I.Das neue Datenschutzrecht seit 25. Mai 20181.Europäischer Rechtsrahmena)Verordnung (EU) 2016/679b)Richtlinie (EU) 2016/680c)Abgrenzung der Anwendungsbereiche von DSGVO und JI-RL2.Nationale Umsetzung bzw. Ergänzung des europäischen Rechtsrahmens3.Anpassung des bereichsspezifischen nationalen RechtsII.Unmittelbare Geltung der DSGVO und Geltung kraft Verweisung im BayDSG1.Erste Fallkonstellation: Unmittelbare Geltung der DSGVO2.Zweite Fallkonstellation: Keine unmittelbare Geltung der DSGVO, aber Anwendbarkeit der DSGVO gemäß Art. 2 BayDSG3.Dritte Fallkonstellation: Keine unmittelbare Geltung der DSGVO im Bereich der sog. „Polizei- und Justiz-Datenschutz-Richtlinie“, aber Anwendbarkeit einzelner Vorschriften der DSGVO gemäß Art. 28 Abs. 2 BayDSG4.Detailabgrenzung in Bezug auf Straftaten und OrdnungswidrigkeitenIII.Prüfungsschema: Zulässigkeit der Erhebung personenbezogener Daten durch öffentliche Stellen im unmittelbaren Anwendungsbereich der DSGVO1.Wird die Erhebung durch bereichsspezifische Rechtsvorschriften erlaubt?2.Wird die Erhebung durch das BayDSG erlaubt?3.Wird die Erhebung unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. b oder d DSGVO erlaubt?4.Wird die Erhebung unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung) erlaubt?5.Informationspflichten im Fall der DatenerhebungIV.Prüfungsschema: Zulässigkeit der internen Verarbeitung personenbezogener Daten innerhalb einer öffentlichen Stelle im unmittelbaren Anwendungsbereich der DSGVO1.Wird die interne Verarbeitung personenbezogener Daten innerhalb einer öffentlichen Stelle durch bereichsspezifische Rechtsvorschriften erlaubt?2.Wird die interne Verarbeitung personenbezogener Daten innerhalb einer öffentlichen Stelle durch das BayDSG erlaubt?3.Wird die interne Datenverarbeitung innerhalb der öffentlichen Stelle unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. b oder d DSGVO erlaubt?4.Ist die interne Datenverarbeitung innerhalb der öffentlichen Stelle unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung) erlaubt?5.Informationspflichten im Fall einer nachträglichen ZweckänderungV.Prüfungsschema: Zulässigkeit der Übermittlung personenbezogener Daten an andere öffentliche Stellen im unmittelbaren Anwendungsbereich der DSGVO1.Wird die Übermittlung an andere öffentliche Stellen durch bereichsspezifische Rechtsvorschriften erlaubt?2.Wird die Übermittlung an andere öffentliche Stellen durch das BayDSG erlaubt?3.Wird die Datenübermittlung an andere öffentliche Stellen unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. b oder d DSGVO erlaubt?4.Wird die Datenübermittlung an andere öffentliche Stellen unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung) erlaubt?5.Informationspflichten im Fall einer nachträglichen ZweckänderungVI.Prüfungsschema: Zulässigkeit der Übermittlung personenbezogener Daten an nicht öffentliche Stellen im unmittelbaren Anwendungsbereich der DSGVO1.Wird die Übermittlung an nicht öffentliche Stellen durch bereichsspezifische Rechtsvorschriften erlaubt?2.Wird die Übermittlung an nicht öffentliche Stellen durch das BayDSG erlaubt?3.Wird die Datenübermittlung an nicht öffentliche Stellen unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. b oder d DSGVO erlaubt?4.Wird die Datenübermittlung an nicht öffentliche Stellen unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung) erlaubt?5.Informationspflichten im Fall einer nachträglichen ZweckänderungVII.Datenschutz und Amtshilfe1.Amtshilfe durch Informationshilfe2.Verhältnis des Amtshilferechts zum