Please find the English version below.
+++ 1,2 Millionen Euro Bußgelder +++ über 4.000 Beschwerden und Datenpannen +++ viele Fälle mit KI-Bezug +++
Fuchs warnt vor Ausweitung der Gesichtserkennung: „Bürger:innen müssen sich im öffentlich Raum frei von Überwachung bewegen können.“
Im Rathaus hat heute der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Thomas Fuchs seinen Tätigkeitsbericht an Bürgerschaftspräsidentin Carola Veit übergeben und im Anschluss Fragen der Presse beantwortet.
Entwicklung der Fallzahlen für Beschwerden und Datenschutzverletzungen
Die datenschutzrechtlichen Eingänge beim HmbBfDI haben im Berichtsjahr 2024 mit 4.237 den entsprechenden Vorjahreswert (4.036) deutlich übertroffen. Ob Beschwerden, Beratungen oder Datenpannen – die Anzahl der verschiedenen Vorgangsarten beim Datenschutzbeauftragten markierte 2024 neue Höchstwerte.
So liegt die Zahl der Beschwerdeverfahren mit 2607 Fällen über den Vorjahreswert von 2537 Fällen. Weiter ansteigend sind auch die gemeldeten Datenschutzverletzungen. Nach 925 Fällen im Vorjahr stieg die Zahl der Data-Breach-Meldungen auf insgesamt 955.
Bußgelder auf neuem Höchststand – mangelnde Daten-Compliance in Unternehmen
Im Berichtsjahr konnten 20 Bußgeldverfahren rechtskräftig abgeschlossen werden. Bei einer Bußgeldhöhe von über 1,2 Millionen Euro wurde damit die höchste Verfahrenszahl seit 2020 erreicht. Viele Fälle, die mit hohen Zahlungen geahndet wurden, waren Ausdruck eines schlechten Datenmanagements. Daten wurden vielfach deutlich länger gespeichert als notwendig, Datenlisten werden schlecht entsorgt, oft weniger aus bösem Willen als aus Unachtsamkeit oder fahrlässigem Unwissen.
Gut strukturierte digitale Prozesse sind jedoch nicht nur für den Datenschutz unabdingbar, sondern auch für eine zukunftsfähige Unternehmensführung. Gerade für Unternehmen mit digitalen Geschäftsmodellen ist eine professionelle Datennutzung unumgänglich. Der HmbBfDI wird in diesem Bereich seine beschwerdeunabhängigen Prüfungen fortsetzen.
Hamburg geht voran mit datenschutzfreundlicher KI
Wegen der Vielzahl an KI-Themen, an denen der HmbBfDI beteiligt war, enthält der TB 2024 erstmals ein eigenes KI-Kapitel. Positiv ist voranzustellen, dass die Stadt auf Anraten des HmbBfDI Rechtsgrundlagen für das Training von KI-Modellen mit personenbezogenen Daten geschaffen hat.
Die Stadt Hamburg hat das KI-System LLMoin im Berichtsjahr in Bezug auf die Nutzungsmöglichkeiten erweitert, und führt dieses aktuell in den Behörden ein. Es handelt sich um ein Programm, das Texte generieren und Dokumente zusammenfassen kann sowie freies Prompten durch Eingabe von Fragen ermöglicht. Auch wenn einige Detailfragen noch offen sind, hat der Senat den HmbBfDI bei der Implementierung vollumfänglich eingebunden und Hinweise zum Schutz personenbezogener Daten umgesetzt. Die Zusammenarbeit wird engmaschig fortgesetzt.
Zur Schwimmaufsicht werden im Billebad KI-Systeme unterstützend eingesetzt, die mit Überwasserkameras Bewegungsmuster erkennen, die zu einem Ertrinkungsunfall führen können. Der HmbBfDI begleitet beratend den Einsatz solcher Erkennungssysteme, die in Hamburg bei der Beaufsichtigung des Badebetriebs erstmalig im Testbetrieb genutzt werden. Die gute Zusammenarbeit mit Bäderland Hamburg zeigt, dass der Einsatz von KI-Technologie datenschutzkonform funktionieren kann. Dies betrifft insbesondere die zügige Löschung der Bilddaten.
Im Hinblick auf die gerade stattfindenden Koalitionsverhandlungen in Hamburg und Berlin gilt aus Datenschutzperspektive dem Einsatz von Gesichtserkennungssystemen im Bereich der Inneren Sicherheit besondere Aufmerksamkeit. Der HmbBfDI hat den maßvollen Einsatz von sogenannten KI-Kameras am Hansaplatz konstruktiv begleitet, steht aber der Einführung biometrischer KI-Systeme im öffentlichen Raum sehr kritisch gegenüber.
