Teil E
Handbuch
I.
Das neue Datenschutzrecht seit 25. Mai 2018
1.
Europäischer Rechtsrahmen
a)
Verordnung (EU) 2016/679
b)
Richtlinie (EU) 2016/680
c)
Abgrenzung der Anwendungsbereiche von DSGVO und JI-RL
2.
Nationale Umsetzung bzw. Ergänzung des europäischen Rechtsrahmens
3.
Anpassung des bereichsspezifischen nationalen Rechts
II.
Unmittelbare Geltung der DSGVO und Geltung kraft Verweisung im BayDSG
1.
Erste Fallkonstellation: Unmittelbare Geltung der DSGVO
2.
Zweite Fallkonstellation: Keine unmittelbare Geltung der DSGVO, aber Anwendbarkeit der DSGVO gemäß Art. 2 BayDSG
3.
Dritte Fallkonstellation: Keine unmittelbare Geltung der DSGVO im Bereich der sog. „Polizei- und Justiz-Datenschutz-Richtlinie“, aber Anwendbarkeit einzelner Vorschriften der DSGVO gemäß Art. 28 Abs. 2 BayDSG
4.
Detailabgrenzung in Bezug auf Straftaten und Ordnungswidrigkeiten
III.
Prüfungsschema: Zulässigkeit der Erhebung personenbezogener Daten durch öffentliche Stellen im unmittelbaren Anwendungsbereich der DSGVO
1.
Wird die Erhebung durch bereichsspezifische Rechtsvorschriften erlaubt?
2.
Wird die Erhebung durch das BayDSG erlaubt?
3.
Wird die Erhebung unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. b oder d DSGVO erlaubt?
4.
Wird die Erhebung unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung) erlaubt?
5.
Informationspflichten im Fall der Datenerhebung
IV.
Prüfungsschema: Zulässigkeit der internen Verarbeitung personenbezogener Daten innerhalb einer öffentlichen Stelle im unmittelbaren Anwendungsbereich der DSGVO
1.
Wird die interne Verarbeitung personenbezogener Daten innerhalb einer öffentlichen Stelle durch bereichsspezifische Rechtsvorschriften erlaubt?
2.
Wird die interne Verarbeitung personenbezogener Daten innerhalb einer öffentlichen Stelle durch das BayDSG erlaubt?
3.
Wird die interne Datenverarbeitung innerhalb der öffentlichen Stelle unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. b oder d DSGVO erlaubt?
4.
Ist die interne Datenverarbeitung innerhalb der öffentlichen Stelle unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung) erlaubt?
5.
Informationspflichten im Fall einer nachträglichen Zweckänderung
V.
Prüfungsschema: Zulässigkeit der Übermittlung personenbezogener Daten an andere öffentliche Stellen im unmittelbaren Anwendungsbereich der DSGVO
1.
Wird die Übermittlung an andere öffentliche Stellen durch bereichsspezifische Rechtsvorschriften erlaubt?
2.
Wird die Übermittlung an andere öffentliche Stellen durch das BayDSG erlaubt?
3.
Wird die Datenübermittlung an andere öffentliche Stellen unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. b oder d DSGVO erlaubt?
4.
Wird die Datenübermittlung an andere öffentliche Stellen unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung) erlaubt?
5.
Informationspflichten im Fall einer nachträglichen Zweckänderung
VI.
Prüfungsschema: Zulässigkeit der Übermittlung personenbezogener Daten an nicht öffentliche Stellen im unmittelbaren Anwendungsbereich der DSGVO
1.
Wird die Übermittlung an nicht öffentliche Stellen durch bereichsspezifische Rechtsvorschriften erlaubt?
2.
Wird die Übermittlung an nicht öffentliche Stellen durch das BayDSG erlaubt?
3.
Wird die Datenübermittlung an nicht öffentliche Stellen unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. b oder d DSGVO erlaubt?
4.
Wird die Datenübermittlung an nicht öffentliche Stellen unmittelbar durch Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO (Einwilligung) erlaubt?
5.
Informationspflichten im Fall einer nachträglichen Zweckänderung
VII.
Datenschutz und Amtshilfe
1.
Amtshilfe durch Informationshilfe
2.
Verhältnis des Amtshilferechts zum Datenschutzrecht
3.
Prüfungsschema für die Informationshilfe
4.
