BayLfD: Veröffentlichung des 29. Tätigkeitsberichts 2019

Der Bayerische Landesbeauftragte für den Datenschutz stellt Ergebnisse seiner Arbeit im Jahr 2019 vor

Seit Mai 2018 gelten in Bayern die Datenschutz-Grundverordnung und das neue Bayerische Datenschutzgesetz. Am Ende des Jahres 2018 hatten nicht nur die meisten Bürgerinnen und Bürger, sondern auch die staatlichen und kommunalen Behörden im Freistaat erste Erfahrungen mit dem neuen Recht gesammelt. So stand das Jahr 2019 im Zeichen einer Konsolidierung und Differenzierung: Alte Datenschutzprobleme stellten sich vor dem Hintergrund des gewandelten Rechtsrahmens neu, bisher unbekannte Probleme traten hinzu. So gewann die Datenschutzarbeit meiner Behörde an Detailtiefe. Dies zeigt auch der 29. Tätigkeitsbericht 2019. Er beschäftigt sich mit grundsätzlichen Fragestellungen, beleuchtet aber auch Alltagssituationen aus bayerischen Rathäusern und Landratsämtern, Schulen oder Polizeiinspektionen.

Mehrere Gesetzesvorhaben waren aus Datenschutzsicht zu begleiten. Im Bereich des Kultusministeriums etwa wurden in der Bayerischen Schulordnung wichtige datenschutzrechtliche Vorgaben gebündelt und teilweise neu gefasst; Änderungen ergaben sich zudem im Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen, in der Lehrerdienstordnung und der Studienkollegordnung (Beitrag Nr. 10.1). Im Justizbereich befasste ich mich mit einem Regelungsvorhaben betreffend die Einsicht in notarielle Urkunden zu Forschungszwecken (Beitrag Nr. 4.1). An der Evaluation des neuen Polizeiaufgabengesetzes (PAG) war ich im Rahmen der sog. PAG-Begleitkommission beteiligt (Beitrag Nr. 1.3).

Meine Geschäftsstelle hatte viele Eingaben von Bürgerinnen und Bürgern sowie Anfragen von bayerischen öffentlichen Stellen zu bearbeiten und konnte dabei längst nicht immer auf eine langjährige Beratungspraxis zurückgreifen. Vielmehr waren oftmals neue Lösungen zu entwickeln.

Zu den grundsätzlichen Themen – einem ersten Schwerpunkt meines Tätigkeitsberichts – zählt etwa die Identifizierung betroffener Personen bei der Geltendmachung von Betroffenenrechten. Hier waren Empfehlungen zu formulieren, die es Bürgerinnen und Bürgern nicht unnötig erschweren, Rechte etwa auf Auskunft oder auf Berichtigung gegenüber einem Verantwortlichen geltend zu machen, zugleich aber gewährleisten, dass nicht – gerade beim Recht auf Auskunft – schützenswerte Daten an nichtberechtigte Dritte gelangen (Beitrag Nr. 2.2). Von grundsätzlicher Bedeutung sind auch die Fragen, ob der Personalrat – in einer Behörde das Gegenstück zum Betriebsrat – ein eigenständiger Verantwortlicher ist, und ob ein Mitglied dieses Gremiums zugleich behördlicher Datenschutzbeauftragter sein kann. Ich habe hier eine Lösung erarbeitet, welche die Personalratsarbeit möglichst wenig beeinträchtigt, dabei aber auch datenschutzrechtlichen Anforderungen genügt (Beiträge Nr. 9.5 und 9.6). Ein scheinbar „kleines“, jedoch ebenfalls grundsätzliches Problem behandelt ein Beitrag zu Beschäftigtenfotos für Marketingmaßnahmen öffentlicher Stellen. Hier geht es unter anderem um die in der Datenschutzliteratur viel diskutierte Frage des Verhältnisses von (Kunst-)Urheberrecht und Datenschutzrecht. Ich stehe einer Nutzung von Beschäftigtenfotos in diesem Zusammenhang kritisch gegenüber (Beitrag Nr. 9.7).

