BayLfD: 27. Tätigkeitsbericht 2015/2016

Der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri, hat heute seinen Tätigkeitsbericht für die Jahre 2015 und 2016 der Öffentlichkeit vorgestellt. Der Bericht befasst sich unter anderem mit folgenden Themen:

Der EU-Gesetzgeber hat im Frühjahr 2016 eine grundlegende Reform des Europäischen Datenschutzrechts verabschiedet. Die Reform umfasst die Datenschutz-Grundverordnung, welche allgemein Datenschutzregeln für Unternehmen und Behörden festlegt, und eine Richtlinie, die speziell den Datenschutz der Strafjustiz regelt. Die Grundverordnung wird nach einer zweijährigen Übergangsfrist am 25. Mai 2018 Geltung erlangen. Das neue EU-Datenschutzrecht soll die Persönlichkeitsrechte der Bürgerinnen und Bürger stärken, insbesondere indem EU-weit für Wirtschaftsunternehmen einheitliche Datenschutzregeln gelten sollen. In Bezug auf die Datenverarbeitung im öffentlichen Interesse gelten zwar einheitliche Datenschutzstandards. Die Mitgliedstaaten haben aber insoweit Spielräume, die vom EU-Recht vorgegebenen Schutzstandards näher auszugestalten. Schließlich erweitert die Grundverordnung die gesetzlichen Aufgaben und Zuständigkeiten der Aufsichtsbehörden und fördert damit den Datenschutz auch im Vollzug.

Prof. Dr. Thomas Petri: „Ich appelliere an die Gesetzgeber von Bund und Bayern, die Vorgaben des neuen EU-Datenschutzrechts so umzusetzen, dass das bisher in Deutschland geltende Schutzniveau für unsere Bürgerinnen und Bürger nicht abgebaut wird.“

Die Videoüberwachung in Bayern hat wie in den letzten Jahren einen Schwerpunkt meiner Prüfungen gebildet.

  • Überprüft habe ich beispielsweise den Einsatz von Videoüberwachungssystemen in bayerischen öffentlichen Krankenhäusern. Bei meinen Vor-Ort-Prüfungen musste ich einige Unsicherheiten hinsichtlich der rechtlichen und technischen Rahmenbedingungen feststellen. Der Bericht stellt deshalb dar, wo und inwieweit Videoüberwachung im Krankenhaus datenschutzkonform eingesetzt werden kann. (Nr. 2.1.8) Zahlreiche Anfragen betrafen die Videoüberwachung in staatlich und kommunal betriebenen Unterkünften für Asylsuchende. Zum Schutz der Bewohnerinnen und Bewohner dieser Unterkünfte kann Videoüberwachung zulässig sein. (Nr. 7.2.1)
  • Unter welchen Voraussetzungen öffentliche Schulen Videoüberwachungsanlagen betreiben dürfen, hat das bayerische Landesrecht detailliert geregelt. Eine Schule nahm auf dem Schulgelände zahlreiche Kameras in Betrieb, so auch im Kollegstufencafé. Von dort wurden die Bilder direkt auf einen Monitor im Eingangsbereich der Schule übertragen, sodass alle Besucher des Schulgebäudes das Geschehen im Kollegstufencafé „live“‘ mitverfolgen konnten. Weder der Kamerastandort noch die per „Fernsehen“ bewirkte soziale Kontrolle entsprachen allerdings den rechtlichen Vorgaben. Gleichwohl berief sich die Schulleitung darauf, auf diese Weise aufsichtführendes Personal einsparen zu können. Auf meine Intervention hin konnte das Kultusministerium die Schule mit einigem Nachdruck schließlich zum Einlenken bewegen; letztlich wurden alle Kameras abgebaut. (Nr. 10.5)

In einer flächendeckenden Prüfung von mehr als 100 Krankenhäusern und Krankenhausverbünden habe ich deren Outsourcing-Aktivitäten insbesondere hinsichtlich des Scannens und Archivierens von Klinikunterlagen und der vorhandenen Entsorgungskonzepte untersucht. Dabei musste ich diverse Mängel feststellen. Zur Gleichbehandlung öffentlicher und privater Krankenhäuser in Bayern habe ich gemeinsam mit dem Landesamt für Datenschutzaufsicht einen Leitfaden erarbeitet, der ausführlich die rechtlichen Anforderungen darstellt und verschiedene Lösungswege aufzeigt. Die Behebung der bei der Prüfung festgestellten Mängel werde ich weiterhin intensiv begleiten und stichprobenartig auch vor Ort überprüfen. (Nr. 2.2.2)

