Veröffentlichung des 32. Tätigkeitsberichts 2022
Veröffentlicht am:Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz vom 14.06.2023
Der Bayerische Landesbeauftragte für den Datenschutz stellt Ergebnisse seiner Arbeit im Jahr 2022 vor
„Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“ Mit diesen Worten beginnt die Datenschutz-Grundverordnung, deren Geltungsbeginn sich kürzlich bereits zum fünften Mal jährte. Dass das Datenschutzrecht auch den freien Verkehr personenbezogener Daten bezweckt, gerät im nationalen Alltag manchmal aus dem Blickfeld – anders als beim Unionsgesetzgeber, der das Verhältnis von Datenschutz und freiem Datenverkehr derzeit, durch die europäische Datenstrategie geleitet, in zahlreichen Normsetzungsverfahren konkretisiert. Die Diskussion um den europäischen Gesundheitsdatenraum ist nur ein prominentes Beispiel. Als Vertreter der deutschen Länder im Europäischen Datenschutzausschuss möchte ich meinen 32. Tätigkeitsbericht dazu nutzen, einige auf der Unionsebene diskutierte Regelungsansätze kritisch zu beleuchten. Immerhin handelt es sich um datenschutzpolitische Weichenstellungen, die im Lauf der nächsten Jahre und darüber hinaus auch für die Bürgerinnen und Bürger in Bayern Folgen zeitigen werden (Beitrag Nr. 1.1).
Natürlich befasst sich der Tätigkeitsbericht in erster Linie mit meiner Aufgabe, die Einhaltung der Datenschutz-Grundverordnung, des Bayerischen Datenschutzgesetzes sowie anderer Vorschriften über den Datenschutz bei den bayerischen öffentlichen Stellen zu überwachen. Wie in den vorangegangenen Berichtszeiträumen verfolge ich weiterhin einen präventiven Ansatz: Guter Datenschutz reagiert nicht in erster Linie mit harten Sanktionen auf spektakuläre Datenschutzverletzungen, sondern versucht, zu deren Vermeidung anzuleiten.
Ein zentrales Instrument ist dabei die Vermittlung von Wissen. Ich möchte möglichst viele bayerische öffentliche Stellen in die Lage versetzen, Verarbeitungen personenbezogener Daten in ihrem jeweiligen Aufgabenbereich rechtskonform zu gestalten. Daher habe ich im Berichtszeitraum mein im innerdeutschen Vergleich mittlerweile wohl führendes Informationsangebot für den öffentlichen Sektor weiter ausgebaut und aktualisiert. Beitrag Nr. 2.1 gibt dazu einen Überblick. Aus dem allgemeinen Datenschutzrecht möchte ich als Beispiele die Beiträge Nr. 2.2 und 2.3 nennen, in denen bayerische öffentliche Stellen erfahren, was beim Versand von Hybridbriefen und beim Einsatz externer Schriftarten auf Webseiten zu beachten ist.
Zum präventiven Datenschutz gehört die Beratung an der Gesetzgebung beteiligter Stellen, insbesondere der Staatsministerien. Meine Einbindung in die entsprechenden Verfahren gestaltet sich in Einklang mit Art. 16 Abs. 3 Bayerisches Datenschutzgesetz und § 7 Abs. 4 Satz 1 Geschäftsordnung der Bayerischen Staatsregierung meist reibungslos. Ich werde frühzeitig beteiligt, und meine Hinweise werden gehört, meine Optimierungsvorschläge erfreulich oft aufgegriffen. Im Berichtszeitraum findet sich allerdings auch ein Gegenbeispiel. Bei der Novelle des Bayerischen Universitätsklinikagesetzes hat sich das zuständige Staatsministerium meinen eingehend begründeten datenschutzrechtlichen Monita gegenüber weitgehend verschlossen und Verarbeitungsvorschriften eingebracht, die Patientenrechte einseitig zugunsten von Forschungsinteressen verkürzen. Die Neuregelung erscheint in Anbetracht der gegenwärtigen Regulierung des europäischen Gesundheitsdatenraums zudem als übereilt (Beitrag Nr. 7.1).
