Zwei Jahre Datenschutz-Grundverordnung

In der vergangenen Woche hat die europäische Kommission ihren Bericht über die zweijährige Anwendung der Datenschutz-Grundverordnung (DS-GVO) vorgelegt. „Ich stimme mit der EU-Kommission darin überein, dass die DS-GVO ihr Ziel, das individuelle Recht auf Datenschutz zu stärken, erreicht hat“, sagt der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Heinz Müller. „Nur bin ich schon ziemlich enttäuscht darüber, dass von der EU-Kommission keinerlei Verbesserungsvorschläge zur DS-GVO gekommen sind.“

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hatte der EU-Kommission mehrere konkrete Änderungen vorgeschlagen, die die Alltagstauglichkeit der DS-GVO erhöhen würden. Müller: „Kleine und mittelständische Unternehmen mit risikoarmer Datenverarbeitung könnten bei der Erfüllung ihrer Transparenzpflichten nach Art. 13 und 14 DS-GVO etwa dadurch entlastet werden, dass sie die jeweiligen Informationen nur noch auf Verlangen mitteilen müssen.“ Nun werde es jedoch erstmal bei den bestehenden Regelungen bleiben.

In ihrem Bericht weist die EU-Kommission erneut auf die Verpflichtung der Mitgliedstaaten hin, ihre Datenschutzaufsichtsbehörden mit den erforderlichen personellen, finanziellen und technischen Ressourcen auszustatten. Die meisten Behörden hätten entsprechend mehr Personal erhalten. So sei beim Personal zwischen 2016 und 2019 europaweit ein durchschnittlicher Zuwachs von 42 Prozent zu verzeichnen. Dieser sei jedoch ungleich verteilt. In einzelnen Mitgliedstaaten sei die Personalsituation daher nach wie vor nicht zufriedenstellend. Das kann Müller nur bestätigen: „Als einzige Datenschutzaufsichtsbehörde in Deutschland hat meine Behörde keine neue Stelle erhalten. Ich frage mich, wie viel der Regierungskoalition der Schutz von Bürgerrechten eigentlich wert ist.“



Verbot des Portals „Neutrale Schule“: Oberverwaltungsgericht lehnt Beschwerde des AfD-Landesverbandes ab

Das Portal des AfD-Landesverbandes „Neutrale Schule“ bleibt offline. Auch im zweiten Anlauf kann der AfD-Landesverband das Verbot des Portals durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern nicht kippen.

Über das Portal sollten AfD-kritische Meinungsäußerungen im Schulumfeld gemeldet werden. Der Landesdatenschutzbeauftragte hat das Meldeportal „Neutrale Schule“ letzten Herbst verboten. Dagegen ist der AfD-Landesverband in einem Eilverfahren vorgegangen mit dem Ziel, das Portal weiterbetreiben zu können. Das Verwaltungsgericht Schwerin hatte den Eilantrag bereits abgelehnt. Das Oberverwaltungsgericht Mecklenburg-Vorpommern hat die Entscheidung letzte Woche endgültig bestätigt.

Behördenchef Heinz Müller ist froh über die Entscheidungen der beiden Gerichte: „Schule ist ein Ort für Politik- und Demokratiebildung. Dazu zählt, für das Grundgesetz und die darin gewährleistete Menschenwürde einzutreten. Es darf nicht sein, dass sich jemand durch so ein Portal in seinem Rederecht eingeschränkt fühlt und auf freie Meinungsäußerung verzichtet. Es ist die Aufgabe des Datenschutzes, diese Grundrechte abzusichern.“

Mit dem Beschluss des Oberverwaltungsgerichts ist eine schnelle Wiederinbetriebnahme des Portals vom Tisch. Heinz Müller ist optimistisch, dass in dem noch offenen Hauptsacheverfahren die Rechtmäßigkeit der Verbotsverfügung endgültig festgestellt wird.