Bei der Prüfung von Apps bayerischer Behörden – Anwendungen für mobile Telekommunikationsgeräte – habe ich festgestellt, dass vergleichbare Fehler gemacht werden wie schon vor Jahren bei der Entwicklung von Webanwendungen. Verantwortliche legen ihr Augenmerk häufig allein auf Funktionalität und Design. Datenschutz- und Datensicherheitsaspekte der App und der dahinterliegenden Systeme werden hingegen vielfach nicht oder nur unzureichend berücksichtigt. Als Handlungsalternativen bleiben den öffentlichen Stellen jetzt nur Nachbesserungen, eventuell sogar kostenintensive Neuentwicklungen oder die „Abschaltung“. Der Bericht gibt einen Überblick über die grundlegenden Datenschutzanforderungen. (Nr. 2.2.3)

Ein besonderes Augenmerk habe ich auf Wearables und GesundheitsApps gelegt. Unter meinem Vorsitz hat der Arbeitskreis Gesundheit und Soziales der unabhängigen Datenschutzbehörden des Bundes und der Länder ausführlich die Nutzung von Wearables und Gesundheits-Apps diskutiert und die Entschließung der Datenschutzkonferenz „Wearables und Gesundheits-Apps – Sensible Gesundheitsdaten effektiv schützen!“ vorbereitet. Insbesondere im Bereich der gesetzlichen Krankenversicherung darf die Gewährung von Vorteilen zum Beispiel bei der Tarifgestaltung oder bei Gesundheitsangeboten nicht von der Einwilligung in die Verwendung der gesammelten Daten abhängig gemacht werden. Die Einwilligung von Nutzerinnen und Nutzern insbesondere für die Weitergabe von Gesundheits- und Verhaltensdaten an Dritte muss stets freiwillig erfolgen. (Nr. 7.1)

Wie in den vergangenen Jahren habe ich mich auch in diesem Bericht ausführlich mit Speicherungen in polizeilichen Dateien beschäftigt. Einen Schwerpunkt habe ich diesmal auf die Überprüfung der „Falldatei Rauschgift“ gelegt. Diese Datei enthält bundesweit abrufbare Informationen über zum Beispiel erhebliche Verstöße gegen das Betäubungsmittelgesetz. Aufgrund meiner Prüfung konnte ich erreichen, dass zahlreiche unzulässige Eintragungen gelöscht wurden, da die gesetzlichen Voraussetzungen für eine bundesweite Speicherung nicht vorlagen. (Nr. 3.6.7)

Intensiv setzt sich der Bericht auch mit dem am 1. August 2016 in Kraft getretenen neuen Bayerischen Verfassungsschutzgesetz auseinander. Kritisch sehe ich vor allem, dass bei den grundrechtssichernden Verfahrensvorschriften eine generelle Absenkung des Schutzniveaus festzustellen ist. (Nr. 4.1)

Bayerische Wasserversorger bauen zunehmend sogenannte intelligente Wasserzähler in die Haushalte von Verbraucherinnen und Verbrauchern ein. Solche elektronischen Zähler speichern detailliert bestimmte Verbrauchswerte und funken einzelne dieser Daten sogar regelmäßig „auf die Straße“. Der Einsatz solcher Zähler ist aus diesen Gründen mit erheblichen datenschutzrechtlichen Problemen behaftet. Insbesondere kann ein Verbrauchsprofil aus den Daten erstellt werden, ohne dass die Betroffenen dies bemerken. „Intelligente“ Wasserzähler dürfen daher nur auf Grund einer ausreichend bestimmten Rechtsgrundlage betrieben werden, die derzeit allerdings noch nicht besteht. Mit den zuständigen Staatsministerien und dem Bayerischen Gemeindetag bin ich übereingekommen, dass für eine Übergangszeit eine Regelung durch kommunale Satzungen (nur) möglich ist, wenn den Bürgerinnen und Bürgern ein voraussetzungsloses Widerspruchsrecht hinsichtlich des Einbaus und des Betriebs eines Zählers mit Funkmodul eingeräumt wird. (Nr. 6.3)