Dazu Thomas Fuchs: „Mobile KI-Kameras, Ausweitung von Gebieten mit Kameraüberwachung, Drohneneinsatz bei Demonstrationen – die technologischen Möglichkeiten, Personen im öffentlichen Raum in Echtzeit zu identifizieren, werden immer vielfältiger. Hier muss der freiheitliche Rechtsstaat Grenzen wahren, und hier wird deutlich, dass das Recht auf informationelle Selbstbestimmung ein Freiheitsrecht ist. Bürger:innen müssen sich im öffentlich Raum frei von Überwachung bewegen können.“
Save the Date: Datenschutzsprechstunde zum Tätigkeitsbericht am 15. April 2025
Im Rahmen unserer neuen Veranstaltungsreihe, der Datenschutzsprechstunde, wird Thomas Fuchs am 15. April 2025 um 13:30-14:30 Uhr Bürger:innen Fragen zum 33. Tätigkeitsbericht Datenschutz beantworten. Die Datenschutzsprechstunde ist ein neuer Bestandteil der Bildungsangebote des HmbBfDI. Als niedrigschwellige Anlaufstelle für digitale Fragestellungen richtet sich die Reihe an eine breite Zielgruppe. Die Veranstaltung findet digital statt.
Lesen Sie hier den Tätigkeitsbericht Datenschutz 2024
Kontakt für Rückfragen
Eva Zimmermann, Pressesprecherin
Telefon: +49 40 428 54-4044
E-Mail: presse(at)datenschutz.hamburg.de
+++
Hamburg DPA presents Data Protection Activity Report 2024
+++ 1.2 million euros in fines +++ over 4,000 complaints and data breaches +++ many AI-related cases +++
DPA Fuchs cautions against facial recognition expansion: “Citizens must be able to move freely in public spaces without being monitored.”
At city hall today, the Hamburg Commissioner for Data Protection and Freedom of Information, Thomas Fuchs, presented an activity report to the Parliament President, Carola Veit, then fielded questions from the press.
Trends in complaints and data protection violations
Data protection-related submissions to the Hamburg DPA in the reporting year 2024, reached 4,237, significantly exceeding last year’s figures (4,036). Whether complaints, consultations or data breaches – the number of handled cases reached new highs in 2024.
At 2607, complaints exceeded last year’s total of 2537. Reported personal data breaches also continued to rise. After 925 cases in the previous year, the number of data breach reports increased to 955.
Fines at a new high – inadequate data compliance in companies
During the reporting year, 20 fine proceedings finalized. With fines totaling over 1.2 million euros, this marks the highest number of proceedings since 2020. Many heavily-fined cases reflected poor data management. Frequently, data was stored significantly longer than necessary and data lists poorly disposed of, often from carelessness rather than malicious intent.
Well-structured digital processes remain essential for data protection, but also for sustainable corporate governance. Especially for companies with digital business models, implementing professional data governance practices is essential. The Hamburg DPA will continue independent audits in this area.
Hamburg leads the way with privacy-friendly AI
Given numerous AI projects in which the Hamburg DPA has been involved, for the first time the 2024 activity report contains a dedicated AI chapter. On a positive note, the city has created legal bases for training AI models with personal data on the advice of the Hamburg DPA.
During the reporting year, the City of Hamburg expanded the possible uses of the LLMoin AI system and is currently introducing it to public authorities. This program generates texts and summarizes documents and enables question-based prompting. While some details are still being finalized, the Hamburg Senate has fully involved the Hamburg DPA in the implementation and followed advice on personal data protection. Close cooperation continues.
In the Billebad, AI systems now support swimmer supervision. Surface cameras detect movement patterns that could indicate a drowning risk. The Hamburg DPA provides guidance on these detection systems, being tested for the first time in Hamburg. Successful cooperation with the public swimming pool operator Bäderland Hamburg shows that the use of AI technology can work in compliance with data protection requirements, particularly regarding prompt image data deletion.
With coalition negotiations in Hamburg and Berlin underway, facial recognition systems in the area of internal security requires particular attention from a data protection perspective. The Hamburg DPC has constructively supported moderate AI camera deployment at Hansaplatz while remaining very critical of biometric AI systems in public spaces.
Thomas Fuchs stated: “Mobile AI cameras, expanded camera surveillance areas, drones monitoring demonstrations –technological possibilities for real-time identification in public spaces continue to diversify. Democratic constitutional states must uphold limitations, demonstrating that privacy and self-determination in the digital age represent a fundamental right. Citizens must move freely in public spaces, free from surveillance.”
Save the Date: Data Protection “Office Hours” on the Activity Report on April 15, 2025
As part of our new Data Protection”Office Hours”, Thomas Fuchs will answer citizens' questions about the 33rd Data Protection Activity Report on April 15, 2025 from 1:30-2:30 p.m. “Office Hours” represents a new component of the Hamburg DPA’s outreach initiatives. As a low-threshold point of contact for digital issues, the series is aimed at a broad target group. The event will take place online.
Please find the Data Protection Activity Report 2024 (German) here
For further questions please contact
Eva Zimmermann, Press Officer
Phone: +49 40 428 54-4044
Mail: presse(at)datenschutz.hamburg.de