Corona-Listen: Gästedaten nicht offen zugänglich aufbewahren

Den Landesbeauftragten für Datenschutz und Informationsfreiheit erreichen derzeit viele Beschwerden, in denen die Erhebung personenbezogener Daten anlässlich der Corona-Pandemie kritisiert wird. Hierzu erklärt der Landesbeauftragte für Datenschutz und Informationsfreiheit, Heinz Müller: „Die in der Verordnung der Landesregierung angeordnete Erhebung von Kontaktdaten ist derzeit noch unumgänglich, um die Corona-Pandemie durch die Rückverfolgung von Infektionsketten weiter einzudämmen. Hierbei sind allerdings mehrere Dinge zu beachten. Zulässig ist nur die Erhebung von Kontaktdaten, nicht auch die Erhebung von Gesundheitsdaten. Fragen etwa nach Atemwegsproblemen sind tabu, wobei an dieser Stelle für Betriebe im Heilmittelbereich und der Körperpflege enge Ausnahmeregelungen greifen. Die erhobenen Kontaktdaten dürfen nur für den Zweck der Rückverfolgung und nicht etwa auch für Werbezwecke verarbeitet werden. Die Daten sind vertraulich zu behandeln, für Dritte einsehbare Listen scheiden daher aus. Und die Daten sind nach vier Wochen zu vernichten, zum Beispiel, indem die ausgefüllten Formulare durch den Schredder gejagt werden.“

Damit Datenschutz und Infektionsschutz nicht gegeneinander ausgespielt werden können, habe seine Behörde auf ihrer Webseite eine Reihe von praktischen Hinweisen veröffentlicht. Gastwirte, Veranstalter, Friseure und Fitnessstudios finden dort unter anderem Muster für die Datenerhebung auf Einzelblättern oder in Listen. „Diese Listen dürfen allerdings nicht offen herumliegen“, sagt Müller. „Sie müssen von einer Servicekraft ausgefüllt werden.“ Der Landesbeauftragte empfiehlt, die Gästedaten in Papierform zu erfassen und aufzubewahren. Eine automatisierte Verarbeitung führe zu mehr Aufwand bei der Erfüllung datenschutzrechtlicher Vorgaben. Müller: „Wir versuchen, es allen Beteiligten so leicht wie möglich zu machen, sich an das geltende Recht zu halten. Wer sich nicht daran hält, muss mit Sanktionen rechnen.“



Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern legt Tätigkeitsbericht für 2019 vor

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat heute seinen Tätigkeitsbericht für das Jahr 2019 vorgelegt. Das Arbeitsvolumen der Behörde ist gegenüber dem Jahr 2018 weiter gestiegen. Während er in den letzten vier Monaten des Jahres 2018 nur von einer der in der europäischen Datenschutzgrundverordnung (DS-GVO) vorgesehenen aufsichtsrechtlichen Maßnahmen Gebrauch gemacht hat, waren es im Jahr 2019 bereits 82. Dabei war die häufigste Maßnahme die förmliche Warnung, mit der der Verantwortliche auf absehbare Datenschutzverstöße hingewiesen wird. Im Berichtszeitraum wurden auch fünf Bußgelder verhängt. Als deutlich wirksameres Mittel zur Durchsetzung des Datenschutzrechts hat sich allerdings die Androhung von Zwangsgeldern erwiesen. Hierzu kam es im Jahr 2019 in acht Fällen. Die Anzahl der Datenpannenmeldungen gemäß Art. 33 DS-GVO ist mit 108 im Jahr 2019 nahezu konstant geblieben. Weiterhin auf hohem Niveau liegt mit 1069 im Jahr 2019 die Anzahl der europäischen Verfahren, an denen der Landesbeauftragte beteiligt wurde. Eine Ursache für das in der Summe weiter ansteigende Arbeitsvolumen ist sicherlich in der DS-GVO zu suchen, die den Aufsichtsbehörden zahlreiche zusätzliche Aufgaben gegeben hat. Eine weitere Ursache liegt in der rasanten technischen Entwicklung der Datenverarbeitung und der fortschreitenden Durchdringung nahezu aller Lebensbereiche, die in der Corona-Krise weiter beschleunigt wurde.