Die vor allem in der zweiten Jahreshälfte 2015 stark angestiegene Zahl von Asylsuchenden führte vermehrt auch zu datenschutzrechtlichen Anfragen rund um die Aufnahme, Unterbringung und Betreuung der Asylsuchenden. Wiederholt haben Helferkreise und Wohlfahrtsverbände geltend gemacht, dass sie auf die behördliche Übermittlung von Listen mit personenbezogenen Daten der Asylbewerberinnen und -bewerber angewiesen seien, um schnell, individuell und bedarfsgerecht beraten und betreuen zu können. Ohne wirksame Einwilligung der Betroffenen halte ich dies aber für nicht zulässig, da weder das Bayerische Datenschutzgesetz noch eine andere Rechtsvorschrift die Übermittlung erlaubt oder anordnet. Grundsätzlich erscheint es angesichts des Umfangs und der Sensibilität der in solchen Listen aufgeführten personenbezogenen Daten angezeigt, den Kreis der Nutzungsberechtigten so klein wie möglich zu halten, auch um die Gefahr eines etwaigen Missbrauchs nicht zu erhöhen. Selbstverständlich dürfen die Wohlfahrtsverbände und ehrenamtlichen Helferkreise ihre Hilfsangebote in allgemeiner Form an die Asylbewerberinnen und -bewerber herantragen. Diese können dann selbst darüber entscheiden, ob und inwieweit sie eine Kontaktaufnahme oder eine Unterstützung wünschen.

Darüber hinaus habe ich den betroffenen Stellen datenschutzrechtliche Hinweise insbesondere zu den Anforderungen für den Einsatz von Dolmetscherinnen und Dolmetschern bei Gesundheitsuntersuchungen gegeben. (Nr. 7.2)

Einen Schwerpunkt der Kontrollen im Sozialbereich bildete meine Prüfung, ob die bayerischen Sozialbehörden bei der Anforderung von Kontounterlagen die Vorgaben des Gesetzgebers sowie der Rechtsprechung einhalten. Danach dürfen Sozialbehörden von den antragstellenden Personen grundsätzlich Kontounterlagen über einen Zeitraum von bis zu drei Monaten anfordern. Lediglich in Ausnahmefällen kann dieser Zeitraum ausgeweitet werden. Zudem müssen Sozialbehörden die antragstellenden Personen vorab auf die Möglichkeit zur Schwärzung besonderer Datenarten auf der Ausgabenseite der Kontoauszüge hinweisen (Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben). Inzwischen haben die meisten Sozialbehörden die festgestellten Mängel behoben. Gleichwohl habe ich mir Überprüfungen vor Ort vorbehalten. (Nr. 8.3.1)

Eine Krankenkasse hat einen ihrer Versicherten durch einen Detektiv verdeckt observieren lassen, um dem Verdacht eines Leistungsmissbrauchs nachzugehen. Zwar war zuzugestehen, dass durchaus Anhaltspunkte für einen Leistungsmissbrauch bestanden haben. Der Einsatz eines Sozialdetektivs ist jedoch hier mit massiven Eingriffen in das Recht auf informationelle Selbstbestimmung verbunden gewesen, die nicht gerechtfertigt waren. Ich habe dieses datenschutzwidrige Verhalten der Krankenkasse beanstandet. (Nr. 8.3.6)

