BayLfD: Veröffentlichung des 29. Tätigkeitsberichts 2019

Der Bayerische Landesbeauftragte für den Datenschutz stellt Ergebnisse seiner Arbeit im Jahr 2019 vor

Seit Mai 2018 gelten in Bayern die Datenschutz-Grundverordnung und das neue Bayerische Datenschutzgesetz. Am Ende des Jahres 2018 hatten nicht nur die meisten Bürgerinnen und Bürger, sondern auch die staatlichen und kommunalen Behörden im Freistaat erste Erfahrungen mit dem neuen Recht gesammelt. So stand das Jahr 2019 im Zeichen einer Konsolidierung und Differenzierung: Alte Datenschutzprobleme stellten sich vor dem Hintergrund des gewandelten Rechtsrahmens neu, bisher unbekannte Probleme traten hinzu. So gewann die Datenschutzarbeit meiner Behörde an Detailtiefe. Dies zeigt auch der 29. Tätigkeitsbericht 2019. Er beschäftigt sich mit grundsätzlichen Fragestellungen, beleuchtet aber auch Alltagssituationen aus bayerischen Rathäusern und Landratsämtern, Schulen oder Polizeiinspektionen.

Mehrere Gesetzesvorhaben waren aus Datenschutzsicht zu begleiten. Im Bereich des Kultusministeriums etwa wurden in der Bayerischen Schulordnung wichtige datenschutzrechtliche Vorgaben gebündelt und teilweise neu gefasst; Änderungen ergaben sich zudem im Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen, in der Lehrerdienstordnung und der Studienkollegordnung (Beitrag Nr. 10.1). Im Justizbereich befasste ich mich mit einem Regelungsvorhaben betreffend die Einsicht in notarielle Urkunden zu Forschungszwecken (Beitrag Nr. 4.1). An der Evaluation des neuen Polizeiaufgabengesetzes (PAG) war ich im Rahmen der sog. PAG-Begleitkommission beteiligt (Beitrag Nr. 1.3).

Meine Geschäftsstelle hatte viele Eingaben von Bürgerinnen und Bürgern sowie Anfragen von bayerischen öffentlichen Stellen zu bearbeiten und konnte dabei längst nicht immer auf eine langjährige Beratungspraxis zurückgreifen. Vielmehr waren oftmals neue Lösungen zu entwickeln.

Zu den grundsätzlichen Themen – einem ersten Schwerpunkt meines Tätigkeitsberichts – zählt etwa die Identifizierung betroffener Personen bei der Geltendmachung von Betroffenenrechten. Hier waren Empfehlungen zu formulieren, die es Bürgerinnen und Bürgern nicht unnötig erschweren, Rechte etwa auf Auskunft oder auf Berichtigung gegenüber einem Verantwortlichen geltend zu machen, zugleich aber gewährleisten, dass nicht – gerade beim Recht auf Auskunft – schützenswerte Daten an nichtberechtigte Dritte gelangen (Beitrag Nr. 2.2). Von grundsätzlicher Bedeutung sind auch die Fragen, ob der Personalrat – in einer Behörde das Gegenstück zum Betriebsrat – ein eigenständiger Verantwortlicher ist, und ob ein Mitglied dieses Gremiums zugleich behördlicher Datenschutzbeauftragter sein kann. Ich habe hier eine Lösung erarbeitet, welche die Personalratsarbeit möglichst wenig beeinträchtigt, dabei aber auch datenschutzrechtlichen Anforderungen genügt (Beiträge Nr. 9.5 und 9.6). Ein scheinbar „kleines“, jedoch ebenfalls grundsätzliches Problem behandelt ein Beitrag zu Beschäftigtenfotos für Marketingmaßnahmen öffentlicher Stellen. Hier geht es unter anderem um die in der Datenschutzliteratur viel diskutierte Frage des Verhältnisses von (Kunst-)Urheberrecht und Datenschutzrecht. Ich stehe einer Nutzung von Beschäftigtenfotos in diesem Zusammenhang kritisch gegenüber (Beitrag Nr. 9.7).

