BayLfD: Veröffentlichung des 29. Tätigkeitsberichts 2019

Der Bayerische Landesbeauftragte für den Datenschutz stellt Ergebnisse seiner Arbeit im Jahr 2019 vor

Seit Mai 2018 gelten in Bayern die Datenschutz-Grundverordnung und das neue Bayerische Datenschutzgesetz. Am Ende des Jahres 2018 hatten nicht nur die meisten Bürgerinnen und Bürger, sondern auch die staatlichen und kommunalen Behörden im Freistaat erste Erfahrungen mit dem neuen Recht gesammelt. So stand das Jahr 2019 im Zeichen einer Konsolidierung und Differenzierung: Alte Datenschutzprobleme stellten sich vor dem Hintergrund des gewandelten Rechtsrahmens neu, bisher unbekannte Probleme traten hinzu. So gewann die Datenschutzarbeit meiner Behörde an Detailtiefe. Dies zeigt auch der 29. Tätigkeitsbericht 2019. Er beschäftigt sich mit grundsätzlichen Fragestellungen, beleuchtet aber auch Alltagssituationen aus bayerischen Rathäusern und Landratsämtern, Schulen oder Polizeiinspektionen.

Mehrere Gesetzesvorhaben waren aus Datenschutzsicht zu begleiten. Im Bereich des Kultusministeriums etwa wurden in der Bayerischen Schulordnung wichtige datenschutzrechtliche Vorgaben gebündelt und teilweise neu gefasst; Änderungen ergaben sich zudem im Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen, in der Lehrerdienstordnung und der Studienkollegordnung (Beitrag Nr. 10.1). Im Justizbereich befasste ich mich mit einem Regelungsvorhaben betreffend die Einsicht in notarielle Urkunden zu Forschungszwecken (Beitrag Nr. 4.1). An der Evaluation des neuen Polizeiaufgabengesetzes (PAG) war ich im Rahmen der sog. PAG-Begleitkommission beteiligt (Beitrag Nr. 1.3).

Meine Geschäftsstelle hatte viele Eingaben von Bürgerinnen und Bürgern sowie Anfragen von bayerischen öffentlichen Stellen zu bearbeiten und konnte dabei längst nicht immer auf eine langjährige Beratungspraxis zurückgreifen. Vielmehr waren oftmals neue Lösungen zu entwickeln.

Zu den grundsätzlichen Themen – einem ersten Schwerpunkt meines Tätigkeitsberichts – zählt etwa die Identifizierung betroffener Personen bei der Geltendmachung von Betroffenenrechten. Hier waren Empfehlungen zu formulieren, die es Bürgerinnen und Bürgern nicht unnötig erschweren, Rechte etwa auf Auskunft oder auf Berichtigung gegenüber einem Verantwortlichen geltend zu machen, zugleich aber gewährleisten, dass nicht – gerade beim Recht auf Auskunft – schützenswerte Daten an nichtberechtigte Dritte gelangen (Beitrag Nr. 2.2). Von grundsätzlicher Bedeutung sind auch die Fragen, ob der Personalrat – in einer Behörde das Gegenstück zum Betriebsrat – ein eigenständiger Verantwortlicher ist, und ob ein Mitglied dieses Gremiums zugleich behördlicher Datenschutzbeauftragter sein kann. Ich habe hier eine Lösung erarbeitet, welche die Personalratsarbeit möglichst wenig beeinträchtigt, dabei aber auch datenschutzrechtlichen Anforderungen genügt (Beiträge Nr. 9.5 und 9.6). Ein scheinbar „kleines“, jedoch ebenfalls grundsätzliches Problem behandelt ein Beitrag zu Beschäftigtenfotos für Marketingmaßnahmen öffentlicher Stellen. Hier geht es unter anderem um die in der Datenschutzliteratur viel diskutierte Frage des Verhältnisses von (Kunst-)Urheberrecht und Datenschutzrecht. Ich stehe einer Nutzung von Beschäftigtenfotos in diesem Zusammenhang kritisch gegenüber (Beitrag Nr. 9.7).

Einen weiteren Schwerpunkt meines Tätigkeitsberichts bilden – wie in vorangegangenen Berichtsjahren – Datenschutzfragen der Kommunalpraxis. Heuer habe ich die datenschutzrechtlichen Hintergründe der Behandlung von Bausachen im Gemeinderat systematisch beleuchtet; ich hoffe, dass dies vielerorts die Sensibilität schärft und zu einer datenschutzgerechten Vorbereitung und Durchführung der Gremiensitzungen verhilft (Beitrag Nr. 5.1). Bei der Nutzung von Videotechnik in Bürgerversammlungen spreche ich mich für eine restriktive Handhabung aus (Beitrag Nr. 5.2). Da mich wieder einige Anfragen erreicht haben, die das Thema „Informantenschutz“ bei Behörden betreffen, habe ich Hinweise aus früheren Tätigkeitsberichten aktualisiert und ausgebaut (Beitrag Nr. 5.3). Noch nicht abgeschlossen sind die Diskussionen zum IT-Outsourcing im kommunalen Bereich. Meine gegenwärtige Position habe ich hier übersichtlich zusammengestellt (Beitrag Nr. 6.3).