Einen weiteren Schwerpunkt meines Tätigkeitsberichts bilden – wie in vorangegangenen Berichtsjahren – Datenschutzfragen der Kommunalpraxis. Heuer habe ich die datenschutzrechtlichen Hintergründe der Behandlung von Bausachen im Gemeinderat systematisch beleuchtet; ich hoffe, dass dies vielerorts die Sensibilität schärft und zu einer datenschutzgerechten Vorbereitung und Durchführung der Gremiensitzungen verhilft (Beitrag Nr. 5.1). Bei der Nutzung von Videotechnik in Bürgerversammlungen spreche ich mich für eine restriktive Handhabung aus (Beitrag Nr. 5.2). Da mich wieder einige Anfragen erreicht haben, die das Thema „Informantenschutz“ bei Behörden betreffen, habe ich Hinweise aus früheren Tätigkeitsberichten aktualisiert und ausgebaut (Beitrag Nr. 5.3). Noch nicht abgeschlossen sind die Diskussionen zum IT-Outsourcing im kommunalen Bereich. Meine gegenwärtige Position habe ich hier übersichtlich zusammengestellt (Beitrag Nr. 6.3).

Im Bereich der Sozial- und Gesundheitsverwaltung konnten Datenschutzfragen der COVID-19-Pandemie noch nicht berücksichtigt werden. Ein Beitrag zu Datenflüssen von der Polizei zu Gesundheitsämtern betrifft Informationen für den Vollzug des Bayerischen Psychisch-Kranken-Hilfe-Gesetzes (Beitrag Nr. 7.1). Ebenfalls Datenflüsse würdigt ein weiterer Beitrag für das Verhältnis zwischen Sozialbehörden und Staatsanwaltschaften (Beitrag Nr. 8.3). Ferner habe ich einen datenschutzfreundlichen Lösungsvorschlag für die Kooperation von Kliniken und Krankenhausseelsorgern bei der Weitergabe von Patientendaten entwickelt (Beitrag Nr. 7.2) und das Thema „Informantenschutz“ auch für den Bereich der Jugendämter im Zusammenhang mit Kindeswohlgefährdungen aufgegriffen (Beitrag Nr. 8.2).

Ein dritter Schwerpunkt meines Tätigkeitsberichts liegt in diesem Jahr bei technischen und organisatorischen Fragen, wobei ein grundsätzlicher Beitrag zum Thema „Künstliche Intelligenz“ im Mittelpunkt steht. Der Beitrag versucht, über zahlreiche Facetten dieses komplexen Themas zu orientieren und den Entwicklungsstand in Bayern sowie datenschutzrechtliche Handlungsbedarfe aufzuzeigen (Beitrag Nr. 12.1). Darüber hinaus berichte ich über meine Arbeit auf dem Themenfeld „Datenschutz-Folgenabschätzung“ (Beitrag Nr. 12.2) und gebe insbesondere bayerischen Behörden praktische Hinweise zur Prävention gegen das Eindringen von Schadsoftware in IT-Systeme (Beitrag Nr. 12.3) oder zur Überwachung von Auftragsverarbeitern bei Fernzugriffen (Beitrag Nr. 12.6).

Da die Datenschutz-Grundverordnung eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten eingeführt hat, gehen bei mir tagtäglich entsprechende Meldungen ein, die in zahlreichen Fällen datenschutzaufsichtliche Maßnahmen nach sich ziehen. Eine kleine Auswahl solcher Fälle schildert der Beitrag Nr. 12.7.

Erheblich ausgebaut habe ich im Berichtsjahr mein Angebot an Informationsmaterialien. Insbesondere für Bürgerinnen und Bürger ist das neue, kostenfrei beziehbare Buch „Meine Daten, die Verwaltung und ich“ gedacht. Besonders an Behörden richten sich mehrere neue Orientierungshilfen – so zum Recht auf Auskunft und zur Meldepflicht und Benachrichtigungspflicht bei Datensicherheitsverletzungen -, ferner zahlreiche Arbeitspapiere und Aktuelle Kurz-Informationen (Überblick in Beitrag Nr. 2.1).

Insgesamt belegt der 29. Tätigkeitsbericht: Datenschutz ist eine sehr vielseitige Materie.

Das Arbeitspensum lässt sich nur mit einem gut aufgestellten Personalstamm bewältigten, der über rechtlichen wie auch technischen und organisatorischen Sachverstand verfügt, um Eingaben qualifiziert bearbeiten sowie Bürgerinnen, Bürger und Behörden fundiert beraten zu können. In meiner Geschäftsstelle sind zahlreiche erfahrene Referentinnen und Referenten beschäftigt, die aus einer Vielzahl von unterschiedlichen bayerischen Behörden zu mir gekommen sind und dorthin nach einigen Jahren auch wieder zurückkehren. Jede und jeder davon bringt eine eigene Verwaltungspraxis mit; oftmals ist diese Verwaltungspraxis unabdingbar, um Datenschutzprobleme in fachlichen Zusammenhängen adäquat verorten und lösen zu können. Dieser „eingebaute“ externe Sachverstand trägt wesentlich zur hohen Qualität der Arbeit meiner Geschäftsstelle bei. Zugleich lernt jede meiner Referentinnen und jeder meiner Referenten während der Zeit „beim Datenschutz“ eine Menge über dessen rechtliche, technische und organisatorische Aspekte. Viele Früchte dieses Lernprozesses erntet später die Heimatbehörde. Und das ist auch gut so – nur lässt es sich nicht mehr in meinem Tätigkeitsbericht beschreiben.