Die Anzahl der anlassunabhängigen Prüfungen, die für die Durchsetzung des Datenschutzrechts von besonderer Bedeutung sind, verharrt demgegenüber mit drei Fällen im Jahr 2019 auf einem extrem niedrigen Niveau. Diese Zahl verdeutlicht, dass der Landesbeauftragte seiner Aufgabe der Durchsetzung der DS-GVO nicht ansatzweise gerecht wird. Als einzige Datenschutzaufsichtsbehörde in Deutschland arbeitet der Landesbeauftragte mit der gleichen Personalausstattung wie vor der Anwendung der DS-GVO. Mit dem am Ende des Berichtszeitraumes beschlossenen Doppelhaushalt 2020/2021 hat der Landtag auf Vorschlag der Landesregierung auch erhebliche Teile der Mittel für die Bewirtschaftung der Dienststelle mit einem Sperrvermerk versehen. Somit stehen für das laufende Jahr noch keine ausreichenden Mittel für Strom, Reinigung, Müllabfuhr und Bewachung zur Verfügung. Es bleibt zu hoffen, dass die Aufhebung dieses Sperrvermerks im Laufe des Jahres 2020 gelingt, weil anderenfalls die Behörde komplett handlungsunfähig wird.

Beim Landesbeauftragten gingen im vergangenen Jahr 533 Eingaben und Beschwerden ein. In einem erheblichen Teil der Zuschriften kritisierten Bürgerinnen und Bürger, dass Betroffenenrechte, die sie gegenüber einem Unternehmen, dem Hausarzt, einem Verein oder einer Behörde geltend gemacht haben, schlicht ignoriert oder nur unzureichend erfüllt werden. Nach der Wertung der DS-GVO spielt die betroffene Person bei der Kontrolle der Rechtmäßigkeit der Verarbeitung ihrer Daten eine ganz entscheidende Rolle. Mit den Betroffenenrechten stellt die DS-GVO sicher, dass die betroffene Person auch über die Werkzeuge verfügt, um diese Kontrolle auszuüben. So muss die betroffene Person grundsätzlich darüber informiert werden, dass über sie personenbezogene Daten verarbeitet werden. Eine heimliche Datenverarbeitung ist in aller Regel unzulässig. Daher empfiehlt der Landesbeauftragte Verantwortlichen in Unternehmen und Verwaltung, einen festen Prozess zu etablieren und Beschäftigte entsprechend zu schulen, wie mit Betroffenenrechten umzugehen ist.

Der Landesbeauftragte vertritt die DSK im IT-Planungsrat, in dessen Projekt der „Registermodernisierung“ die in der Verwaltung geführten Register modernisiert und der Zugriff auf die dort gespeicherten personenbezogenen Daten vereinfacht werden sollen. Eine zentrale Rolle spielen dabei einheitliche, personenbezogene Identifikatoren. Die DSK hat in einer Entschließung vom September letzten Jahres auf die Risiken und die verfassungsrechtlichen Grenzen einheitlicher und verwaltungsübergreifender Identifikatoren hingewiesen. Sie lehnt derartige Personenkennzeichen zur direkten Identifizierung von Bürgerinnen und Bürgern ab und fordert alternative Methoden zur eindeutigen Identifizierung, etwa sektorspezifische Identifikatoren, die zwar eine eindeutige Identifizierung erlauben, einen einseitigen staatlichen Abgleich von Daten jedoch verhindern.

