rehm-verlag
  Online-Produkte öffnen

Datenschutz bei den bayerischen öffentlichen Stellen im Jahr 2022

Keine Kommentare
4 Bewertungen

Aus dem 32. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz

Ausgabe 2/2023 (Juli 2023)

Das Aufgabenspektrum einer Datenschutz-Aufsichtsbehörde ist weit – es reicht von „großer“ (Datenschutz-)Politik bis zu Detailfragen aus dem Alltag von Verantwortlichen und Beschäftigten, Auftragsverarbeitern und betroffenen Personen. Das wird auch im 32. Tätigkeitsbericht 2022 des Bayerischen Landesbeauftragten für den Datenschutz deutlich, wenn sich der Bogen von der europäischen Datenstrategie mit zahlreichen aktuellen Rechtsetzungsvorhaben sowie der Diskussion um den europäischen Gesundheitsdatenraum (Beitrag Nr. 1.1) bis zur Auswahl Auskunftspflichtiger beim Mikrozensus spannt (Beitrag Nr. 11.2).

Der Tätigkeitsbericht zeigt, welche Früchte die aufsichtsbehördliche Praxis zu Beratungsanfragen und in Beschwerdeverfahren getragen hat – ebenso aber, in welchen Kontexten der Landesbeauftragte von sich aus aktiv geworden ist, um in Gesetzgebungsverfahren oder durch präventiv wirkende Maßnahmen, insbesondere Veröffentlichungen, auf eine weitere Verbesserung des Datenschutzniveaus in Bayern hinzuwirken. Der vorliegende Newsletter gibt einen Überblick zu den Beiträgen des Tätigkeitsberichts im Handlungsfeld „Rechtsetzung“ (1.), im kommunalen Bereich (2.) sowie über dessen Grenzen hinaus (3.).

Wer dann neugierig geworden ist, kann den Tätigkeitsbericht auf der Homepage des Landesbeauftragten als Printprodukt bestellen oder als PDF-Datei herunterladen (beides unter https://www.datenschutz-bayern.de/service/order.html). Außerdem steht der Tätigkeitsbericht im HTML-Format zur Verfügung (https://www.datenschutz-bayern.de/tbs/tb32.html).

Inhalt 

  1. Was gibt es aus dem Handlungsfeld „Rechtsetzung“ zu berichten?
  2. Was ist für Kommunen besonders lesenswert?
  3. Welche Themen behandelt der aktuelle Tätigkeitsbericht sonst noch?
  4. Fazit

1. Was gibt es aus dem Handlungsfeld „Rechtsetzung“ zu berichten?

Nicht nur auf der Ebene der Union, auch im Freistaat entwickelt sich das Datenschutzrecht kontinuierlich weiter. In vielen fachlichen Zusammenhängen stellen sich einschlägige Fragen: Bei der Bayerischen Polizei hat der Landesbeauftragte die Bemühungen zur Einführung einer Verfahrensübergreifenden Recherche- und Analyseplattform (VeRA) weiter begleitet (Beitrag Nr. 3.1). Die in den Berichtszeitraum fallende grundlegende Überarbeitung des Schuldatenschutzrechts im Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen, in der Bayerischen Schulordnung sowie in den zugehörigen Verwaltungsvorschriften hat der Landesbeauftragte beratend unterstützt (Beitrag Nr. 10.1). Zudem hat er seine Beratungstätigkeit bei der Schaffung einheitlicher Regelungen für die Inanspruchnahme staatlicher Rechenzentren als Auftragsverarbeiter fortgeführt (Beitrag Nr. 6.1).

Durchaus kritische Bemerkungen finden sich im Zusammenhang mit der Novelle des Bayerischen Universitätsklinikagesetzes. Hier habe sich „das zuständige Staatsministerium [den] eingehend begründeten datenschutzrechtlichen Monita gegenüber weitgehend verschlossen und Verarbeitungsvorschriften eingebracht, die Patientenrechte einseitig zugunsten von Forschungsinteressen verkürzen.“ Der Landesbeauftragte hält das Vorgehen zudem für übereilt (Beitrag Nr. 7.1).

2. Was ist für Kommunen besonders lesenswert?

Auch der aktuelle Tätigkeitsbericht enthält wieder zahlreiche Beiträge, die rechtliche Datenschutzfragen aus dem kommunalen Bereich betreffen.

In einem grundsätzlichen Beitrag geht es um die Regelungsmöglichkeiten, die Gemeinden im Rahmen von Datennutzungssatzungen zukommen (Beitrag Nr. 5.1). Durch Ortsrecht kann zwar kein eigenes Datenschutzrecht geschaffen werden, das als einengend empfundene Vorgaben einfach beiseiteschiebt. Gemeinden sollten gleichwohl einige Spielräume kennen, die durch eigene Normen ausgefüllt werden dürfen.

