Aus dem 33. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz
Am 17. September hat der Landesbeauftragte seinen 33. Tätigkeitsbericht 2023 vorgestellt. Der Themenfächer öffnet diesmal mit einigen datenschutzpolitischen Grundsatzfragen der Digitalisierung (Beitrag Nr. 1.1) sowie Erläuterungen zum Stand der KI-Regulierung (Beitrag Nr. 1.2) und schließt mit dem eher unscheinbaren, für betroffene Personen gleichwohl potenziell nervigen „Kleinproblem“ widersprüchlicher Kontaktinformationen zum behördlichen Datenschutzbeauftragten (Beitrag Nr. 11.13). Der vorliegende Newsletter gibt im Anschluss an die Ausgabe 2/2023 einen Überblick, was die Leserin oder den Leser zwischen den Beiträgen Nr. 1.1 und 11.13 so alles erwartet; die Bereiche „Rechtsetzung“ (unter 1.) und „Kommunales“ (unter 2.) sind der Zusammenfassung zu den übrigen Themenfeldern (unter 3.) vorangestellt.
Auch in diesem Jahr ist der Tätigkeitsbericht in mehreren Darreichungsformen verfügbar. Das Online-Bestellformular auf der Homepage macht das traditionelle Printprodukt sowie eine entsprechende PDF-Datei zugänglich (https://www.datenschutz-bayern.de/service/order.html). Nur im HTML-Format (https://www.datenschutz-bayern.de/tbs/tb33.html) ist der Tätigkeitsbericht über ein Gesamtinhaltsverzeichnis erschlossen, das alle Beiträge zurück bis zum 18. Tätigkeitsbericht 1998/1999 erfasst. Wer zwischen den Tätigkeitsberichten informiert bleiben möchte, sei an den Mastodon-Kanal des Landesbeauftragten erinnert (Einzelheiten unter https://www.datenschutz-bayern.de/mastodon).
- Was gibt es aus dem Handlungsfeld „Rechtsetzung“ zu berichten?
- Was ist für Kommunen besonders lesenswert?
- Welche Themen behandelt der aktuelle Tätigkeitsbericht sonst noch?
- Fazit
Datenschutz in Bayern online
Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche
1. Was gibt es aus dem Handlungsfeld „Rechtsetzung“ zu berichten?
Nach Art. 16 Abs. 3 Bayerisches Datenschutzgesetz unterrichten die Staatskanzlei und die Staatsministerien den Landesbeauftragten rechtzeitig über ihre Entwürfe von Rechts- und Verwaltungsvorschriften des Freistaates Bayern sowie über ihre Planungen bedeutender Verfahren zur Verarbeitung personenbezogener Daten.
In diesem Rahmen hat der Landesbeauftragte etwa die jüngste Kommunalrechtsnovelle kritisch begleitet. Bei den neuen Vorschriften für das Streaming von Bürgerversammlungen sowie von Gremiensitzungen konnte er klare datenschutzrechtliche Verbesserungen erreichen (Beiträge Nr. 4.4.1 und 4.4.2). Dagegen ist es ihm zu seinem Bedauern nicht gelungen, die Abschaffung der erst vor wenigen Jahren gefundenen, an sich deutschlandweit vorbildlichen bayerischen Regelung zum Einsatz elektronischer Wasserzähler zu verhindern (Beitrag Nr. 4.4.4).
Im Sozial- und Gesundheitsbereich hatten die langjährigen Bemühungen des Landesbeauftragten Erfolg, ein uneingeschränktes Widerspruchsrecht von Patientinnen und Patienten gegen dauerhafte Speicherungen im Bayerischen Krebsregister zu etablieren (Beitrag Nr. 6.1).