Datenschutzrecht3.Prüfungsschema für die Informationshilfe4.Keine Amtshilfe bei gesetzlicher Verpflichtung zur Datenübermittlung5.Keine Amtshilfe bei Übermittlung von Daten durch die Meldebehörden an andere BehördenVIII.Verantwortung und Kontrolle im Datenschutz1.Die zentrale Rolle des Verantwortlichen2.Sicherstellung des Datenschutzes3.Die Datenschutzaufsichtsbehörden4.Der behördliche DatenschutzbeauftragteIX.Behördlicher Datenschutzbeauftragter1.Allgemeinesa)Wozu behördliche Datenschutzbeauftragte?b)Rechtsvorschriften2.Bestellung des behördlichen Datenschutzbeauftragtena)Verpflichtung zur Bestellungb)Bestellungsverfahrenc)Gemeinsame Datenschutzbeauftragted)Externe Datenschutzbeauftragtee)Qualifikation und Personalauswahlf)Bereitstellung der erforderlichen „Ressourcen“g)Veröffentlichung der Kontaktdaten und Meldepflicht3.Stellung des behördlichen Datenschutzbeauftragtena)Unabhängigkeitb)Frühzeitige Einbindung und Unterstützung durch den Verantwortlichenc)Verschwiegenheitspflicht4.Aufgaben des behördlichen Datenschutzbeauftragtena)Unterrichtung und Beratungb)Überwachungc)Beratung bei der Datenschutz-Folgenabschätzungd)Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für die Aufsichtsbehördee)Unterstützung der betroffenen Personf)Stellungnahme vor dem Einsatz automatisierter Verfahren und zu geplanten Videoüberwachungeng)Der risikobasierte Ansatzh)Übertragung weiterer Aufgaben5.Behördliche Datenschutzbeauftragte bei bayerischen Sozialbehördena)Besonderheiten für behördliche Datenschutzbeauftragte der Sozialversicherungsträger und ihrer Verbände bei der Kontrolle von Sozialdatenb)Rechtslage für behördliche Datenschutzbeauftragte bayerischer Sozialbehörden, die nicht Sozialversicherungsträger sindX.Das Verzeichnis von Verarbeitungstätigkeiten1.Die Verpflichtung zur Führung2.Das Verarbeitungsverzeichnis als Grundlage der Rechenschafts- und Nachweispflichten3.Erstellung und Führunga)Verpflichtung des Verantwortlichenb)Übertragung der Führung auf den behördlichen Datenschutzbeauftragtenc)Laufende Aktualisierung4.Veröffentlichung, Einsichtnahme und Auskunfta)Veröffentlichungb)Einsichtnahme und Auskunft5.Aufzunehmende Verarbeitungstätigkeitena)Automatisierte und nicht automatisierte Verarbeitungstätigkeitenb)Was ist eine Verarbeitungstätigkeit?6.Die Angaben im Verarbeitungsverzeichnis im EinzelnenXI.Datenschutzaufsicht durch den Bayer. Landesbeauftragten für den Datenschutz1.Datenschutzaufsichtsbehörden in Bayerna)Bayer. Landesbeauftragter für den Datenschutzb)Weitere Datenschutzaufsichtsbehörden in Bayernc)Unabhängigkeit2.Kontrollbereicha)Kontrollbereich des Bayer. Landesbeauftragten für den Datenschutzb)Zuständigkeit anderer Datenschutzaufsichtsbehörden3.Aufgaben des Landesbeauftragten für den Datenschutz4.Unterstützung des Landesbeauftragten für den Datenschutz durch die öffentlichen Stellen5.Abhilfebefugnisse des Landesbeauftragten für den DatenschutzXII.Koordinierung der Datenschutzaufsicht in der EUXIII.Informationspflichten der verantwortlichen Stelle gegenüber den Betroffenen nach Art. 13 und 14 DSGVO1.Erhobene Daten und erhaltene („aufgedrängte“) Daten2.Erhebungsadressat3.Informationspflichten bei der Erhebung4.Informationspflichten bei einer Zweckänderung5.Entfall der Informationspflichten6.Form der InformationsgewährungXIV.Datenschutz in der Gemeinde1.Anzuwendende Vorschriften, Zuständigkeiten und Begriffea)Anwendbarkeit der DSGVO in der Gemeindeb)Verhältnis des Fachrechts und des Kommunalrechts zur DSGVOc)Vorgehen bei der rechtlichen Lösung datenschutzrechtlicher Fragend)Wer