Ich möchte daher die Gelegenheit nutzen, allen meinen Referentinnen und Referenten für den unermüdlichen und kompetenten Einsatz zu danken, zugleich aber ihren Heimatbehörden für die Bereitschaft, meine Geschäftsstelle durch die Entsendung von Mitarbeiterinnen und Mitarbeitern nachhaltig zu unterstützen. Diese Bereitschaft ist eine notwendige Voraussetzung für das Gelingen von Datenschutz in Bayern.

Den 29. Tätigkeitsbericht 2019 habe ich Landtagspräsidentin Ilse Aigner überreicht (Fotos auf meiner Homepage https://www.datenschutz-bayern.de unter „Presse – Pressegalerie“ sowie auf der Homepage des Bayerischen Landtags https://www.bayern.landtag.de unter „Aktuelles – Presse – Pressefotos“).

Der 29. Tätigkeitsbericht 2019 ist seit heute auf meiner Homepage https://www.datenschutz-bayern.de unter „Tätigkeitsberichte“ abrufbar. Er kann aber auch in Papierform kostenfrei von meiner Geschäftsstelle bezogen werden.

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.



BayLfD: Veröffentlichung des 29. Tätigkeitsberichts 2019 (Vorankündigung)

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht am Montag, den 25. Mai 2020 seinen 29. Tätigkeitsbericht 2019. Der Bericht kann ab 11.00 Uhr auf der Homepage https://www.datenschutz-bayern.de abgerufen werden. Mit ihm wechselt die Erscheinungsweise vom langjährigen Zweijahres- in einen Jahresrhythmus. Dass es nun für jedes Jahr einen Bericht gibt, liegt an den Vorgaben des neuen Datenschutzrechts.

Die Umsetzung der 2018 in Geltung getretenen Datenschutz-Grundverordnung und vieler weiterer Regelungen des spezifischen Datenschutzrechts im öffentlichen Sektor hat die Tätigkeit des Bayerischen Landesbeauftragten für den Datenschutz auch im vergangenen Jahr geprägt.

Einen Schwerpunkt bilden traditionell datenschutzrechtliche Fragen aus dem Alltag der Fachbehörden, diesmal etwa bei der Behandlung von Bausachen im Gemeinderat oder der Durchführung von Bürgerversammlungen, bei der Zusammenarbeit von Kliniken und Krankenhausseelsorgern, beim Informantenschutz im Jugendamt oder beim Umgang mit amtsärztlichen Zeugnissen. Im Bereich des technischen und organisatorischen Datenschutzes sind Beiträge zu den Themen „Künstliche Intelligenz“ sowie „Angriffe durch Schadsoftware“ hervorzuheben. Auch ganz konkrete Fälle aus der Prüfungs- und Beratungspraxis fehlen nicht, so der eines Rentners, der auf einem Spielplatz für seinen Enkel eine neue Hüpfburg fotografierte – und sich schließlich als möglicher pädophiler Gefährder in einer polizeilichen Datenbank gespeichert fand.

Bedingt durch die COVID-19-Pandemie wird der 29. Tätigkeitsbericht – anders als in den vorangegangenen Jahren – nicht mit einer Pressekonferenz vorgestellt. Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Thomas Petri steht interessierten Journalistinnen und Journalisten gleichwohl gern für Interviews zur Verfügung. Zur Vereinbarung eines Termins wenden Sie sich bitte an sein Vorzimmer (Telefon: 089 212672-12, E-Mail: vorzimmer@datenschutz-bayern.de).

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.



Landesdatenschutzbeauftragter: „Heimliche Spannervideos sind strafbar“

„Heimliche Spannervideos verletzen den höchstpersönlichen Lebensbereich und sind strafbar“, sagt Heinz Müller, Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern. „Die auf dem Festival ‚Monis Rache‘ offenbar benutzten Minikameras gibt es in allen möglichen Ausfertigungen. Sie können in einem Rauchmelder, einem Kugelschreiber oder auch einem Ladegerät versteckt sein. Aufnahmen solcher Kameras können im Grunde jeden von uns treffen.“ Müller warnt: „Auch, wenn sie auf dem freien Markt erhältlich sind, lassen sich Minikameras nicht datenschutzkonform betreiben“.