Wesentliche Verbesserungen erfuhr der Datenschutz in der bayerischen Steuerverwaltung. Ursprünglich hatte ein einziger gemeinsamer behördlicher Datenschutzbeauftragter alle rund 100 Finanzämter und Außenstellen im Freistaat zu betreuen. Dies war nicht ansatzweise aufgabengerecht. Meine langjährigen Bemühungen um die Bestellung je eines behördlichen Datenschutzbeauftragten bei jeder einzelnen bayerischen Finanzbehörde hatten im Berichtszeitraum endlich Erfolg. Für die Steuerbürgerinnen und Steuerbürger sowie für die Finanzamtsbediensteten stehen nun bayernweit bei allen Finanzämtern und Außenstellen datenschutzkundige Ansprechpersonen zur Verfügung, die zudem eine effektive örtliche Datenschutzkontrolle sicherstellen können. Ergänzend wurden die Zugriffsberechtigungen sowie die Protokollierung der Abrufe von Steuerdaten in der bayerischen Steuerverwaltung neu geregelt. Eine beim Bayerischen Landesamt für Steuern neu eingerichtete zentrale Stelle nimmt zusätzlich landesweite Überwachungsaufgaben wahr. (Nr. 9.1)

Erstmals datenschutzrechtlich befriedigend geregelt wurde im Berichtszeitraum der Umgang mit Schülerunterlagen in den bayerischen öffentlichen Schulen. Nachdem der Gesetzgeber im Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen eine grundlegende Norm geschaffen hatte, konnte eine Schülerunterlagenverordnung erlassen werden, die sich ausführlich etwa mit dem Inhalt und der Verwendung, mit der Aufbewahrung und der Aussonderung sowie mit der Einsichtnahme in Schülerunterlagen befasst. Die Schülerunterlagenverordnung ist mittlerweile Bestandteil der Bayerischen Schulordnung geworden. Dass der Schutz des Rechts der Schülerinnen und Schüler auf informationelle Selbstbestimmung im Freistaat nun diesbezüglich auf einer soliden Grundlage steht, ist die Frucht eines lange Jahre vorangetriebenen Diskussionsprozesses mit dem Kultusministerium. (Nr. 10.1)

GPS-Ortungssysteme erfreuen sich im Fuhrparkmanagement großer Beliebtheit. Sie finden auch bei bayerischen öffentlichen Stellen zunehmend Verwendung, etwa in Fahrzeugen kommunaler Bauhöfe. Die Mitarbeiterüberwachung durch GPS birgt indes Risiken für die Datenschutzrechte der Bediensteten: Insbesondere die gewonnenen Bewegungsprofile können nämlich auch zur Leistungs- und Verhaltenskontrolle genutzt werden. Ich habe ausführliche Hinweise für den Einsatz von GPS-Ortungssystemen in Dienstfahrzeugen erarbeitet und dabei hervorgehoben, dass die Beschäftigten nicht einem permanenten Kontrolldruck ausgesetzt werden dürfen. Eine wichtige Sicherung liegt hier zudem in der Mitbestimmung des Personalrates. (Nr. 11.4)

Angesichts der fortschreitenden Digitalisierung unseres Alltags stehen neue Entwicklungen im E-Government auf der politischen Agenda. So ist am 30. Dezember 2015 das Gesetz über die elektronische Verwaltung in Bayern (Bayerisches E-Government-Gesetz) in Kraft getreten, das ich schon im Entstehungsprozess begleiten konnte. Viele meiner Hinweise wurden dabei berücksichtigt. Meine Kritik wurde inzwischen insoweit aufgegriffen, als die Staatsregierung eine Verordnungsermächtigung zu erforderlichen Konkretisierungen genutzt hat. (Nr. 12.1)

Auch zu einzelnen E-Government-Projekten wie beispielsweise dem BayernPortal habe ich intensiv beraten. (Nr. 12.2)

Ende 2015 hat der Gesetzgeber in das Bayerische Datenschutzgesetz ein neues allgemeines Recht auf Auskunft aufgenommen. Der neue Zugangsanspruch erfasst einen weiten Kreis von Informationen bei einer Vielzahl von Behörden im Freistaat, auch bei den Kommunen. Das Recht auf Auskunft ist ein wichtiger Baustein eines modernen, seine Verwaltungsabläufe grundsätzlich offenlegenden Gemeinwesens. Die Kontroll- und Beratungspraxis zeigt, dass der Auskunftsanspruch zunehmend Bekanntheit erlangt. Um dies zu unterstützen, habe ich eine Handreichung „Wie Sie das allgemeine Auskunftsrecht geltend machen“ erarbeitet, die auf meiner Homepage abgerufen werden kann. (Nr. 13.1)

Prof. Dr. Thomas Petri