Einen weiteren Schwerpunkt meines Tätigkeitsberichts bilden – wie in vorangegangenen Berichtsjahren – Datenschutzfragen der Kommunalpraxis. Heuer habe ich die datenschutzrechtlichen Hintergründe der Behandlung von Bausachen im Gemeinderat systematisch beleuchtet; ich hoffe, dass dies vielerorts die Sensibilität schärft und zu einer datenschutzgerechten Vorbereitung und Durchführung der Gremiensitzungen verhilft (Beitrag Nr. 5.1). Bei der Nutzung von Videotechnik in Bürgerversammlungen spreche ich mich für eine restriktive Handhabung aus (Beitrag Nr. 5.2). Da mich wieder einige Anfragen erreicht haben, die das Thema „Informantenschutz“ bei Behörden betreffen, habe ich Hinweise aus früheren Tätigkeitsberichten aktualisiert und ausgebaut (Beitrag Nr. 5.3). Noch nicht abgeschlossen sind die Diskussionen zum IT-Outsourcing im kommunalen Bereich. Meine gegenwärtige Position habe ich hier übersichtlich zusammengestellt (Beitrag Nr. 6.3).

Im Bereich der Sozial- und Gesundheitsverwaltung konnten Datenschutzfragen der COVID-19-Pandemie noch nicht berücksichtigt werden. Ein Beitrag zu Datenflüssen von der Polizei zu Gesundheitsämtern betrifft Informationen für den Vollzug des Bayerischen Psychisch-Kranken-Hilfe-Gesetzes (Beitrag Nr. 7.1). Ebenfalls Datenflüsse würdigt ein weiterer Beitrag für das Verhältnis zwischen Sozialbehörden und Staatsanwaltschaften (Beitrag Nr. 8.3). Ferner habe ich einen datenschutzfreundlichen Lösungsvorschlag für die Kooperation von Kliniken und Krankenhausseelsorgern bei der Weitergabe von Patientendaten entwickelt (Beitrag Nr. 7.2) und das Thema „Informantenschutz“ auch für den Bereich der Jugendämter im Zusammenhang mit Kindeswohlgefährdungen aufgegriffen (Beitrag Nr. 8.2).

Ein dritter Schwerpunkt meines Tätigkeitsberichts liegt in diesem Jahr bei technischen und organisatorischen Fragen, wobei ein grundsätzlicher Beitrag zum Thema „Künstliche Intelligenz“ im Mittelpunkt steht. Der Beitrag versucht, über zahlreiche Facetten dieses komplexen Themas zu orientieren und den Entwicklungsstand in Bayern sowie datenschutzrechtliche Handlungsbedarfe aufzuzeigen (Beitrag Nr. 12.1). Darüber hinaus berichte ich über meine Arbeit auf dem Themenfeld „Datenschutz-Folgenabschätzung“ (Beitrag Nr. 12.2) und gebe insbesondere bayerischen Behörden praktische Hinweise zur Prävention gegen das Eindringen von Schadsoftware in IT-Systeme (Beitrag Nr. 12.3) oder zur Überwachung von Auftragsverarbeitern bei Fernzugriffen (Beitrag Nr. 12.6).

Da die Datenschutz-Grundverordnung eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten eingeführt hat, gehen bei mir tagtäglich entsprechende Meldungen ein, die in zahlreichen Fällen datenschutzaufsichtliche Maßnahmen nach sich ziehen. Eine kleine Auswahl solcher Fälle schildert der Beitrag Nr. 12.7.

Erheblich ausgebaut habe ich im Berichtsjahr mein Angebot an Informationsmaterialien. Insbesondere für Bürgerinnen und Bürger ist das neue, kostenfrei beziehbare Buch „Meine Daten, die Verwaltung und ich“ gedacht. Besonders an Behörden richten sich mehrere neue Orientierungshilfen – so zum Recht auf Auskunft und zur Meldepflicht und Benachrichtigungspflicht bei Datensicherheitsverletzungen -, ferner zahlreiche Arbeitspapiere und Aktuelle Kurz-Informationen (Überblick in Beitrag Nr. 2.1).

Insgesamt belegt der 29. Tätigkeitsbericht: Datenschutz ist eine sehr vielseitige Materie.