Einer eingehenden Prüfung unterzog der Landesbeauftragte das E-Ticket-System eines kommunalen Verkehrsunternehmens. Er konnte in einigen Details Optimierungsbedarfe aufzeigen, die auch andernorts von Interesse sein dürften (Beitrag Nr. 5.2). Für den Online-Ticketverkauf von Theatern und Museen weist der Tätigkeitsbericht nachdrücklich auf die Notwendigkeit eines Gastzugangs hin – nur so ist gewährleistet, dass Einwilligungen in Verarbeitungen im Zusammenhang mit einem Kundenkonto auch freiwillig erteilt werden können (Beitrag Nr. 10.3).

In ihrer Zuständigkeit als Meldebehörden müssen Gemeinden vielfältige datenschutzrechtliche Vorgaben beachten. Der Tätigkeitsbericht erläutert, warum Melderegisterauskünfte nur aus dem örtlichen Meldedatenbestand erteilt werden dürfen (Beitrag Nr. 6.2), und aus welchen Gründen ein automatisierter Abruf aus dem Ausländerzentralregister auch zum Zweck der Verwaltungsvereinfachung nicht eingerichtet werden darf (Beitrag Nr. 6.3).

An einer weiteren Verwaltungsvereinfachung versuchte sich eine Stadt, die im Rahmen der kommunalen Sportförderung Vereine beim Thema „erweiterte Führungszeugnisse für die Jugendarbeit“ unterstützen wollte – der Landesbeauftragten legt in recht aufwändigen Überlegungen dar, dass dabei eine datenschutzrechtlich unzulässige „Abkürzung“ gewählt worden sei (Beitrag Nr. 5.3).

Im Bereich des Personaldatenschutzes sind zwei Einzelfälle hervorzuheben, in denen es zu förmlichen Beanstandungen allzu dokumentationsfreudiger öffentlicher Arbeitgeber kam. In einem Fall waren Äußerungen einer Beschäftigten während einer Videokonferenz verdeckt aufgezeichnet (Beitrag Nr. 9.3), im anderen – wieder einmal – Ortungssysteme in Dienstkraftfahrzeugen illegal eingesetzt worden (Beitrag Nr. 9.4). Noch im Kontext der COVID-19-Pandemie stehen Ausführungen zur Verarbeitung von Immunitätsnachweisen bei der einrichtungsbezogenen Impfpflicht (Beitrag Nr. 9.1).

Kommunen sollten stets auch einen Blick auf die Beiträge des Tätigkeitsberichts werfen, welche technisch-organisatorische Fragen betreffen: Darin erfahren sie etwa, was beim Versand von Hybridbriefen (Beitrag Nr. 2.2) und beim Einsatz externer Schriftarten auf Webseiten (Beitrag Nr. 2.3) zu beachten ist. Auch die unbeabsichtigte Veröffentlichung personenbezogener Daten im Internet ist ein für Kommunen relevantes Thema; zu einigen in der aufsichtsbehördlichen Praxis wiederkehrenden Fallgruppen erläutert der Landesbeauftragte Maßnahmen der Fehlervermeidung (Beitrag Nr. 12.4).

Insbesondere größere Kommunen mögen zudem die datenschutzrechtlichen Anforderungen an sog. Penetrationstests (Beitrag Nr. 12.1) sowie den weiteren Ausbau des Angebots an Materialien zur Datenschutz-Folgenabschätzung (Beitrag Nr. 12.2) mit Interesse zur Kenntnis nehmen.

3. Welche Themen behandelt der aktuelle Tätigkeitsbericht sonst noch?

Im Bereich der Polizei berichtet der Landesbeauftragte über Erfolge bei der Beschleunigung von Auskunftsverfahren (Beitrag Nr. 3.2) sowie bei der Nutzung privater Smartphones durch Polizeibeamte (Beitrag Nr. 3.4). Den Verfassungsschutz betreffend hat er gegenüber dem Bayerischen Landtag zu Löschmoratorien Stellung genommen, welche die Arbeit des NSU-Untersuchungsausschusses erleichtern sollen, jedoch datenschutzrechtliche Probleme aufwerfen (Beitrag Nr. 3.5).

Bei der Justiz hatte der Landesbeauftragte im Rahmen seiner auf den Verwaltungsbereich begrenzten Aufsichtszuständigkeit etwa Datenübermittlungen von Staatsanwaltschaften an Jugendämter und Ausländerbehörden (Beiträge Nr. 4.2 und 4.3) zu überprüfen. Gegenüber einem Notar hat er wegen unzulässiger Einsichtnahme in ein Grundbuch eine förmliche Beanstandung ausgesprochen (Beitrag Nr. 4.5).