ist in der Gemeinde für den Vollzug der DSGVO zuständig?2.Datenschutz und Gemeinderata)Weitergabe personenbezogener Daten vom ersten Bürgermeister und der Gemeindeverwaltung an den Gemeinderatb)Das Informationsrecht des Gemeinderatsc)Ladung zur Sitzung des Gemeinderats, Tagesordnungd)Akteneinsicht durch den Gemeinderate)Behandlung von Angelegenheiten, die dem Steuergeheimnis oder dem Sozialgeheimnis unterliegenf)Ortsübliche Bekanntmachung der Tagesordnung, Weitergabe an die Presseg)Öffentlichkeit der Gemeinderatssitzungh)Ton- und Bildaufnahmen in der Gemeinderatssitzungi)Übertragung von Gemeinderatssitzungen im Internetj)Behandlung der Niederschrift von Gemeinderatssitzungenk)Verschwiegenheitspflicht der Mitglieder des Gemeinderats3.Der gemeindliche Datenschutzbeauftragtea)Verpflichtung zur Bestellungb)Qualifikationc)Veröffentlichung der Kontaktdaten und Meldung an die Aufsichtsbehörded)Stellung des gemeindlichen Datenschutzbeauftragtene)Gesetzliche Aufgaben des gemeindlichen Datenschutzbeauftragtenf)Übertragung weiterer Aufgaben4.Neue Pflichten der DSGVO und ihre Umsetzung in der Gemeindea)Das Verzeichnis der Verarbeitungstätigkeitenb)Die Meldepflicht und die Benachrichtigungspflicht bei Verletzungen des Schutzes personenbezogener Datenc)Die Datenschutz-Folgenabschätzungd)Informationspflichten bei der Erhebung von Daten5.Datenschutzaufsichtsbehördena)Bayer. Landesbeauftragter für den Datenschutzb)Bundesbeauftragter für den Datenschutz und die Informationsfreiheitc)Landesamt für Datenschutzaufsichtd)Befugnisse der Datenschutzaufsichtsbehördene)Keine Geldbußen gegen Behörden6.Öffentlichkeitsarbeit der Gemeinde, Internetauftritt der Gemeindea)Allgemeines, rechtliche Grundlagenb)Veröffentlichungen rund um den Gemeinderatc)Sonstige Veröffentlichungen auf der Internetseite der Gemeinded)Veröffentlichungen durch Mitglieder des Gemeinderats7.Aktuelle Einzelfragena)Videoüberwachung durch die Gemeindeb)Veröffentlichung von Fotos bei Veranstaltungenc)Verschlüsselung von E-Mails zwischen Bürger und GemeindeXV.Datenschutz im Dienst- und Arbeitsverhältnis bei bayerischen öffentlichen Stellen1.Übersicht über die anwendbaren Rechtsvorschriftena)Beamte und ehemalige Beamteb)Sonstige Beschäftige im öffentlichen Dienst2.Beschäftigte bayerischer öffentlicher Stellena)Anzuwendende Vorschriften für die Verarbeitungb)Anzuwendende Vorschriften bei Auskunftsansprüchenc)Abgrenzung zwischen Personalaktendaten und Sachaktendatend)Besonderheiten bei Kindergelddatene)Verwendung von Personalaktendaten auch für die Personalwirtschaftf)Datenfluss zwischen Personalgrundakt, Personalnebenakten und Personalteilakteng)Schaubild zur Rechtslage3.Tabellarische Übersicht über die für den Datenschutz im Dienst- und Arbeitsverhältnis wesentlichen Vorschriften4.Datenverarbeitung im Einstellungsverfahrena)Rechtsgrundlagen für die Erhebung der personenbezogenen Daten von Bewerbernb)Zulässigkeit einzelner Fragen an Bewerberc)Einsicht des Gleichstellungsbeauftragten in Bewerbungsunterlagen und seine Teilnahme an Bewerbungsgesprächend)Informationspflicht nach der Datenschutzgrundverordnunge)Mitbestimmung bei Personalfragebogenf)Abschaffung der Genehmigungspflicht für Personalfragebogen nach Beamtenrechtg)Einstellungsuntersuchung6.Personalfragebogen für Beamte7.Personalfragebogen für Arbeitnehmer/Arbeitnehmerinnen8.Personalbogen9.Beihilfedatena)Beihilfeunterlagen als Teil der Personalakten (Art. 105 Sätze 1 und 2 BayBG)b)Abschottung (Art. 105 Satz 3 BayBG)c)Grundsätzlich Beihilfebearbeitung nur innerhalb der Verwaltung