BayLfD: 28. Tätigkeitsbericht für die Jahre 2017 und 2018

Der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri, hat heute seinen Tätigkeitsbericht für die Jahre 2017 und 2018 der Öffentlichkeit vorgestellt. Der Bericht befasst sich unter anderem mit folgenden Themen:

Wesentliche Schwerpunkte meiner Arbeit im Berichtszeitraum standen im Zusammenhang mit der Datenschutzreform 2018 (Nr. 1 und Nr. 2 des Tätigkeitsberichts). So habe ich die zuständigen bayerischen Ministerien bei der Erarbeitung zahlreicher Gesetz- und Verordnungsentwürfe begleitet. Dies gilt insbesondere für das neue Bayerische Datenschutzgesetz, das pünktlich zum Geltungsbeginn der Datenschutz-Grundverord­nung am 25. Mai 2018 in Kraft treten konnte. Darüber hinaus konnte ich viele staatliche und kommunale Behörden beim Übergang in die neue Datenschutzordnung beraten.

Meine Homepage stellt mittlerweile ein breit gefächertes Angebot an Informationen bereit. Dazu gehören neben ausführlichen Orientierungshilfen – etwa zu den Informationspflichten des Verantwortlichen, zur Funktion des behördlichen Datenschutzbeauftragten oder zum Instrument der Datenschutz-Folgenabschätzung – zahlreiche Aktuelle Kurz-Informationen, die zu konkreten Fragestellungen aus der Verwaltungspraxis ebenso konkrete Handlungsempfehlungen geben.

Auch wenn die Arbeiten im Zusammenhang mit der Datenschutzreform 2018 erhebliche personelle Ressourcen beansprucht haben und auch weiterhin beanspruchen, geht gleichwohl die datenschutzaufsichtliche „Alltagsarbeit“ weiter. Die Zahl der Eingaben aus der Bürgerschaft sowie der Anfragen aus dem Behördenbereich ist im Zusammenhang mit der Datenschutzreform 2018 erheblich angestiegen und blieb kontinuierlich auf einem hohen Stand.

Erfreulicherweise nehmen die bayerischen öffentlichen Stellen ihre Meldepflichten bei Datenschutzverletzungen (Nr. 3.1.6) zum großen Teil sehr ernst, so dass mich zahlreiche Meldungen erreicht haben. Die eingegangenen Meldungen geben einen guten Überblick zu den Arbeitsabläufen bayerischer öffentlicher Stellen und den Problemen, die dort auftreten. So musste ich feststellen, dass der elektronische Versand sensibler Unterlagen immer noch ein großes Thema darstellt. Neben der Fehladressierung mangelt es auch häufig an einer Verschlüsselung zur Absicherung der Inhalte. In vielen Fällen wird daher auf den Fax-Versand ausgewichen, der jedoch häufig zu „Vertippern“ bei der Nummerneingabe führt, so dass das Fax bei falschen Empfängern ankommt. Meldungen zu Schadsoftware, die in einem Fall auch zu einem mehrtätigen kompletten Systemausfall in einem Krankenhaus geführt hat, zeigen, wie wichtig das Thema Basis-IT-Sicherheit, Verwendung aktueller Software, Virenschutz und Sensibilisierung der Mitarbeiter für alle öffentlichen Stellen ist.

Neben einer kritischen Auseinandersetzung mit dem Polizeiaufgabengesetz (Nr. 4.1.1) enthält der Bericht auch diesmal Ausführungen zu Speicherungen in polizeilichen Dateien (Nr. 4.4). Unter anderem veranschauliche ich anhand zweier Fälle, welche Auswirkungen die sogenannte „Mitziehklausel“ haben kann. Nach dieser Regelung verlängert eine neue polizeiliche Speicherung die Speicherdauer aller „alten“ Speicherungen, da sich die Speicherdauer für alle Speicherungen nach der längsten Speicherfrist richtet. Dies kann dazu führen, dass zum Beispiel sogenannte „Jugendsünden“ über unnötig lange Zeiträume von der Polizei gespeichert bleiben.

