HDSIG · DSGVO · Hessen

Datenschutz für öffentliche Einrichtungen in Hessen

Spezialisierte Beratung für Behörden, Kommunen und Landeseinrichtungen

Rechtlicher Rahmen

Besondere Anforderungen öffentlicher Stellen

Öffentliche Stellen in Hessen unterliegen einem besonders strengen Datenschutzregime. Neben der europäischen Datenschutz-Grundverordnung (DSGVO) gilt für hessische Behörden, Kommunen und Landeseinrichtungen das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG), das spezifische Anforderungen an die Verarbeitung personenbezogener Daten im öffentlichen Bereich stellt.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten gilt für öffentliche Stellen grundsätzlich ohne Ausnahme – unabhängig von der Größe der Einrichtung oder der Anzahl der mit Datenverarbeitung befassten Mitarbeitenden. Dies ergibt sich aus Art. 37 Abs. 1 lit. a DSGVO in Verbindung mit § 5 HDSIG.

Öffentliche Einrichtungen verarbeiten täglich eine Vielzahl besonders sensibler personenbezogener Daten: von Sozialdaten über Gesundheitsinformationen bis hin zu Daten aus dem Meldewesen oder der Steuerverwaltung. Diese Verarbeitungen sind häufig gesetzlich vorgeschrieben und erfordern besondere Schutzmaßnahmen.

Thorsten Wieczorek – Externer Datenschutzbeauftragter für öffentliche Einrichtungen Hessen

Art. 30 DSGVO

Dokumentationspflichten

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist für öffentliche Stellen ein zentrales Instrument der Rechenschaftspflicht. Es dokumentiert alle Verarbeitungsvorgänge, die Zwecke der Verarbeitung, die betroffenen Datenkategorien, die Empfänger sowie die vorgesehenen Löschfristen. Ich erstelle und pflege dieses Verzeichnis für meine Mandanten und stelle sicher, dass es stets aktuell und vollständig ist.

Darüber hinaus sind öffentliche Stellen verpflichtet, technische und organisatorische Maßnahmen (TOMs) zu dokumentieren, die den Schutz personenbezogener Daten gewährleisten. Diese Maßnahmen müssen regelmäßig überprüft und angepasst werden, um dem Stand der Technik zu entsprechen und den Anforderungen des Art. 32 DSGVO gerecht zu werden.

HBDI

Prüfungssicherheit

Aufsichtsbehördliche Prüfungen sind für öffentliche Stellen eine reale Möglichkeit. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) führt regelmäßig Kontrollen durch und kann bei festgestellten Verstößen Maßnahmen anordnen. Eine vollständige und aktuelle Datenschutzdokumentation ist die beste Vorbereitung auf solche Prüfungen.

Ich begleite meine Mandanten bei der Vorbereitung auf Prüfungen, unterstütze bei der Beantwortung von Anfragen der Aufsichtsbehörde und stehe im Prüfungsverfahren als fachkundiger Ansprechpartner zur Verfügung. Durch eine proaktive Datenschutzorganisation lassen sich die meisten Beanstandungen vermeiden.

Art. 39 DSGVO

Aufsichtsbehörden-Kontakt

Der Datenschutzbeauftragte ist nach Art. 39 Abs. 1 lit. e DSGVO die primäre Anlaufstelle für die Aufsichtsbehörde. Dies bedeutet, dass der HBDI bei Anfragen, Beschwerden oder Prüfungen zunächst mit dem DSB in Kontakt tritt. Als externer DSB übernehme ich diese Kommunikation vollständig und entlaste damit die Leitungsebene meiner Mandanten.

Die Zusammenarbeit mit dem HBDI umfasst die Beantwortung von Anfragen, die Teilnahme an Prüfungsgesprächen sowie die Umsetzung von Empfehlungen und Anordnungen der Aufsichtsbehörde. Eine konstruktive und transparente Zusammenarbeit mit dem HBDI ist dabei stets das Ziel.

Art. 38 Abs. 6 DSGVO

Trennung IT & DSB-Rolle

Ein besonders wichtiger Aspekt für öffentliche Stellen ist die klare Trennung zwischen der IT-Abteilung und der Datenschutzbeauftragten-Funktion. Gemäß Art. 38 Abs. 6 DSGVO darf der DSB andere Aufgaben und Pflichten wahrnehmen, sofern diese nicht zu einem Interessenkonflikt führen. Die Übernahme der DSB-Funktion durch den IT-Leiter oder einen IT-Dienstleister ist in der Regel problematisch, da die IT-Abteilung selbst für viele datenschutzrelevante Verarbeitungen verantwortlich ist.

Als externer Datenschutzbeauftragter bin ich vollständig unabhängig von der IT-Infrastruktur meiner Mandanten. Ich überwache die Einhaltung der datenschutzrechtlichen Anforderungen auch gegenüber der IT-Abteilung und stelle sicher, dass technische Entscheidungen datenschutzkonform getroffen werden.

Art. 35 DSGVO

Datenschutz-Folgenabschätzung (DSFA)

Wenn öffentliche Stellen neue Verfahren einführen oder bestehende Systeme wesentlich verändern, ist häufig eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich. Dies gilt insbesondere bei der Einführung von E-Government-Plattformen, biometrischen Systemen, umfangreichen Videobeobachtungen oder der Verarbeitung besonderer Kategorien personenbezogener Daten im großen Maßstab.

Ich begleite öffentliche Einrichtungen vollständig durch den DSFA-Prozess: von der Schwellenwertanalyse über die Risikoidentifikation bis hin zur Dokumentation der Abmilderungsmaßnahmen. Eine sorgfältig durchgeführte DSFA schützt nicht nur die Rechte der Betroffenen, sondern dient auch als Nachweis der Rechenschaftspflicht gegenüber der Aufsichtsbehörde.

Art. 33–34 DSGVO

Datenschutzverletzungen melden

Öffentliche Stellen sind gemäß Art. 33 DSGVO verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zu melden. Diese enge Frist erfordert klare interne Prozesse und eine sofortige Reaktionsfähigkeit.

Ich erstelle für meine Mandanten ein Notfallhandbuch für Datenschutzverletzungen, das alle Meldewege, Verantwortlichkeiten und Dokumentationspflichten verbindlich regelt. Im Ernstfall stehe ich als erster Ansprechpartner zur Verfügung, übernehme die Kommunikation mit dem HBDI und unterstütze bei der Benachrichtigung betroffener Personen nach Art. 34 DSGVO. Durch regelmäßige Schulungen und Sensibilisierungsmaßnahmen wird das Risiko von Datenpannen langfristig minimiert.

Datenschutz für Ihre Einrichtung prüfen lassen

Ich berate Behörden, Kommunen und Landeseinrichtungen in Hessen.

Erstgespräch vereinbaren