des Dienstherrnd)Möglichkeiten einer Übertragung der Beihilfebearbeitung auf Dritte außerhalb der Verwaltung des Dienstherrne)Zweckbindung (Art. 105 Satz 4 BayBG)10.Kontrolle der Internetaktivitäten der Beschäftigtena)Internet am Arbeitsplatzb)Kontrolle der Internetnutzungc)Kontrolle des E-Mail-Verkehrsd)Mitbestimmung des Personalratse)Datenverarbeitung an der Schnittstelle zwischen dem Behördennetz und anderen Netzen11.Veröffentlichung von Mitarbeiterfotos12.Datenübermittlungen beim (beabsichtigten) Wechsel des Dienstherrn bzw. ArbeitgebersXVI.Datenschutz und Mitbestimmung des Personalrats1.Datenschutzrelevante Mitbestimmungsfällea)Mitbestimmung bei technischen Überwachungseinrichtungen (Art. 75a Abs. 1 Nr. 1 BayPVG)b)Mitbestimmung bei automatisierten Personalverwaltungsverfahren (Art. 75a Abs. 1 Nr. 2 BayPVG)c)Mitbestimmung bei Personalfragebogen (Art. 75 Abs. 4 Satz 1 Nr. 10 BayPVG)d)Mitbestimmung bei Beurteilungsrichtlinien (Art. 75 Abs. 4 Satz 1 Nr. 11 BayPVG)e)Mitbestimmung beim Erlass von Richtlinien über die personelle Auswahl (Art. 75 Abs. 4 Satz 1 Nr. 13 BayPVG)f)Keine Mitbestimmung bei der Benennung des Datenschutzbeauftragten3.Durchführung der Mitbestimmung, Informationsrechte des Personalrats4.Begrenzung des Mitbestimmungsrechtsa)Gesetzliche oder tarifliche Regelungenb)Nur Abwehrfunktionc)Eingeschränkte Mitbestimmung5.Entscheidungsspielraum des Personalrats6.Auswirkung fehlender Zustimmung des Personalratsa)Löschungsverlangen bei Missachtung des Mitbestimmungsrechtsb)Verwertungsverbot bei Missachtung des Mitbestimmungsrechts?c)Unterlassungsansprüche des Personalrats bei einer Verletzung seines Mitbestimmungsrechts?7.Verarbeitung von Beschäftigtendaten durch den Personalrat selbsta)Personalrat – datenschutzrechtlich Teil der Dienststelleb)Verhältnis von Personalrat und behördlichem Datenschutzbeauftragtenc)Datenverarbeitung durch den Personalratd)Vorgaben der DSGVO für den PersonalratXVII.Datenschutz an Schulen1.Welche Vorschriften gelten für welche Schulen?a)Ausgangspunktb)Staatliche und kommunale Schulen (öffentliche Schulen im Sinn des Art. 3 Abs. 1 BayEUG)c)Staatlich anerkannte private Ersatzschulen im Sinne des Art. 100 BayEUGd)Staatlich anerkannte private Ersatzschulen mit dem Charakter einer öffentlichen Schule im Sinn des Art. 101 BayEUGe)Staatlich genehmigte private Ersatzschulen im Sinn des Art. 92 BayEUGf)Angezeigte private Ergänzungsschulen im Sinn von Art. 102 BayEUGXVIII.Schutz von Sozialdaten1.Sozialdatenschutz und Datenschutz-Grundverordnung der EU2.Bereichsspezifische Vorschriften zum Sozialdatenschutz3.Das Sozialgeheimnisa)Schutz der Persönlichkeitsrechteb)Definition des Sozialgeheimnisses in § 35 Abs. 1 Satz 1 SGB Ic)Betriebs- und Geschäftsgeheimnissed)Sozialdaten Verstorbener4.Wahrung des Sozialgeheimnissesa)Verpflichtete Stellenb)Sozialleistungsträger als Adressaten des Sozialgeheimnissesc)Andere Adressaten des Sozialgeheimnisses, insbesondere in § 35 Abs. 1 Satz 4 SGB I genannt5.Allgemeine Grundsätze für die Verarbeitung von Sozialdatena)Rechtsgrundlagen im Sozialgesetzbuchb)Rechtsgrundlagen unmittelbar aus der DSGVO6.Die Erhebung von Sozialdaten (§ 67a SGB X)a)Grundsatz der Erforderlichkeitb)Der Grundsatz des Vorrangs der Erhebung beim Betroffenen7.Allgemeine Grundsätze für Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung von Sozialdaten (§ 67b SGB X)8.Die Speicherung, Veränderung und Nutzung von Sozialdaten durch denselben Verantwortlichen (§ 67c SGB X)9.Die Übermittlung von Sozialdaten an Drittea)Allgemeine Grundsätze (§ 67d