In der Sozial- und Gesundheitsverwaltung traten neben COVID-19-bezogenen Themen wie der Symptomabfrage durch Gesundheitsämter (Beitrag Nr. 7.2) oder der Impfstatusabfrage bei Besucherinnen und Besuchern in öffentlichen Krankenhäusern (Beitrag Nr. 7.4) wieder „coronafreie“ Datenschutzfragen in den Vordergrund, so unter anderem bei der Evaluierung des Bayerischen Krebsregistergesetzes (Beitrag Nr. 7.3) und der Verantwortlichkeit in Bereitschaftspraxen der Kassenärztlichen Vereinigung Bayerns (Beitrag Nr. 7.5).

Im Bereich der Steuer- und Finanzverwaltung – hier ist die Funktion der Datenschutz-Aufsichtsbehörde weithin dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zugewiesen – stellten sich durch die Einführung der bayerischen Grundsteuer neue Zuständigkeitsfragen. Der Landesbeauftragte sieht sich in Bezug auf die Verwaltung dieser Landessteuer derzeit als zuständige Datenschutz-Aufsichtsbehörde an (Beitrag Nr. 8.1). Folgerichtig hat er für einige Fallgruppen seine ersten Erfahrungen mit der Wahrnehmung dieser Zuständigkeit dargestellt (Beitrag Nr. 8.2).

Hochschulspezifische Fragen des Datenschutzes waren im Zusammenhang mit der Videoaufsicht bei Fernprüfungen an bayerischen Hochschulen zu beurteilen (Beitrag Nr. 10.2). Ein ausführlicher Beitrag an der Grenze zwischen Hochschul- und Personaldatenschutzrecht widmet sich dem Schicksal des dienstlichen E-Mail-Accounts eines verstorbenen Professors, der im Ruhestand noch an seiner Hochschule tätig war (Beitrag Nr. 9.5).

Auch der Zensus sorgte im Jahr 2022 wieder einmal für zahlreiche Eingaben beim Landesbeauftragten; ein Beitrag im Tätigkeitsbericht fasst die wichtigsten Fragen zusammen (Nr. 11.1).

4. Fazit

Der Tätigkeitsbericht hat Tradition. Er gewährt seit dem zweiten Halbjahr 1978 (Landtags-Drucksache 9/1884) grundsätzlich im Zweijahresrhythmus, ab dem Geltungsbeginn der Datenschutz-Grundverordnung dann jährlich Einblicke in die Prüfungs- und Beratungspraxis des Landesbeauftragten. Die Schwerpunkte folgen nicht immer systematischen Überlegungen. Thema im Tätigkeitsbericht wird insbesondere, was Verantwortliche oder betroffene Personen zu Beratungsanfrage oder Beschwerde veranlasst. Insofern ist der Tätigkeitsbericht notwendig ein inhaltlich eher buntes Medium. Wer die im Lauf der Zeit aufgebaute Wissensressource effektiv nutzen möchte, dem sei das seit über 20 Jahren konsequent gepflegte Gesamtstichwortverzeichnis unter https://www.datenschutz-bayern.de/inhalte/taetig_t.htm empfohlen. Ergänzt wird der Tätigkeitsbericht durch andere Publikationsformen – über neue Angebote bei Orientierungshilfen, Arbeitspapieren oder Aktuellen Kurz-Informationen informiert nach den Sommerferien ein gesonderter Newsletter.

Dr. Kai Engelbrecht
Mitautor Datenschutz in Bayern

Weitere Artikel zu folgenden Schlagworten:
Datenschutz in Bayern 
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
0 Kommentare zu diesem Beitrag
Wilde / Ehmann / Niese / Knoblauch / Will / Schwabenbauer / Engelbrecht
Datenschutz in Bayern

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Fortsetzungspreis‎ 242,00 €
Loseblattwerk zzgl. Aktualisierungslieferungen
Info & Bestellung
Wilde / Ehmann / Niese / Knoblauch
Datenschutz in Bayern online

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Vierteljahrespreis‎ 69,00 €
Online-Produkt
Info & Bestellung
banner-datenschutz.png
rehm_e-line_banner_355x355_L1_Var1.jpg

Wählen Sie unter 14 kostenlosen Newslettern!

Mit den rehm Newslettern zu vielen Fachbereichen sind Sie immer auf dem Laufenden.

SX_LOGIN_LAYER

SX_CONTINUE_ORDER_AS_GUEST

Passwort vergessen?

SX_OPENACCOUNT