Seit 2012 zeigt der Landesbeauftragte mit dem Gemeinschaftsprojekt Medienscouts MV Kindern und Jugendlichen Chancen und Risiken der digitalen Welt auf. Grundlegend ist dabei der so genannte peer-to-peer-Ansatz. Die Medienscouts lernen, ihr Wissen unmittelbar an andere Kinder und Jugendliche weiterzugeben. Die gleichbleibend hohen Teilnehmerzahlen zeigen ein ungebrochenes Interesse an dem Projekt. Seit dem Jahr 2018 werden pro Durchgang bereits zehn Teilnehmende mehr als früher ausgebildet. Dennoch gibt es Wartelisten und interessierte Jugendliche müssen auf den folgenden Ausbildungslehrgang vertröstet werden. Mit der derzeitigen Teilnehmerzahl hat das Projekt die Grenze des Möglichen erreicht. Weder der Landesbeauftragte noch seine Kooperationspartner verfügen über die strukturellen und finanziellen Voraussetzungen, um beispielsweise die Zahl der Ausbildungsdurchgänge zu erhöhen oder zielgruppenspezifisch (etwa für Berufsschülerinnen und Berufsschüler) anzupassen.

Kurz nach Ende des Berichtszeitraumes, am 14. Januar 2020, ist der reguläre Support von Microsoft für das Betriebssystem Windows 7 ausgelaufen. Der Nachfolger von Windows 7 ist Windows 10. Wegen der fortwährenden Datenübermittlungen von Windows 10 an Microsoft stellt sich jedoch die Frage, ob sich Windows 10 überhaupt datenschutzkonform einsetzen lässt. Diese Frage kann nicht pauschal beantwortet werden. Deshalb hat die DSK auf ihrer Sitzung im Herbst 2019 ein Prüfschema zu Windows 10 herausgegeben, anhand dessen die Anwenderinnen und Anwender die Datenschutzkonformität ihres konkreten Einsatzfalls beurteilen können.

Ende August 2019 hat der Landesverband der Partei „Alternative für Deutschland“ auf seiner Homepage ein sogenanntes Informationsportal „Neutrale Schule“ freigeschaltet. Nach Prüfung des Portals hat der Landesbeauftragte die Datenerhebung über das Portal untersagt und die sofortige Vollziehung dieses Verbotes angeordnet. Der Landesverband ist diesem Verbot fristgemäß nachgekommen. Er hat aber gegen das Verbot Anfechtungsklage erhoben und ist auch im einstweiligen Rechtsschutzverfahren gegen die Anordnung der sofortigen Vollziehung des Verbotes vorgegangen. Der Antrag auf einstweiligen Rechtsschutz hatte keinen Erfolg. Eine Entscheidung im Hauptsacheverfahren steht noch aus.

Dem Landesbeauftragten werden immer wieder Beschwerden zu Videoüberwachungsanlagen oder Videokameras im privaten und nachbarschaftlichen Bereich vorgelegt. Wenn der Verantwortliche ein privates Nachbargrundstück mit überwacht, ist dies unzulässig. Das gleiche gilt für die Überwachung des öffentlichen Straßenraumes, wobei die Erfassung eines schmalen Streifens entlang der Hauswand unter bestimmten Umständen nach der Rechtsprechung ausnahmsweise zulässig sein kann.

Der Landesbeauftragte hat eine umfangreiche Stellungnahme zum Entwurf eines Gesetzes über die Sicherheit und Ordnung in Mecklenburg-Vorpommern (SOG M-V) abgegeben. Wegen seiner Unverständlichkeit macht es das SOG M-V den Anwendern kaum möglich, rechtsfehlerfrei ihre Aufgaben zu erfüllen. Auch sind die Regelungen im SOG M-V über die Befugnisse der Datenschutzaufsicht nach Auffassung des Landesbeauftragten europarechtswidrig. Einzelne Regelungen wie die über die Online-Durchsuchung oder die automatisierte Kennzeichenerfassung lassen sich zudem nicht mit der Verfassung vereinbaren. Obwohl der Landesbeauftragte seiner Kritik auch im Rahmen der öffentlichen Anhörung zu dem Gesetzentwurf Ausdruck verlieh, wurde dieser im März 2020 fast unverändert beschlossen.