Intensiv erörtere ich auch die 2018 vorgenommenen Änderungen des Bayerischen Verfassungsschutzgesetzes (Nr. 5.1). Kritisch sehe ich etwa, dass es keine umfassende Benachrichtigungspflicht der Betroffenen gibt. Ohne Kenntnis eines heimlich erfolgten Eingriffs ist ein effektiver Rechtsschutz aber praktisch erheblich erschwert oder unmöglich.

Ein weiteres Thema sind die Überweisungsvordrucke der Justizvollzugsanstalten (Nr. 6.4.1), mit denen Angehörige Gefangenen Geld zukommen lassen können. Diese waren ursprünglich so ausgestaltet, dass anhand des ausgefüllten Überweisungsträgers für Dritte (zum Beispiel Bankbeschäftigte) ersichtlich war, dass sich die namentlich genannte Person in einer Justizvollzugsanstalt befindet. Auf mein Betreiben hin wurden die Vordrucke so geändert, dass nunmehr keine Rückschlüsse mehr auf die Gefangeneneigenschaft der genannten Person möglich sind.

Die – von mir stets angemahnte – Rechtsgrundlage für den Einbau und Betrieb elektronischer Wasserzähler mit Funkmodul (Nr. 7.3) wurde in die Gemeindeordnung einfügt. So wird zugleich die insoweit veranlasste Datenverarbeitung eingehegt und eng begrenzt. Diese neue Bestimmung enthält zum einen das von mir ebenfalls seit langem geforderte voraussetzungslose Widerspruchsrecht gegen die Verwendung der Funkfunktion, welches dem Gebührenschuldner, dem Eigentümer und dem berechtigten Nutzer des versorgten Objekts zusteht. Zum anderen sieht diese Norm unmittelbar geltende Anforderungen an die Verarbeitung von Daten in einem elektronischen Wasserzähler vor. Die zentralen datenschutzrechtlichen Grundsätze der Erforderlichkeit (Datenminimierung) und der Zweckbindung bilden dabei die relevanten Maßstäbe.

Vor dem Hintergrund, dass insbesondere neue Parteien, die zu einer Wahl antreten, zu ihrem Wahlkreisvorschlag eine bestimmte Anzahl von Unterstützerunterschriften stimmberechtigter Bürger vorlegen müssen, darf eine Gemeinde in einer Tabelle die Namen der Bürger erfassen, die bereits einen Wahlkreisvorschlag unterstützt (Nr. 7.8.2) haben. Die Gemeinde muss überprüfen, dass jeder Unterstützer nur einen Vorschlag befürwortet hat. Weitergehende Informationen, insbesondere welche Partei unterstützt wurde, dürfen aber nicht gespeichert werden.

Aufgrund einer Beschwerde hatte ich mich mit der Zulässigkeit der Videoüberwachung einer durch ein Landratsamt betriebenen Gemeinschaftsunterkunft für Asylsuchende (Nr. 7.9) zu befassen. Der Außenbereich der Unterkunft wurde annähernd flächendeckend, die Flure der vier Bauteile wurden komplett erfasst. Dabei wurden 23 Kameras eingesetzt. Angesichts der hohen Eingriffsintensität gegenüber Bewohnern, Mitarbeitern, Ehrenamtlichen und Besuchern erschien der Weiterbetrieb der Anlage in dieser Form nicht möglich. Ich habe das Landratsamt deshalb aufgefordert, zumindest eine Reduzierung des Umfangs der Videoüberwachung zu prüfen. Nachdem das Landratsamt meine anhaltenden Bedenken hinsichtlich der Zulässigkeit der Videoüberwachung nicht ausräumen konnte, hat es sich schließlich bereit erklärt, auf die Videoüberwachung der Asylbewerberunterkunft vollständig zu verzichten.