Keine Amtshilfe bei gesetzlicher Verpflichtung zur Datenübermittlung
5.
Keine Amtshilfe bei Übermittlung von Daten durch die Meldebehörden an andere Behörden
VIII.
Verantwortung und Kontrolle im Datenschutz
1.
Die zentrale Rolle des Verantwortlichen
2.
Sicherstellung des Datenschutzes
3.
Die Datenschutzaufsichtsbehörden
4.
Der behördliche Datenschutzbeauftragte
IX.
Behördlicher Datenschutzbeauftragter
1.
Allgemeines
a)
Wozu behördliche Datenschutzbeauftragte?
b)
Rechtsvorschriften
2.
Bestellung des behördlichen Datenschutzbeauftragten
a)
Verpflichtung zur Bestellung
b)
Bestellungsverfahren
c)
Gemeinsame Datenschutzbeauftragte
d)
Externe Datenschutzbeauftragte
e)
Qualifikation und Personalauswahl
f)
Bereitstellung der erforderlichen „Ressourcen“
g)
Veröffentlichung der Kontaktdaten und Meldepflicht
3.
Stellung des behördlichen Datenschutzbeauftragten
a)
Unabhängigkeit
b)
Frühzeitige Einbindung und Unterstützung durch den Verantwortlichen
c)
Verschwiegenheitspflicht
4.
Aufgaben des behördlichen Datenschutzbeauftragten
a)
Unterrichtung und Beratung
b)
Überwachung
c)
Beratung bei der Datenschutz-Folgenabschätzung
d)
Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für die Aufsichtsbehörde
e)
Unterstützung der betroffenen Person
f)
Stellungnahme vor dem Einsatz automatisierter Verfahren und zu geplanten Videoüberwachungen
g)
Der risikobasierte Ansatz
h)
Übertragung weiterer Aufgaben
5.
Behördliche Datenschutzbeauftragte bei bayerischen Sozialbehörden
a)
Besonderheiten für behördliche Datenschutzbeauftragte der Sozialversicherungsträger und ihrer Verbände bei der Kontrolle von Sozialdaten
b)
Rechtslage für behördliche Datenschutzbeauftragte bayerischer Sozialbehörden, die nicht Sozialversicherungsträger sind
X.
Das Verzeichnis von Verarbeitungstätigkeiten
1.
Die Verpflichtung zur Führung
2.
Das Verarbeitungsverzeichnis als Grundlage der Rechenschafts- und Nachweispflichten
3.
Erstellung und Führung
a)
Verpflichtung des Verantwortlichen
b)
Übertragung der Führung auf den behördlichen Datenschutzbeauftragten
c)
Laufende Aktualisierung
4.
Veröffentlichung, Einsichtnahme und Auskunft
a)
Veröffentlichung
b)
Einsichtnahme und Auskunft
5.
Aufzunehmende Verarbeitungstätigkeiten
a)
Automatisierte und nicht automatisierte Verarbeitungstätigkeiten
b)
Was ist eine Verarbeitungstätigkeit?
6.
Die Angaben im Verarbeitungsverzeichnis im Einzelnen
XI.
Datenschutzaufsicht durch den Bayer. Landesbeauftragten für den Datenschutz
1.
Datenschutzaufsichtsbehörden in Bayern
a)
Bayer. Landesbeauftragter für den Datenschutz
b)
Weitere Datenschutzaufsichtsbehörden in Bayern
c)
Unabhängigkeit
2.
Kontrollbereich
a)
Kontrollbereich des Bayer. Landesbeauftragten für den Datenschutz
b)
Zuständigkeit anderer Datenschutzaufsichtsbehörden
3.
Aufgaben des Landesbeauftragten für den Datenschutz
4.
Unterstützung des Landesbeauftragten für den Datenschutz durch die öffentlichen Stellen
5.
Abhilfebefugnisse des Landesbeauftragten für den Datenschutz
XII.
Koordinierung der Datenschutzaufsicht in der EU
XIII.
Informationspflichten der verantwortlichen Stelle gegenüber den Betroffenen nach Art. 13 und 14 DSGVO
1.
Erhobene Daten und erhaltene („aufgedrängte“) Daten
2.
Erhebungsadressat
3.
Informationspflichten bei der Erhebung
4.
Informationspflichten bei einer Zweckänderung
5.
Entfall der Informationspflichten
6.
Form der Informationsgewährung
XIV.