Bei der Bayerischen Polizei habe ich weiterhin die Bemühungen zur Einführung einer Verfahrensübergreifenden Recherche- und Analyseplattform (VeRA) kritisch begleitet. In meinem Eintreten für einen rechtsstaatlich akzeptablen Handlungsrahmen habe ich Unterstützung durch das Bundesverfassungsgericht erfahren. In einer Entscheidung zum Polizeirecht einiger anderer Bundesländer griff das Gericht Argumente auf, die ich seit jeher auch der Bayerischen Polizei entgegenhalte (Beitrag Nr. 3.1). Vermeintlich kleinere Erfolge konnte ich etwa bei der Beschleunigung von Auskunftsverfahren sowie bei der Nutzung privater Smartphones durch Polizeibeamte erreichen (Beiträge Nr. 3.2 und 3.4). Im Bereich des Verfassungsschutzes habe ich gegenüber dem Bayerischen Landtag zu Löschmoratorien Stellung genommen, welche die Arbeit des NSU-Untersuchungsausschusses erleichtern sollen, jedoch datenschutzrechtliche Probleme aufwerfen (Beitrag Nr. 3.5). Bei der Justiz erstreckt sich meine Aufsichtskompetenz zwar nicht auf richterliche Tätigkeiten; zu überprüfen hatte ich jedoch etwa Datenübermittlungen von Staatsanwaltschaften an Jugendämter und Ausländerbehörden (Beiträge Nr. 4.2 und 4.3). Gegenüber einem Notar habe ich wegen unzulässiger Einsichtnahme in ein Grundbuch eine förmliche Beanstandung ausgesprochen (Beitrag Nr. 4.5).
Was den kommunalen Bereich betrifft, habe ich mich grundsätzlich zu den Regelungsmöglichkeiten geäußert, die Gemeinden bei Datennutzungssatzungen zustehen (Beitrag Nr. 5.1). Gemeinden können sich zwar kein eigenes Datenschutzrecht schaffen, das als einengend empfundene Vorgaben einfach beiseiteschiebt. Sie sollten aber einige Spielräume kennen, die durch Ortsrecht ausgefüllt werden dürfen. Einer eingehenden Prüfung habe ich das E-Ticket-System eines kommunalen Verkehrsunternehmens unterzogen (Beitrag Nr. 5.2). In einigen Details konnten hier Optimierungsbedarfe aufgezeigt werden. Die Gemeinden als Meldebehörden möchte ich darauf aufmerksam machen, dass Melderegisterauskünfte nur aus dem örtlichen Meldedatenbestand erteilt werden dürfen und ein automatisierter Abruf aus dem Ausländerzentralregister auch zum Zweck der Verwaltungsvereinfachung nicht eingerichtet werden darf (Beiträge Nr. 6.2 und 6.3). Meine Beratungstätigkeit bei der Schaffung einheitlicher Regelungen für die Inanspruchnahme staatlicher Rechenzentren als Auftragsverarbeiter habe ich auch im Berichtszeitraum fortgeführt (Beitrag Nr. 6.1).
Im Bereich der Sozial- und Gesundheitsverwaltung sind viele Datenschutzfragen im Zusammenhang mit der COVID-19-Pandemie mittlerweile geklärt, teilweise haben sie auch an Interesse verloren; Themen waren insofern noch die Symptomabfrage durch Gesundheitsämter oder die Impfstatusabfrage bei Besucherinnen und Besuchern in öffentlichen Krankenhäusern (Beträge Nr. 7.2 und 7.4). Daneben waren „coronafreie“ Datenschutzfragen wie die Evaluierung des Bayerischen Krebsregistergesetzes oder die datenschutzrechtliche Verantwortlichkeit in Bereitschaftspraxen der Kassenärztlichen Vereinigung Bayerns zu würdigen (Beiträge Nr. 7.3 und 7.5).
Bei der Steuer- und Finanzverwaltung ist die Funktion der Datenschutz-Aufsichtsbehörde weithin dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zugewiesen; dies gilt auch für die bayerischen Finanzämter. Das Steuerrecht setzt mit einer Sonderregelung auf eine bundesweite Zentralisierung. Neue Fragen der Abgrenzung zu meinen Zuständigkeiten stellten sich im Berichtszeitraum allerdings durch die Einführung der bayerischen Grundsteuer. In Bezug auf die Verwaltung dieser Landessteuer sehe ich derzeit mich als zuständige Datenschutz-Aufsichtsbehörde an (Beitrag Nr. 8.1). Meine ersten Erfahrungen mit der Wahrnehmung dieser Zuständigkeit habe ich für einige Fallgruppen dargestellt (Beitrag Nr. 8.2).