Zur Begleitung der aktuellen Entwicklung der Digitalisierung im Gesundheitswesen (Nr. 8.1.3) hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder eine Unterarbeitsgruppe eingerichtet, die sich ausschließlich mit dieser komplexen Materie beschäftigen soll. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat aufgrund der bundesweiten Bedeutung den Vorsitz der Unterarbeitsgruppe übernommen. Ich bin in meiner Funktion als Vorsitzender des Arbeitskreises Gesundheit und Soziales der Datenschutzkonferenz fortlaufend in deren Arbeit eingebunden. Die Unterarbeitsgruppe hat bereits zahlreiche Themen beraten.
Mit Orientierungshilfen, Entschließungen, Empfehlungen und Leitlinien beabsichtigt die Unterarbeitsgruppe, der Politik, dem Bürger und der Verwaltung hilfreiche Hinweise bei der Digitalisierung im Gesundheitswesen zur Verfügung zu stellen.

Im Berichtszeitraum habe ich von mehreren Jugendbefragungen (Nr. 9.5.1) Kenntnis erlangt. Dabei geht es um ein Instrument der Träger der öffentlichen Jugendhilfe, mit dem Wünsche, Bedürfnisse und Interessen junger Menschen bezüglich des unter anderem freizeitlichen Angebots abgefragt werden sollen. Das Ergebnis der Befragung soll dann in die sogenannte Jugendhilfeplanung einfließen.

In den meisten Fällen gingen die Träger der öffentlichen Jugendhilfe zunächst von einer anonymen Befragung der Kinder und Jugendlichen aus. Tatsächlich war aufgrund der konkreten und umfangreichen Fragestellungen ein Personenbezug jedoch zumindest herstellbar. Deswegen mussten auch datenschutzrechtliche Vorgaben beachtet werden. So müssen etwa Datenschutzhinweise vorgesehen und bei der Einbindung von Dienstleistern datenschutzrechtliche Vorgaben beachtet werden, die im Rahmen eines Vertrags niedergelegt werden sollten.

Gegenstand mehrerer Anfragen von Kommunen war der Informationszugang durch den Gemeinderat: Dieser begehrte die Bereitstellung einer „Bestenliste“ der Gewerbesteuerzahler (Nr. 10.2). Informationen in solchen Listen fallen unter das Steuergeheimnis und sind oft auch als personenbezogene Daten zu werten, etwa, wenn sie einen Einzelkaufmann mit einem Ladengeschäft betreffen. Meine steuer- und kommunalrechtliche Würdigung machte deutlich, dass dem Gemeinderat derart sensible Informationen ohne einen konkreten Anlass grundsätzlich nicht überlassen werden dürfen.

Beim Online-Kartenvorverkauf öffentlicher Theater (Nr. 11.4) dürfen personenbezogene Daten der Kartenkäufer solange gespeichert werden, wie es für die Abwicklung des Vorgangs erforderlich ist. Darüber hinausgehende, längerfristige Speicherungen insbesondere der Bankverbindungsdaten in einem Benutzerkonto sind mit Einwilligung des jeweiligen Kartenkäufers zulässig. Im Rahmen meiner Aufsichtstätigkeit habe ich ein Theater aufgefordert, sein Verfahren entsprechend umzustellen, da es diese Anforderungen bislang nicht ausreichend beachtet hat.

Um den Schutz der personenbezogenen Daten von Gemeindebediensteten ging es bei einer Anfrage aus einer Kommune. Dort hatte der Rechnungsprüfungsausschuss des Gemeinderats die Vorlage der Gehaltsabrechnungen (Nr. 12.5) aller Beschäftigten gefordert. Meine Prüfung ergab, dass der Ausschuss kein generelles, voraussetzungsloses Einsichtsrecht hat, sondern in jedem Einzelfall konkret darlegen muss, dass die Kenntnis der geforderten Daten für seine Aufgabenerfüllung erforderlich ist. Nur dann kann sich das öffentliche Interesse an einer umfassenden Rechnungsprüfung gegen den Schutz der – an sich strikt abgeschirmten – Personalaktendaten durchsetzen.

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.