Regelmäßig muss der Landesbeauftragte Bußgeldverfahren gegen Polizeibeamte wegen der Nutzung von polizeilichen Informationssystemen für private Zwecke eröffnen. Im Jahr 2019 wurden insgesamt 16 Verfahren dieser Art geführt. Dazu Heinz Müller: „Ein Missbrauch von personenbezogenen Daten durch die Polizei geht gar nicht. Hier beschädigt eine verhältnismäßig kleine Anzahl von Missetätern den Ruf einer ganzen Institution. Darauf sind viele Polizisten zu Recht sauer.“

Mit der DS-GVO kamen auch auf die Krankenhäuser und Universitätskliniken in Mecklenburg-Vorpommern neue Aufgaben zu. Um hier bei den anstehenden Fragen zu unterstützen, hat der Landesbeauftragte in Kooperation mit dem Datenschutzbeauftragten der Nordkirche im Jahr 2018 das Projekt „Umgang mit Patientendaten in den Krankenhäusern Mecklenburg-Vorpommerns (UPKD)“ initiiert und im vergangenen Jahr abschließen können. Ziel des Projektes war es, einen Überblick über den Stand des Umgangs mit Patientendaten in ausgewählten Handlungsfeldern der Krankenhäuser und Universitätskliniken in Mecklenburg-Vorpommern zu erhalten. Ein öffentlicher Projektbericht ist auf der Webseite des Landesbeauftragten zu finden.

Ein Ergebnis des Projektes war die Datenschutz-Fachtagung zum Thema „Datenschutz: Krankheit oder Therapie?“, die aufgrund des erhöhten Informationsbedarfes zum Thema Datenschutz in Krankenhäusern und Universitätskliniken in Mecklenburg-Vorpommern am 28. Oktober 2019 im Bürgersaal in Waren (Müritz) durchgeführt wurde. Eingeladen waren Geschäftsführungen, Datenschutzbeauftragte, Ärztinnen und Ärzte, Mitarbeitende in den Verwaltungen sowie Pflegekräfte und weitere Fachkräfte der Krankenhäuser und Universitätskliniken in Mecklenburg-Vorpommern. Inhaltlicher Schwerpunkt dieser Fachtagung waren die Auswirkungen der DS-GVO auf die Arbeit in den Krankenhäusern und Universitätskliniken des Landes. Im Rahmen der Datenschutz-Fachtagung wurde diskutiert, ob der Datenschutz eher eine „Krankheit“ darstellt und den Versorgungsbetrieb stört oder ob der Datenschutz eher wie eine „Therapie“ wirkt und, richtig angewandt, unerwünschte Auswirkungen beseitigen kann. In vier bereichsspezifischen Diskussionsforen wurden Fragen der Teilnehmenden beantwortet und Lösungen aufgezeigt.

Das Informationsfreiheitsgesetz für Mecklenburg-Vorpommern (IFG M-V) stammt aus dem Jahr 2006 und ist mit lediglich einer inhaltlichen Novellierung im Jahr 2011 im Vergleich zu anderen Transparenzgesetzen/Informationsfreiheitsgesetzen, wie in Bremen, Hamburg, Rheinland-Pfalz oder Thüringen, ziemlich veraltet. Der Landesbeauftragte empfiehlt, das Informationsfreiheitsgesetz grundlegend zu überarbeiten und zu einem modernen Transparenzgesetz fortzuentwickeln. Dazu hat er der Landesregierung bereits vor zwei Jahren zahlreiche Vorschläge unterbreitet.