Im Bereich des Personaldatenschutzes standen Fragen der Verarbeitung von Immunitätsnachweisen bei der einrichtungsbezogenen Impfpflicht (Beitrag Nr. 9.1) noch im Zusammenhang mit der COVID-19-Pandemie. In gleich zwei beachtenswerten Einzelfällen kam es zu förmlichen Beanstandungen allzu dokumentationsfreudiger öffentlicher Arbeitgeber; hier ging es um eine verdeckte Tonaufzeichnung der Äußerungen einer Beschäftigten während einer Videokonferenz (Beitrag Nr. 9.3) und – wieder einmal – um den illegalen Einsatz von Ortungssystemen in Dienstkraftfahrzeugen (Beitrag Nr. 9.4). Ein grundsätzlicher Beitrag (Nr. 9.5) widmet sich dem Schicksal des dienstlichen E-Mail-Accounts eines verstorbenen Professors, der im Ruhestand noch an seiner Hochschule tätig war.
Was den Datenschutz an Schulen und Hochschulen betrifft, habe ich im Berichtszeitraum eine Überarbeitung der einschlägigen Bestimmungen des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen, der Bayerischen Schulordnung sowie der zugehörigen Verwaltungsvorschriften beratend unterstützt (Beitrag Nr. 10.1). Eingehend habe ich mich mit der Verarbeitung personenbezogener Daten im Rahmen der Videoaufsicht bei Fernprüfungen an bayerischen Hochschulen auseinandergesetzt (Beitrag Nr. 10.2). Eine nicht unerhebliche Anzahl von Eingaben erreichte mich im Zuge des Zensus 2022; die wichtigsten Fragen habe ich in einem Überblicksbeitrag dargestellt (Nr. 11.1).
Zum technisch-organisatorischen Datenschutz gibt mein Tätigkeitsbericht für das Jahr 2022 wieder eine Vielzahl von Impulsen: Mein Angebot an Materialien zur Datenschutz-Folgenabschätzung – einem in der Datenschutz-Grundverordnung zentralen Instrument des systematischen Auffindens und Bewältigens von Risiken – hat die nächsthöhere Ausbaustufe erreicht (Beitrag Nr. 12.2); grundsätzlich habe ich mich mit den datenschutzrechtlichen Anforderungen an sog. Penetrationstests befasst, welche die Sicherheit von IT-Systemen gezielt auf die Probe stellen (Beitrag Nr. 12.1). Die unbeabsichtigte Veröffentlichung personenbezogener Daten im Internet kommt leider auch bei bayerischen öffentlichen Stellen immer wieder vor; zu einigen im Rahmen meiner Aufsichtstätigkeit wiederkehrenden Fallgruppen erläutere ich Maßnahmen der Fehlervermeidung (Beitrag Nr. 12.4). In einer Umfrage bei den bayerischen Gesundheitsämtern zur Datenverarbeitung im Zusammenhang mit der COVID-19-Pandemie konnte ich einige neue Erkenntnisse insbesondere für künftige Beratungen gewinnen (Beitrag Nr. 12.5).
Die Datenschutzkommission beim Bayerischen Landtag, die nach Art. 17 Abs. 1 Satz 1 Bayerisches Datenschutzgesetz meine Arbeit unterstützt, hat im Berichtszeitraum drei Mal getagt. Dem Gremium, einer bayerischen Besonderheit, deren Tradition bis zum Bayerischen Datenschutzgesetz von 1978 zurückreicht, gehören sechs Mitglieder aus der Mitte des Landtags sowie vier externe Mitglieder an. Den mit den Sitzungen der Datenschutzkommission verbundenen intensiven Austausch über aktuelle datenschutzpolitische wie datenschutzrechtliche Fragen, über Gesetzesvorhaben, auch über Maßnahmen, die ich im Rahmen meiner Aufsichtstätigkeit getroffen habe, empfinde ich stets als bereichernd. Ich möchte daher die Gelegenheit nutzen, den Mitgliedern der Datenschutzkommission für ihre nicht im Fokus der Öffentlichkeit stehende Arbeit meinen ganz herzlichen Dank auszusprechen.
Der 32. Tätigkeitsbericht steht ab Mittwoch, den 14. Juni 2023 um 11:00 Uhr auf meiner Homepage https://www.datenschutz-bayern.de in der Rubrik „Tätigkeitsberichte“ zum Abruf bereit. Unter „Broschürenbestellung“ kann die gedruckte Fassung bezogen werden. Der Tätigkeitsbericht ist in allen Versionen kostenfrei.
Interessierten Journalistinnen und Journalisten stehe ich gerne für Interviews und Anfragen zur Verfügung. Zur Vereinbarung eines Termins wenden Sie sich bitte an mein Vorzimmer (Telefon: 089 212672-12, E-Mail: vorzimmer@datenschutz-bayern.de).
Prof. Dr. Thomas Petri