Das Arbeitspensum lässt sich nur mit einem gut aufgestellten Personalstamm bewältigten, der über rechtlichen wie auch technischen und organisatorischen Sachverstand verfügt, um Eingaben qualifiziert bearbeiten sowie Bürgerinnen, Bürger und Behörden fundiert beraten zu können. In meiner Geschäftsstelle sind zahlreiche erfahrene Referentinnen und Referenten beschäftigt, die aus einer Vielzahl von unterschiedlichen bayerischen Behörden zu mir gekommen sind und dorthin nach einigen Jahren auch wieder zurückkehren. Jede und jeder davon bringt eine eigene Verwaltungspraxis mit; oftmals ist diese Verwaltungspraxis unabdingbar, um Datenschutzprobleme in fachlichen Zusammenhängen adäquat verorten und lösen zu können. Dieser „eingebaute“ externe Sachverstand trägt wesentlich zur hohen Qualität der Arbeit meiner Geschäftsstelle bei. Zugleich lernt jede meiner Referentinnen und jeder meiner Referenten während der Zeit „beim Datenschutz“ eine Menge über dessen rechtliche, technische und organisatorische Aspekte. Viele Früchte dieses Lernprozesses erntet später die Heimatbehörde. Und das ist auch gut so – nur lässt es sich nicht mehr in meinem Tätigkeitsbericht beschreiben.

Ich möchte daher die Gelegenheit nutzen, allen meinen Referentinnen und Referenten für den unermüdlichen und kompetenten Einsatz zu danken, zugleich aber ihren Heimatbehörden für die Bereitschaft, meine Geschäftsstelle durch die Entsendung von Mitarbeiterinnen und Mitarbeitern nachhaltig zu unterstützen. Diese Bereitschaft ist eine notwendige Voraussetzung für das Gelingen von Datenschutz in Bayern.

Den 29. Tätigkeitsbericht 2019 habe ich Landtagspräsidentin Ilse Aigner überreicht (Fotos auf meiner Homepage https://www.datenschutz-bayern.de unter „Presse – Pressegalerie“ sowie auf der Homepage des Bayerischen Landtags https://www.bayern.landtag.de unter „Aktuelles – Presse – Pressefotos“).

Der 29. Tätigkeitsbericht 2019 ist seit heute auf meiner Homepage https://www.datenschutz-bayern.de unter „Tätigkeitsberichte“ abrufbar. Er kann aber auch in Papierform kostenfrei von meiner Geschäftsstelle bezogen werden.

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.



BayLfD: Veröffentlichung des 29. Tätigkeitsberichts 2019 (Vorankündigung)

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht am Montag, den 25. Mai 2020 seinen 29. Tätigkeitsbericht 2019. Der Bericht kann ab 11.00 Uhr auf der Homepage https://www.datenschutz-bayern.de abgerufen werden. Mit ihm wechselt die Erscheinungsweise vom langjährigen Zweijahres- in einen Jahresrhythmus. Dass es nun für jedes Jahr einen Bericht gibt, liegt an den Vorgaben des neuen Datenschutzrechts.

Die Umsetzung der 2018 in Geltung getretenen Datenschutz-Grundverordnung und vieler weiterer Regelungen des spezifischen Datenschutzrechts im öffentlichen Sektor hat die Tätigkeit des Bayerischen Landesbeauftragten für den Datenschutz auch im vergangenen Jahr geprägt.

Einen Schwerpunkt bilden traditionell datenschutzrechtliche Fragen aus dem Alltag der Fachbehörden, diesmal etwa bei der Behandlung von Bausachen im Gemeinderat oder der Durchführung von Bürgerversammlungen, bei der Zusammenarbeit von Kliniken und Krankenhausseelsorgern, beim Informantenschutz im Jugendamt oder beim Umgang mit amtsärztlichen Zeugnissen. Im Bereich des technischen und organisatorischen Datenschutzes sind Beiträge zu den Themen „Künstliche Intelligenz“ sowie „Angriffe durch Schadsoftware“ hervorzuheben. Auch ganz konkrete Fälle aus der Prüfungs- und Beratungspraxis fehlen nicht, so der eines Rentners, der auf einem Spielplatz für seinen Enkel eine neue Hüpfburg fotografierte – und sich schließlich als möglicher pädophiler Gefährder in einer polizeilichen Datenbank gespeichert fand.