Das Polizeipräsidium Rostock hat eine Anfrage nach dem IFG M-V zur Datenschutz-Folgenabschätzung sowie zum Datenschutz- und Informationssicherheitskonzept für die Videoüberwachung auf dem Schweriner Marienplatz abgelehnt. Der Antragsteller bat daraufhin den Landesbeauftragten um Vermittlung. Nach dem IFG M-V ist der Antrag auf Informationszugang unter anderem dann abzulehnen, wenn zu befürchten ist, dass durch das Bekanntwerden der Informationen der Erfolg behördlicher Maßnahmen erheblich beeinträchtigt würde. Allerdings war dies hier auch nach Einschätzung des Landesbeauftragten der Fall. Datenschutzkonzepte, die technische und organisatorische Maßnahmen enthalten, oder auch eine Datenschutz-Folgenabschätzung beschreiben zunächst die Risiken der Verarbeitung und sollen dann Maßnahmen zur Eindämmung dieser Risiken festlegen. Damit sind in diesen Dokumenten aber regelmäßig auch die Schwachstellen einer Datenverarbeitung aufgelistet, mit deren Bekanntwerden Angriffe auf die jeweilige Datenverarbeitung gezielt vorbereitet werden könnten. Vor diesem Hintergrund sind auch nach der Wertung der DS-GVO diese Informationen gegenüber der betroffenen Person nicht zwingend transparent zu machen.

Der Tätigkeitsbericht 2019 steht unter https://www.datenschutz-mv.de/datenschutz/publikationen/taetigkeitsberichte/ zum Download bereit.



BayLfD: Veröffentlichung des 29. Tätigkeitsberichts 2019

Der Bayerische Landesbeauftragte für den Datenschutz stellt Ergebnisse seiner Arbeit im Jahr 2019 vor

Seit Mai 2018 gelten in Bayern die Datenschutz-Grundverordnung und das neue Bayerische Datenschutzgesetz. Am Ende des Jahres 2018 hatten nicht nur die meisten Bürgerinnen und Bürger, sondern auch die staatlichen und kommunalen Behörden im Freistaat erste Erfahrungen mit dem neuen Recht gesammelt. So stand das Jahr 2019 im Zeichen einer Konsolidierung und Differenzierung: Alte Datenschutzprobleme stellten sich vor dem Hintergrund des gewandelten Rechtsrahmens neu, bisher unbekannte Probleme traten hinzu. So gewann die Datenschutzarbeit meiner Behörde an Detailtiefe. Dies zeigt auch der 29. Tätigkeitsbericht 2019. Er beschäftigt sich mit grundsätzlichen Fragestellungen, beleuchtet aber auch Alltagssituationen aus bayerischen Rathäusern und Landratsämtern, Schulen oder Polizeiinspektionen.

Mehrere Gesetzesvorhaben waren aus Datenschutzsicht zu begleiten. Im Bereich des Kultusministeriums etwa wurden in der Bayerischen Schulordnung wichtige datenschutzrechtliche Vorgaben gebündelt und teilweise neu gefasst; Änderungen ergaben sich zudem im Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen, in der Lehrerdienstordnung und der Studienkollegordnung (Beitrag Nr. 10.1). Im Justizbereich befasste ich mich mit einem Regelungsvorhaben betreffend die Einsicht in notarielle Urkunden zu Forschungszwecken (Beitrag Nr. 4.1). An der Evaluation des neuen Polizeiaufgabengesetzes (PAG) war ich im Rahmen der sog. PAG-Begleitkommission beteiligt (Beitrag Nr. 1.3).

Meine Geschäftsstelle hatte viele Eingaben von Bürgerinnen und Bürgern sowie Anfragen von bayerischen öffentlichen Stellen zu bearbeiten und konnte dabei längst nicht immer auf eine langjährige Beratungspraxis zurückgreifen. Vielmehr waren oftmals neue Lösungen zu entwickeln.