SGB X)b)Einschränkung der Übermittlungsbefugnis bei besonders schutzwürdigen Sozialdaten (§ 76 SGB X)10.Einzelne Übermittlungsbefugnisse des SGB Xa)§ 67e SGB X: Bekämpfung von Leistungsmissbrauch und illegaler Ausländerbeschäftigungb)§ 68 SGB X: Übermittlung für Aufgaben der Polizeibehörden, der Staatsanwaltschaften und Gerichte, der Behörden der Gefahrenabwehr und der Justizvollzugsanstaltenc)§ 69 SGB X: Übermittlung für die Erfüllung sozialer Aufgabend)§ 70 SGB X: Übermittlung für die Durchführung des Arbeitsschutzese)§ 71 Abs. 1 SGB X: Übermittlung für die Erfüllung besonderer gesetzlicher Pflichten und Mitteilungsbefugnissef)§ 71 Abs. 2 SGB X: Übermittlung von Sozialdaten eines Ausländersg)§ 71 Abs. 2a SGB X: Übermittlung bei Asylbewerbernh)§ 71 Abs. 3 SGB X: Übermittlung in Betreuungsangelegenheiteni)§ 71 Abs. 4 SGB X: Übermittlung an die Zentralstelle für Finanztransaktionsuntersuchungenj)§ 72 SGB X: Übermittlung für den Schutz der inneren und äußeren Sicherheitk)§ 73 SGB X: Übermittlung für die Durchführung eines Strafverfahrensl)§ 74 SGB X: Übermittlung bei Verletzung der Unterhaltspflicht und beim Versorgungsausgleichm)§ 74a SGB X: Übermittlung zur Durchsetzung von öffentlich-rechtlichen Ansprüchenn)§ 75 SGB X: Übermittlung von Sozialdaten für die Forschung und Planung11.Übermittlung ins Ausland und an internationale Organisationen (§ 77 SGB X)a)Übermittlung in andere Mitgliedstaaten der Europäischen Unionb)Übermittlung in Drittstaaten mit angemessenem Datenschutzniveauc)Übermittlung in Drittstaaten ohne angemessenen Datenschutzniveau12.Besondere Datenverarbeitungsartena)Einrichtung automatisierter Abrufverfahren (§ 79 SGB X)b)Verarbeitung von Sozialdaten im Auftrag (§ 80 SGB X)13.Datenschutzaufsichtsbehörden (§ 81 SGB X)a)Anrufung der Datenschutzaufsichtsbehördenb)Keine Verhängung von Geldbußen gegen öffentliche Stellen14.Behördliche Datenschutzbeauftragte bei bayerischen öffentlichen Stellen im Sozialbereicha)Besonderheiten für behördliche Datenschutzbeauftragte der Sozialversicherungsträger und ihrer Verbändeb)Behördliche Datenschutzbeauftragte bayerischer öffentlicher Stellen im Sozialbereich, die nicht Sozialversicherungsträger sind15.Gerichtlicher Rechtsschutza)Klagen gegen Datenschutzaufsichtsbehörden (§ 81a SGB X)b)Klagen Betroffener gegen Verantwortliche oder Auftragsverarbeiter (§ 81b SGB X)16.Informationspflichten gegenüber der betroffenen Person (§§ 82, 82a SGB X)17.Auskunftsrecht der betroffenen Person (§ 83 SGB X)18.Meldung von Datenschutzverletzungen (§ 83a SGB X)19.Spezialregelungen für Löschung, Einschränkung der Verarbeitung, Widerspruch (§ 84 SGB X)20.Übersicht über die für bayerische öffentliche Stellen im Sozialbereich geltenden Datenschutzvorschriftena)Bayerische öffentliche Stellen im Sozialbereichb)Maßgebliche Rechtsvorschriften für Sozialdatenc)Maßgebliche Rechtsvorschriften für die Videoüberwachungd)Maßgebliche Rechtsvorschriften für die Datenschutzaufsichtsbehördee)Maßgebliche Rechtsvorschriften für den behördlichen Datenschutzbeauftragtenf)Maßgebliche Rechtsvorschriften für Verzeichnisse21.Übersicht über die für öffentliche Stellen des Bundes im Sozialbereich geltenden Datenschutzvorschriftena)Öffentliche Stellen des Bundes im Sozialbereichb)Maßgebliche Rechtsvorschriften für Sozialdatenc)Maßgebliche Rechtsvorschriften für die Videoüberwachungd)Maßgebliche Rechtsvorschriften für die Datenschutzaufsichtsbehördee)Maßgebliche Rechtsvorschriften für den behördlichen Datenschutzbeauftragtenf)Maßgebliche Rechtsvorschriften für Verzeichnisse