. Durch eine proaktive Datenschutzorganisation lassen sich die meisten Beanstandungen vermeiden.

Jährlicher Tätigkeitsbericht

Nach § 23 HDSIG sind öffentliche Stellen verpflichtet, einen jährlichen Tätigkeitsbericht des Datenschutzbeauftragten zu erstellen. Dieser dokumentiert die durchgeführten Maßnahmen und gibt einen Überblick über den Stand des Datenschutzes in der Einrichtung. Der Tätigkeitsbericht ist ein wichtiges Instrument zur Rechenschaftspflicht gegenüber der Leitungsebene und der Aufsichtsbehörde.