Zu den grundsätzlichen Themen – einem ersten Schwerpunkt meines Tätigkeitsberichts – zählt etwa die Identifizierung betroffener Personen bei der Geltendmachung von Betroffenenrechten. Hier waren Empfehlungen zu formulieren, die es Bürgerinnen und Bürgern nicht unnötig erschweren, Rechte etwa auf Auskunft oder auf Berichtigung gegenüber einem Verantwortlichen geltend zu machen, zugleich aber gewährleisten, dass nicht – gerade beim Recht auf Auskunft – schützenswerte Daten an nichtberechtigte Dritte gelangen (Beitrag Nr. 2.2). Von grundsätzlicher Bedeutung sind auch die Fragen, ob der Personalrat – in einer Behörde das Gegenstück zum Betriebsrat – ein eigenständiger Verantwortlicher ist, und ob ein Mitglied dieses Gremiums zugleich behördlicher Datenschutzbeauftragter sein kann. Ich habe hier eine Lösung erarbeitet, welche die Personalratsarbeit möglichst wenig beeinträchtigt, dabei aber auch datenschutzrechtlichen Anforderungen genügt (Beiträge Nr. 9.5 und 9.6). Ein scheinbar „kleines“, jedoch ebenfalls grundsätzliches Problem behandelt ein Beitrag zu Beschäftigtenfotos für Marketingmaßnahmen öffentlicher Stellen. Hier geht es unter anderem um die in der Datenschutzliteratur viel diskutierte Frage des Verhältnisses von (Kunst-)Urheberrecht und Datenschutzrecht. Ich stehe einer Nutzung von Beschäftigtenfotos in diesem Zusammenhang kritisch gegenüber (Beitrag Nr. 9.7).

Einen weiteren Schwerpunkt meines Tätigkeitsberichts bilden – wie in vorangegangenen Berichtsjahren – Datenschutzfragen der Kommunalpraxis. Heuer habe ich die datenschutzrechtlichen Hintergründe der Behandlung von Bausachen im Gemeinderat systematisch beleuchtet; ich hoffe, dass dies vielerorts die Sensibilität schärft und zu einer datenschutzgerechten Vorbereitung und Durchführung der Gremiensitzungen verhilft (Beitrag Nr. 5.1). Bei der Nutzung von Videotechnik in Bürgerversammlungen spreche ich mich für eine restriktive Handhabung aus (Beitrag Nr. 5.2). Da mich wieder einige Anfragen erreicht haben, die das Thema „Informantenschutz“ bei Behörden betreffen, habe ich Hinweise aus früheren Tätigkeitsberichten aktualisiert und ausgebaut (Beitrag Nr. 5.3). Noch nicht abgeschlossen sind die Diskussionen zum IT-Outsourcing im kommunalen Bereich. Meine gegenwärtige Position habe ich hier übersichtlich zusammengestellt (Beitrag Nr. 6.3).

Im Bereich der Sozial- und Gesundheitsverwaltung konnten Datenschutzfragen der COVID-19-Pandemie noch nicht berücksichtigt werden. Ein Beitrag zu Datenflüssen von der Polizei zu Gesundheitsämtern betrifft Informationen für den Vollzug des Bayerischen Psychisch-Kranken-Hilfe-Gesetzes (Beitrag Nr. 7.1). Ebenfalls Datenflüsse würdigt ein weiterer Beitrag für das Verhältnis zwischen Sozialbehörden und Staatsanwaltschaften (Beitrag Nr. 8.3). Ferner habe ich einen datenschutzfreundlichen Lösungsvorschlag für die Kooperation von Kliniken und Krankenhausseelsorgern bei der Weitergabe von Patientendaten entwickelt (Beitrag Nr. 7.2) und das Thema „Informantenschutz“ auch für den Bereich der Jugendämter im Zusammenhang mit Kindeswohlgefährdungen aufgegriffen (Beitrag Nr. 8.2).

Ein dritter Schwerpunkt meines Tätigkeitsberichts liegt in diesem Jahr bei technischen und organisatorischen Fragen, wobei ein grundsätzlicher Beitrag zum Thema „Künstliche Intelligenz“ im Mittelpunkt steht. Der Beitrag versucht, über zahlreiche Facetten dieses komplexen Themas zu orientieren und den Entwicklungsstand in Bayern sowie datenschutzrechtliche Handlungsbedarfe aufzuzeigen (Beitrag Nr. 12.1). Darüber hinaus berichte ich über meine Arbeit auf dem Themenfeld „Datenschutz-Folgenabschätzung“ (Beitrag Nr. 12.2) und gebe insbesondere bayerischen Behörden praktische Hinweise zur Prävention gegen das Eindringen von Schadsoftware in IT-Systeme (Beitrag Nr. 12.3) oder zur Überwachung von Auftragsverarbeitern bei Fernzugriffen (Beitrag Nr. 12.6).