Auf dem Festival „Monis Rache“ in Tutow (Vorpommern-Greifswald) hat ein Mann Medienberichten zufolge Kameras auf den Toiletten versteckt und die Benutzerinnen gefilmt. Nach einer Recherche des ARD-Magazins „Strg_F“ hat er die Aufnahmen später geschnitten und auf Porno-Plattformen verteilt. Damit soll er fast 8000 Euro verdient haben.

Die Polizeiinspektion Anklam hat nach der Veröffentlichung der Reportage von Amts wegen eine Anzeige gegen Unbekannt erstattet. Die dortige Kriminalpolizeiinspektion hat inzwischen Ermittlungen wegen des Verdachts der Begehung von Straftaten nach §§ 184 und 201a Strafgesetzbuch sowie § 23 Kunsturheberrechtsgesetz aufgenommen. Die Polizei bittet Personen, die 2018 auf dem Festival waren, die Dixi-Toiletten benutzt haben und somit Betroffene dieser Tat sein könnten, Anzeige zu erstatten. Das könne auch online unter www.polizei.mvnet.de geschehen.

Der oberste Datenschützer des Landes nimmt den Sachverhalt sehr ernst. Seine Behörde werde alle in ihrem Zuständigkeitsbereich möglichen Maßnahmen ergreifen. Zunächst liege das Verfahren aber bei der zuständigen Staatsanwaltschaft.



Von Kennzeichenerfassung bis Künstliche Intelligenz – Ergebnisse der 98. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer 98. Sitzung am 6. und 7. November 2019 in Trier eine Reihe von Entschließungen und Beschlüssen gefasst. Die Bandbreite der Themen reichte dabei von der Kritik an einer massenhaften automatisierten Erfassung von Kfz-Kennzeichen über Risiken der Digitalisierung im Gesundheitswesen bis zu Empfehlungen für den datenschutzgerechten Einsatz von Künstlicher Intelligenz.

Empfehlungen für eine datenschutzkonforme Gestaltung von KI-Systemen

Auf der Grundlage der Hambacher Erklärung vom 3. April 2019 hat die DSK in einem Positionspapier Anforderungen an KI-Systeme erarbeitet, deren Umsetzung sie für eine datenschutzkonforme Gestaltung von KI-Systemen empfiehlt. Die DSK legt dieses Positionspapier auch vor, um den Dialog mit den relevanten Akteuren aus Politik, Wirtschaft, Wissenschaft und Gesellschaft wie den Verbrauchervereinigungen auf dieser Grundlage weiter zu intensivieren.

Massenhafte automatisierten Erfassung von Kfz-Kennzeichen

Seit einiger Zeit werden eigentlich für Zwecke der polizeilichen Gefahrenabwehr eingerichtete automatisierte Kennzeichenerfassungssysteme auch für Zwecke der Strafverfolgung eingesetzt und dabei massenhaft und teilweise längerfristig Kfz-Daten unabhängig von der Beschuldigteneigenschaft der betroffenen Personen erfasst. Die DSK kritisiert in einer Entschließung, dass eine Ausweitung des Betroffenenkreises in dieser Größenordnung durch keinerlei Tatsachen begründbar und nicht zu rechtfertigen ist.

Digitalisierung im Gesundheitswesen

Angesichts der fortschreitenden Digitalisierung des Gesundheitswesens fordert die DSK sicherzustellen, dass Patientendaten in medizinischen Einrichtungen jeder Größe nach dem Stand der Technik geschützt werden. Auch Gesundheitswebseiten und –Apps müssen die Erwartungen ihrer Nutzerinnen und Nutzer an Vertraulichkeit gewährleisten, und bei der Weitergabe personenbezogener Daten bestimmte Anforderungen einhalten. Für den Einsatz von Messenger-Diensten im Krankenhausbereich wurden in einem „Whitepaper“ technische Anforderungen zusammengestellt, die als Grundlage für weitere Gespräche mit den einschlägigen Verbänden (DKG, VKD, KH-IT, BÄK, bvitg) dienen sollen.

Standard-Datenschutzmodell

Die DSK hat mit der Version 2.0 eine grundlegend überarbeitete Version des Standard-Datenschutzmodelles (SDM) verabschiedet [Link auf SDM]. Mit dem SDM stellt die DSK ein Werkzeug bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen unterstützt wird. In ihrer Pressemitteilung [Link auf PM] empfiehlt die DSK den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden und ihre Erfahrungen den Datenschutzaufsichtsbehörden mitzuteilen.