Im Bereich der Sozial- und Gesundheitsverwaltung konnten Datenschutzfragen der COVID-19-Pandemie noch nicht berücksichtigt werden. Ein Beitrag zu Datenflüssen von der Polizei zu Gesundheitsämtern betrifft Informationen für den Vollzug des Bayerischen Psychisch-Kranken-Hilfe-Gesetzes (Beitrag Nr. 7.1). Ebenfalls Datenflüsse würdigt ein weiterer Beitrag für das Verhältnis zwischen Sozialbehörden und Staatsanwaltschaften (Beitrag Nr. 8.3). Ferner habe ich einen datenschutzfreundlichen Lösungsvorschlag für die Kooperation von Kliniken und Krankenhausseelsorgern bei der Weitergabe von Patientendaten entwickelt (Beitrag Nr. 7.2) und das Thema „Informantenschutz“ auch für den Bereich der Jugendämter im Zusammenhang mit Kindeswohlgefährdungen aufgegriffen (Beitrag Nr. 8.2).

Ein dritter Schwerpunkt meines Tätigkeitsberichts liegt in diesem Jahr bei technischen und organisatorischen Fragen, wobei ein grundsätzlicher Beitrag zum Thema „Künstliche Intelligenz“ im Mittelpunkt steht. Der Beitrag versucht, über zahlreiche Facetten dieses komplexen Themas zu orientieren und den Entwicklungsstand in Bayern sowie datenschutzrechtliche Handlungsbedarfe aufzuzeigen (Beitrag Nr. 12.1). Darüber hinaus berichte ich über meine Arbeit auf dem Themenfeld „Datenschutz-Folgenabschätzung“ (Beitrag Nr. 12.2) und gebe insbesondere bayerischen Behörden praktische Hinweise zur Prävention gegen das Eindringen von Schadsoftware in IT-Systeme (Beitrag Nr. 12.3) oder zur Überwachung von Auftragsverarbeitern bei Fernzugriffen (Beitrag Nr. 12.6).

Da die Datenschutz-Grundverordnung eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten eingeführt hat, gehen bei mir tagtäglich entsprechende Meldungen ein, die in zahlreichen Fällen datenschutzaufsichtliche Maßnahmen nach sich ziehen. Eine kleine Auswahl solcher Fälle schildert der Beitrag Nr. 12.7.

Erheblich ausgebaut habe ich im Berichtsjahr mein Angebot an Informationsmaterialien. Insbesondere für Bürgerinnen und Bürger ist das neue, kostenfrei beziehbare Buch „Meine Daten, die Verwaltung und ich“ gedacht. Besonders an Behörden richten sich mehrere neue Orientierungshilfen – so zum Recht auf Auskunft und zur Meldepflicht und Benachrichtigungspflicht bei Datensicherheitsverletzungen -, ferner zahlreiche Arbeitspapiere und Aktuelle Kurz-Informationen (Überblick in Beitrag Nr. 2.1).

Insgesamt belegt der 29. Tätigkeitsbericht: Datenschutz ist eine sehr vielseitige Materie.

Das Arbeitspensum lässt sich nur mit einem gut aufgestellten Personalstamm bewältigten, der über rechtlichen wie auch technischen und organisatorischen Sachverstand verfügt, um Eingaben qualifiziert bearbeiten sowie Bürgerinnen, Bürger und Behörden fundiert beraten zu können. In meiner Geschäftsstelle sind zahlreiche erfahrene Referentinnen und Referenten beschäftigt, die aus einer Vielzahl von unterschiedlichen bayerischen Behörden zu mir gekommen sind und dorthin nach einigen Jahren auch wieder zurückkehren. Jede und jeder davon bringt eine eigene Verwaltungspraxis mit; oftmals ist diese Verwaltungspraxis unabdingbar, um Datenschutzprobleme in fachlichen Zusammenhängen adäquat verorten und lösen zu können. Dieser „eingebaute“ externe Sachverstand trägt wesentlich zur hohen Qualität der Arbeit meiner Geschäftsstelle bei. Zugleich lernt jede meiner Referentinnen und jeder meiner Referenten während der Zeit „beim Datenschutz“ eine Menge über dessen rechtliche, technische und organisatorische Aspekte. Viele Früchte dieses Lernprozesses erntet später die Heimatbehörde. Und das ist auch gut so – nur lässt es sich nicht mehr in meinem Tätigkeitsbericht beschreiben.

Ich möchte daher die Gelegenheit nutzen, allen meinen Referentinnen und Referenten für den unermüdlichen und kompetenten Einsatz zu danken, zugleich aber ihren Heimatbehörden für die Bereitschaft, meine Geschäftsstelle durch die Entsendung von Mitarbeiterinnen und Mitarbeitern nachhaltig zu unterstützen. Diese Bereitschaft ist eine notwendige Voraussetzung für das Gelingen von Datenschutz in Bayern.

Den 29. Tätigkeitsbericht 2019 habe ich Landtagspräsidentin Ilse Aigner überreicht (Fotos auf meiner Homepage https://www.datenschutz-bayern.de unter „Presse – Pressegalerie“ sowie auf der Homepage des Bayerischen Landtags https://www.bayern.landtag.de unter „Aktuelles – Presse – Pressefotos“).

Der 29. Tätigkeitsbericht 2019 ist seit heute auf meiner Homepage https://www.datenschutz-bayern.de unter „Tätigkeitsberichte“ abrufbar. Er kann aber auch in Papierform kostenfrei von meiner Geschäftsstelle bezogen werden.

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.