Datenschutz in der Gemeinde
1.
Anzuwendende Vorschriften, Zuständigkeiten und Begriffe
a)
Anwendbarkeit der DSGVO in der Gemeinde
b)
Verhältnis des Fachrechts und des Kommunalrechts zur DSGVO
c)
Vorgehen bei der rechtlichen Lösung datenschutzrechtlicher Fragen
d)
Wer ist in der Gemeinde für den Vollzug der DSGVO zuständig?
2.
Datenschutz und Gemeinderat
a)
Weitergabe personenbezogener Daten vom ersten Bürgermeister und der Gemeindeverwaltung an den Gemeinderat
b)
Das Informationsrecht des Gemeinderats
c)
Ladung zur Sitzung des Gemeinderats, Tagesordnung
d)
Akteneinsicht durch den Gemeinderat
e)
Behandlung von Angelegenheiten, die dem Steuergeheimnis oder dem Sozialgeheimnis unterliegen
f)
Ortsübliche Bekanntmachung der Tagesordnung, Weitergabe an die Presse
g)
Öffentlichkeit der Gemeinderatssitzung
h)
Ton- und Bildaufnahmen in der Gemeinderatssitzung
i)
Übertragung von Gemeinderatssitzungen im Internet
j)
Behandlung der Niederschrift von Gemeinderatssitzungen
k)
Verschwiegenheitspflicht der Mitglieder des Gemeinderats
3.
Der gemeindliche Datenschutzbeauftragte
a)
Verpflichtung zur Bestellung
b)
Qualifikation
c)
Veröffentlichung der Kontaktdaten und Meldung an die Aufsichtsbehörde
d)
Stellung des gemeindlichen Datenschutzbeauftragten
e)
Gesetzliche Aufgaben des gemeindlichen Datenschutzbeauftragten
f)
Übertragung weiterer Aufgaben
4.
Neue Pflichten der DSGVO und ihre Umsetzung in der Gemeinde
a)
Das Verzeichnis der Verarbeitungstätigkeiten
b)
Die Meldepflicht und die Benachrichtigungspflicht bei Verletzungen des Schutzes personenbezogener Daten
c)
Die Datenschutz-Folgenabschätzung
d)
Informationspflichten bei der Erhebung von Daten
5.
Datenschutzaufsichtsbehörden
a)
Bayer. Landesbeauftragter für den Datenschutz
b)
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
c)
Landesamt für Datenschutzaufsicht
d)
Befugnisse der Datenschutzaufsichtsbehörden
e)
Keine Geldbußen gegen Behörden
6.
Öffentlichkeitsarbeit der Gemeinde, Internetauftritt der Gemeinde
a)
Allgemeines, rechtliche Grundlagen
b)
Veröffentlichungen rund um den Gemeinderat
c)
Sonstige Veröffentlichungen auf der Internetseite der Gemeinde
d)
Veröffentlichungen durch Mitglieder des Gemeinderats
7.
Aktuelle Einzelfragen
a)
Videoüberwachung durch die Gemeinde
b)
Veröffentlichung von Fotos bei Veranstaltungen
c)
Verschlüsselung von E-Mails zwischen Bürger und Gemeinde
XV.
Datenschutz im Dienst- und Arbeitsverhältnis bei bayerischen öffentlichen Stellen
1.
Übersicht über die anwendbaren Rechtsvorschriften
2.
Arbeitnehmer bayerischer öffentlicher Stellen
a)
Anzuwendende Vorschriften für die Verarbeitung
b)
Anzuwendende Vorschriften bei Auskunftsansprüchen
c)
Besonderheiten bei Kindergelddaten
3.
Beamtenbewerber, Beamte und ehemalige Beamte bayer. öffentlicher Stellen
a)
Anzuwendende Vorschriften für die Verarbeitung
b)
Anzuwendende Vorschriften bei Auskunftsansprüchen
c)
Besonderheiten bei Kindergelddaten
d)
Abgrenzung zwischen Personalaktendaten und Sachaktendaten
e)
Verwendung von Personalaktendaten auch für die Personalwirtschaft
f)
Datenfluss zwischen Personalgrundakt, Personalnebenakten und Personalteilakten
g)
Schaubild zur Rechtslage
4.
Tabellarische Übersicht über die für den Datenschutz im Dienst- und Arbeitsverhältnis wesentlichen Vorschriften
5.