Windows Betriebssystem- und Anwendungslösungen

Um Verantwortlichen eine Möglichkeit zu geben, die datenschutzrelevanten Fragen im Zusammenhang mit dem Einsatz des Betriebssystems Windows 10, der Übertragung von Telemetriedaten sowie der Update-Konfiguration zu bewerten, hat die DSK ein Prüfschema veröffentlicht.

Im Zusammenhang mit der automatisierten Übertragung sogenannter Telemetriedaten bei Windows Betriebssystem- und Anwendungslösungen hat die Konferenz im Nachgang auf hochrangiger Ebene Gespräche mit Vertretern von Microsoft geführt. Ziel ist es dabei, den Personenbezug von Nutzungsdaten zu vermindern bzw. deren Übertragung in die Entscheidung der Nutzerinnen und Nutzer zu stellen.

Weiterentwicklung der DS-GVO und Zusammenarbeit mit Europäischen Aufsichtsbehörden

Die DSK hat einen Erfahrungsbericht über die Anwendung der Datenschutz-Grundverordnung beschlossen, der einen Beitrag zur Erstellung eines Berichts auf europäischer Ebene leisten soll. Für eine verbesserte Abstimmung und Zusammenarbeit mit den Europäischen Aufsichtsbehörden hat die Konferenz verschiedene interne Verfahrensregelungen beschlossen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, zog folgendes Fazit des diesjährigen rheinland-pfälzischen Vorsitzes in der Datenschutzkonferenz: „Die umfangreichen Tagesordnungen der 98. Datenschutzkonferenz sowie der vorhergehenden zeigen einmal mehr, dass die fortschreitende Digitalisierung Datenschutzfragen in nahezu allen Lebensbereichen aufwirft. Die Datenschutzbeauftragten stehen dabei vor der Herausforderung, relevante Entwicklungen frühzeitig zu erkennen und den Datenschutz so einzubringen, dass Risiken begegnet wird und Chancen nicht vergeben werden. Ich freue mich daher, dass es im Jahr des rheinland-pfälzischen Vorsitzes der Konferenz gelungen ist, für das Zukunftsthema „Künstliche Intelligenz“ entsprechende Empfehlungen zu erarbeiten.“

Die erwähnten Entschließungen und Beschlüsse der DSK stehen unter https://www.datenschutz-mv.de/datenschutz/publikationen/entschliessungen_2020_2011/ zum Download bereit.



Standard-Datenschutzmodell Version 2.0 von der Datenschutzkonferenz verabschiedet

Standard-Datenschutzmodell

Eine Methode zur Datenschutzberatung und –prüfung
auf der Basis einheitlicher Gewährleistungsziele

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit der Version 2.0 eine grundlegend überarbeitete Version des Standard-Datenschutzmodelles (SDM) entwickelt.

Die rechtlichen Anforderungen der Datenschutzgrundverordnung (DS-GVO) werden vom SDM nun vollständig erfasst und mit Hilfe der Gewährleistungsziele systematisiert. Der Katalog generischer Maßnahmen ermöglicht einen niederschwelligen Einstieg in die praktische Anwendung des SDM. Das im SDM beschriebene Datenschutzmanagement führt Verantwortliche durch alle Phasen der Verarbeitung personenbezogener Daten und ermöglicht somit auch die kontinuierliche Aufrechterhaltung einer rechtssicheren Verarbeitung.

Mit dem SDM stellt die Konferenz ein Werkzeug bereit, mit dem die risikoadäquate Auswahl und rechtliche Bewertung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen unterstützt wird. Diese Maßnahmen sollen sicherstellen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DS-GVO erfolgt. Das SDM bietet mit seinen Gewährleistungszielen eine Transformationshilfe zwischen Recht und Technik und unterstützt damit einen ständigen Dialog zwischen Beteiligten aus den juristischen und technisch-organisatorischen Bereichen.

Die Anwendungsbereiche des Standard-Datenschutzmodells sind Planung, Einführung und Betrieb von Verarbeitungstätigkeiten, mit denen personenbezogene Daten verarbeitet werden (personenbezogene Verarbeitungen) sowie deren Prüfung und Beurteilung. Damit unterstützt das SDM Verantwortliche in Wirtschaft und Verwaltung, die von der DS-GVO auferlegten Nachweis- und Rechenschaftspflichten zu erfüllen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder empfiehlt den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden. Das SDM soll kontinuierlich weiterentwickelt werden. Anwenderinnen und Anwender sind eingeladen, den Datenschutzaufsichtsbehörden ihre Erfahrungen bei der Nutzung des SDM mitzuteilen, um zu einer stetigen Verbesserung des Modells beizutragen.