Da die Datenschutz-Grundverordnung eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten eingeführt hat, gehen bei mir tagtäglich entsprechende Meldungen ein, die in zahlreichen Fällen datenschutzaufsichtliche Maßnahmen nach sich ziehen. Eine kleine Auswahl solcher Fälle schildert der Beitrag Nr. 12.7.

Erheblich ausgebaut habe ich im Berichtsjahr mein Angebot an Informationsmaterialien. Insbesondere für Bürgerinnen und Bürger ist das neue, kostenfrei beziehbare Buch „Meine Daten, die Verwaltung und ich“ gedacht. Besonders an Behörden richten sich mehrere neue Orientierungshilfen – so zum Recht auf Auskunft und zur Meldepflicht und Benachrichtigungspflicht bei Datensicherheitsverletzungen -, ferner zahlreiche Arbeitspapiere und Aktuelle Kurz-Informationen (Überblick in Beitrag Nr. 2.1).

Insgesamt belegt der 29. Tätigkeitsbericht: Datenschutz ist eine sehr vielseitige Materie.

Das Arbeitspensum lässt sich nur mit einem gut aufgestellten Personalstamm bewältigten, der über rechtlichen wie auch technischen und organisatorischen Sachverstand verfügt, um Eingaben qualifiziert bearbeiten sowie Bürgerinnen, Bürger und Behörden fundiert beraten zu können. In meiner Geschäftsstelle sind zahlreiche erfahrene Referentinnen und Referenten beschäftigt, die aus einer Vielzahl von unterschiedlichen bayerischen Behörden zu mir gekommen sind und dorthin nach einigen Jahren auch wieder zurückkehren. Jede und jeder davon bringt eine eigene Verwaltungspraxis mit; oftmals ist diese Verwaltungspraxis unabdingbar, um Datenschutzprobleme in fachlichen Zusammenhängen adäquat verorten und lösen zu können. Dieser „eingebaute“ externe Sachverstand trägt wesentlich zur hohen Qualität der Arbeit meiner Geschäftsstelle bei. Zugleich lernt jede meiner Referentinnen und jeder meiner Referenten während der Zeit „beim Datenschutz“ eine Menge über dessen rechtliche, technische und organisatorische Aspekte. Viele Früchte dieses Lernprozesses erntet später die Heimatbehörde. Und das ist auch gut so – nur lässt es sich nicht mehr in meinem Tätigkeitsbericht beschreiben.

Ich möchte daher die Gelegenheit nutzen, allen meinen Referentinnen und Referenten für den unermüdlichen und kompetenten Einsatz zu danken, zugleich aber ihren Heimatbehörden für die Bereitschaft, meine Geschäftsstelle durch die Entsendung von Mitarbeiterinnen und Mitarbeitern nachhaltig zu unterstützen. Diese Bereitschaft ist eine notwendige Voraussetzung für das Gelingen von Datenschutz in Bayern.

Den 29. Tätigkeitsbericht 2019 habe ich Landtagspräsidentin Ilse Aigner überreicht (Fotos auf meiner Homepage https://www.datenschutz-bayern.de unter „Presse – Pressegalerie“ sowie auf der Homepage des Bayerischen Landtags https://www.bayern.landtag.de unter „Aktuelles – Presse – Pressefotos“).

Der 29. Tätigkeitsbericht 2019 ist seit heute auf meiner Homepage https://www.datenschutz-bayern.de unter „Tätigkeitsberichte“ abrufbar. Er kann aber auch in Papierform kostenfrei von meiner Geschäftsstelle bezogen werden.

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.