Bedingt durch die COVID-19-Pandemie wird der 29. Tätigkeitsbericht – anders als in den vorangegangenen Jahren – nicht mit einer Pressekonferenz vorgestellt. Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Thomas Petri steht interessierten Journalistinnen und Journalisten gleichwohl gern für Interviews zur Verfügung. Zur Vereinbarung eines Termins wenden Sie sich bitte an sein Vorzimmer (Telefon: 089 212672-12, E-Mail: vorzimmer@datenschutz-bayern.de).

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.



BayLfD: Meine Daten, die Verwaltung und ich

Der Bayerische Landesbeauftragte für den Datenschutz gibt Datenschutz-Wegweiser für Bürgerinnen und Bürger heraus

Die Datenschutzreform 2018 liegt gut ein Jahr zurück. Die meisten Bürgerinnen und Bürger hatten bereits ihre ersten Begegnungen mit dem neuen Datenschutzrecht. Auch bayerische Staatsbehörden und Kommunen veröffentlichten oft umfangreiche Datenschutzhinweise, baten um Einwilligungen in die Verarbeitung personenbezogener Daten oder verhielten sich sonst anders als bisher – „aus Datenschutzgründen“, wie es dann hieß.

Datenschutz ist nicht nur Sache der Datenschutz-Aufsichtsbehörden. Jede Bürgerin und jeder Bürger ist gefordert, wenn es um die Sicherung des eigenen Freiheitsraums in einer zunehmend digitalisierten Welt geht. Das vom Bayerischen Landesbeauftragten für den Datenschutz herausgegebene Buch „Meine Daten, die Verwaltung und ich – Wegweiser durch die Welt der Datenschutz-Grundverordnung“ soll das hierfür erforderliche Know-How vermitteln.

Der Datenschutz-Wegweiser für Bürgerinnen und Bürger führt zunächst in die wichtigsten Grundstrukturen und Begriffe des Datenschutzrechts ein. Im Zentrum stehen dann die Betroffenenrechte der Datenschutz-Grundverordnung. Dazu zählen unter anderem die Rechte auf Auskunft, Berichtigung und Löschung sowie das Widerspruchsrecht. Ein Blick auf die Datenschutzaufsicht und das Beschwerderecht zeigt, wie betroffene Personen ihre Datenschutzrechte verteidigen können.

Prof. Dr. Thomas Petri: „Mit dem neuen Datenschutz-Wegweiser möchte ich das etwas sperrige Thema ‚Datenschutzrecht‘ für alle zugänglicher machen. Das Buch setzt seinen Schwerpunkt bewusst bei der Tätigkeit der bayerischen öffentlichen Stellen. Dies gilt auch für die zahlreich enthaltenen Beispiele. Interessierte Bürgerinnen und Bürger aus anderen Bundesländern oder dem europäischen Ausland können von dem bayerischen Datenschutz-Wegweiser aber ebenfalls profitieren: Immerhin gilt die Datenschutz-Grundverordnung unmittelbar in allen Mitgliedstaaten der Europäischen Union.“

Der Datenschutz-Wegweiser für Bürgerinnen und Bürger ist kostenlos erhältlich. Eine PDF-Version steht seit heute auf der Internetpräsenz des Bayerischen Landesbeauftragten für den Datenschutz https://www.datenschutz-bayern.de in der Rubrik „Datenschutzreform 2018“ zum Download bereit.

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.



BayLfD: Zugriff von Sicherheitsbehörden auf Alexa & Co. ist der falsche Ansatz

Nicht die Ausweitung von Zugriffen, sondern deren Begrenzung muss in den Mittelpunkt der gesellschaftlichen Diskussion gestellt werden.

Gestern wurde bekannt, die Innenministerkonferenz (IMK) beabsichtige, Handlungsempfehlungen für den Zugriff auf digitale Spuren aus sogenannten Smart-Home-Anwendungen zu erarbeiten, um vorhandene verfassungsrechtliche Bedenken auszuräumen.