Personalfragebogen für Bewerber
a)
Rechtsgrundlagen für die Erhebung der personenbezogenen Daten
b)
Zulässigkeit einzelner Fragen im Personalfragebogen für Bewerber
c)
Mitbestimmung bei Personalfragebogen
d)
Abschaffung der Genehmigungspflicht für Personalfragebogen nach Beamtenrecht
6.
Personalfragebogen für Beamte
7.
Personalfragebogen für Arbeitnehmer/Arbeitnehmerinnen
8.
Personalbogen
9.
Beihilfedaten
a)
Beihilfeunterlagen als Teil der Personalakten (Art. 105 Sätze 1 und 2 BayBG)
b)
Abschottung (Art. 105 Satz 3 BayBG)
c)
Grundsätzlich Beihilfebearbeitung nur innerhalb der Verwaltung des Dienstherrn
d)
Möglichkeiten einer Übertragung der Beihilfebearbeitung auf Dritte außerhalb der Verwaltung des Dienstherrn
e)
Zweckbindung (Art. 105 Satz 4 BayBG)
10.
Kontrolle der Internetaktivitäten der Beschäftigten
a)
Internet am Arbeitsplatz
b)
Kontrolle der Internetnutzung
c)
Kontrolle des E-Mail-Verkehrs
d)
Mitbestimmung des Personalrats
e)
Datenverarbeitung an der Schnittstelle zwischen dem Behördennetz und anderen Netzen
11.
Veröffentlichung von Mitarbeiterfotos
12.
Datenübermittlungen beim (beabsichtigten) Wechsel des Dienstherrn bzw. Arbeitgebers
XVI.
Datenschutz und Mitbestimmung des Personalrats
1.
Datenschutzrelevante Mitbestimmungsfälle
a)
Mitbestimmung bei technischen Überwachungseinrichtungen (Art. 75a Abs. 1 Nr. 1 BayPVG)
b)
Mitbestimmung bei automatisierten Personalverwaltungsverfahren (Art. 75a Abs. 1 Nr. 2 BayPVG)
c)
Mitbestimmung bei Personalfragebogen (Art. 75 Abs. 4 Satz 1 Nr. 10 BayPVG)
d)
Mitbestimmung bei Beurteilungsrichtlinien (Art. 75 Abs. 4 Satz 1 Nr. 11 BayPVG)
e)
Mitbestimmung beim Erlass von Richtlinien über die personelle Auswahl (Art. 75 Abs. 4 Satz 1 Nr. 13 BayPVG)
f)
Keine Mitbestimmung bei der Benennung des Datenschutzbeauftragten
3.
Durchführung der Mitbestimmung, Informationsrechte des Personalrats
4.
Begrenzung des Mitbestimmungsrechts
a)
Gesetzliche oder tarifliche Regelungen
b)
Nur Abwehrfunktion
c)
Eingeschränkte Mitbestimmung
5.
Entscheidungsspielraum des Personalrats
6.
Auswirkung fehlender Zustimmung des Personalrats
a)
Löschungsverlangen bei Missachtung des Mitbestimmungsrechts
b)
Verwertungsverbot bei Missachtung des Mitbestimmungsrechts?
c)
Unterlassungsansprüche des Personalrats bei einer Verletzung seines Mitbestimmungsrechts?
7.
Verarbeitung von Beschäftigtendaten durch den Personalrat selbst
a)
Personalrat – datenschutzrechtlich Teil der Dienststelle
b)
Verhältnis von Personalrat und behördlichem Datenschutzbeauftragten
c)
Datenverarbeitung durch den Personalrat
d)
Vorgaben der DSGVO für den Personalrat
XVII.
Datenschutz an Schulen
1.
Welche Vorschriften gelten für welche Schulen?
a)
Ausgangspunkt
b)
Staatliche und kommunale Schulen (öffentliche Schulen im Sinn des Art. 3 Abs. 1 BayEUG)
c)
Staatlich anerkannte private Ersatzschulen im Sinne des Art. 100 BayEUG
d)
Staatlich anerkannte private Ersatzschulen mit dem Charakter einer öffentlichen Schule im Sinn des Art. 101 BayEUG
e)
Staatlich genehmigte private Ersatzschulen im Sinn des Art. 92 BayEUG
f)
Angezeigte private Ergänzungsschulen im Sinn von Art. 102 BayEUG