Zwar ist es zu begrüßen, wenn sich Sicherheitsbehörden mit verfassungsrechtlichen Bedenken auseinandersetzen. In der Gesamtschau darf es aber nicht immer darum gehen, den staatlichen Zugriff auf private Daten zu erweitern.

Im Gegenteil müsste die gesamtgesellschaftliche Diskussion vor allem darüber geführt werden, wie das Sammeln und Auswerten digitaler Daten wirksam begrenzt werden kann.

Die Digitalisierung der Gesellschaft schreitet fortlaufend und auf allen Ebenen voran. Schritt für Schritt bleiben immer weniger Lebensbereiche, in denen keine digitalen Daten über uns anfallen und genutzt werden – für ganz verschiedene Zwecke und nicht immer im Sinne der menschlichen „Datenlieferanten“. Vom Computer über das Smartphone zu digitalisierten Haushalts- und Messgeräten, weiter zu sprachgesteuerten internetbasierten Assistenten wie Alexa: Verhaltensweisen und Vorlieben auch im privatesten Bereich werden erfasst, ein Ende dieser Entwicklung ist noch nicht ansatzweise in Sicht. Vor diesem Hintergrund wird Privatsphäre ohne wirksame Grenzziehungen zur Leerformel.

Überlegungen, wie all diese Daten (auch) von den Sicherheitsbehörden genutzt werden können, gehen daher in die falsche Richtung. Begrenzung von Datenverarbeitungen und Zugriffsmöglichkeiten muss das Ziel sein, nicht deren Ausweitung. Lassen Sie uns darüber diskutieren!

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.



BayLfD: Meldung von „Datenpannen“ bei bayerischen Behörden

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht eine neue Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“.

Seit der Datenschutzreform 2018 ist nun ein Jahr vergangen. Zu den Neuerungen zählen eine Meldepflicht bei Datenschutzverletzungen sowie eine Benachrichtigungspflicht gegenüber betroffenen Personen, die in besonders gravierenden Fällen eingreift. Auch die bayerischen öffentlichen Stellen des staatlichen wie des nichtstaatlichen, insbesondere des kommunalen Bereichs treffen diese Pflichten.

Prof. Dr. Thomas Petri: „Durch die zahlreich bei mir eingehenden Meldungen von ‚Datenpannen‘ entsteht ein Lagebild ‚Datensicherheit in Bayern‘, das eine zielführende präventive Datenschutzarbeit ermöglicht. Die Meldungen veranlassen mich regelmäßig zu Empfehlungen gegenüber den meldenden öffentlichen Stellen. Das Niveau im Bereich der Datensicherheit wird so kontinuierlich verbessert. Betroffene Bürgerinnen und Bürger erhalten bei einer verpflichtenden Benachrichtigung zudem Informationen, um ihre Rechte effektiv wahrnehmen zu können.“

Auf der Grundlage der bisher gewonnenen Erfahrungen hat der Bayerische Landesbeauftragte für den Datenschutz die Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ veröffentlicht, die zahlreiche Zweifelsfragen aufgreift und die einschlägigen Vorschriften der Datenschutz-Grundverordnung sowie des bayerischen Landesrechts für die bayerische Verwaltungspraxis umfassend erläutert. Dabei macht die Orientierungshilfe deutlich, dass nicht jeder Verstoß gegen datenschutzrechtliche Vorschriften, sondern nur eine Verletzung der Sicherheit personenbezogener Daten die Melde- und gegebenenfalls die Benachrichtigungspflicht auslöst. Sie gibt ratsuchenden öffentlichen Stellen weiterhin Empfehlungen für eine vereinfachte Risikoanalyse sowie für die Nutzung des mit Geltungsbeginn der Datenschutz-Grundverordnung eingeführten Online-Meldeformulars.

Die neue Orientierungshilfe ist seit heute auf https://www.datenschutz-bayern.de in der Rubrik „Datenschutzreform 2018“ zum kostenfreien Abruf bereitgestellt.

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.