Zudem konnten in dienstrechtlichen Gesetzgebungsverfahren ein Mitbestimmungsrecht des Personalrats bei der Benennung und Abberufung des behördlichen Datenschutzbeauftragten (Beitrag Nr. 7.9.1) sowie datenschutzgerechte Vorgaben für die Übermittlung von Untersuchungs- oder Beobachtungsbefunden im Rahmen der Unfallfürsorge (Beitrag Nr. 7.2.1) erreicht werden. Zu „einer Art datenschutzrechtlichem Vexierspiel“ – so der Tätigkeitsbericht – habe sich das Störfallmanagement des 2023 eingeführten Dienstradprogramms „JobBike Bayern“ entwickelt; im Ergebnis konnten aber auch hier praktikable, gleichwohl datenschutzkonforme Lösungen gefunden werden (Beitrag Nr. 7.8).
Schließlich habe im Schuldatenschutzrecht ein voraussetzungsloses Widerspruchsrecht in Bezug auf Datenübermittlungen von Schulen an die Agenturen für Arbeit (Beitrag Nr. 8.1.1) sowie eine stärkere Zweckbindung von Schülerdaten bei der Abrechnung von Gastschulbeiträgen (Beitrag Nr. 8.1.2) erwirkt werden können.
Beste Antworten.
Newsletter Aktuelle Entwicklungen im Datenschutz
Seit 25. Mai 2018 gelten die Datenschutzgrundverordnung und das neue Bayerische Datenschutzgesetz. Wir versorgen Sie regelmäßig mit allen wichtigen Informationen, aktuellen Entwicklungen, Produkten und Dienstleistungen.
2. Was ist für Kommunen besonders lesenswert?
Leserinnen und Lesern aus dem kommunalen Bereich seien zunächst die Beiträge zu datenschutzrechtlichen Aspekten der Kommunalrechtsnovelle (Beitrag Nr. 4.4, siehe oben unter 1.) sowie zum Verhältnis von Datenschutzaufsicht und Kommunalaufsicht (Beitrag Nr. 2.8) empfohlen. Lesenswert dürften zudem die Beiträge in Abschnitt 3 sein, insbesondere über die automatisierten Kennzeichenerfassung beim Kameraparken (Beitrag Nr. 4.7) sowie einen Fall öffentlichen „Hinhängens“ einer kritischen Bürgerin in einer Gemeinderatssitzung (Beitrag Nr. 4.3). Zwei Beiträge zu registerrechtlichen Fragen betreffen ebenfalls die kommunale Praxis: Hier ging es um die (unzulässige) Nutzung des Melderegisters für die Einladung zum Kinderfest einer politischen Partei (Beitrag Nr. 5.1) sowie um den Einsatz eines (großstädtischen) Fahrzeugregisters als „Adressquelle“, um Halter von Kraftfahrzeugen mit Dieselmotor über mögliche Fahrverbote zu informieren (Beitrag Nr. 5.2). Aus dem technisch-organisatorischen Datenschutz sind die Beiträge zur Reaktion auf unerbetene Pentests (Beitrag Nr. 11.3, dazu noch unter 3. am Ende) sowie zur datenschutzgerechten Gestaltung von Bürgerbüros (Beitrag Nr. 11.7) hervorzuheben.
3. Welche Themen behandelt der aktuelle Tätigkeitsbericht sonst noch?
Im allgemeinen Datenschutzrecht hat sich der Landesbeauftragte etwa mit der grundsätzlichen Frage des Personenbezugs (Beitrag Nr. 2.2) befasst, ferner mit den Folgen des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework für Verantwortliche des bayerischen öffentlichen Sektors (Beitrag Nr. 2.7). Mit Hinweisen zu Datenpannen bei der Excel-Nutzung (Beitrag Nr. 2.4) sowie zum Umgang mit der Windows-Telemetriekomponente (Beitrag Nr. 2.5) und der automatischen Rechtschreibkorrektur bei Webbrowsern (Beitrag Nr. 2.6) möchte der Landesbeauftragte dazu beitragen, den Büroalltag in bayerischen Verwaltungen (noch) datenschutzkonformer zu gestalten.
Im Bereich der Polizei hat sich der Landesbeauftragte intensiv mit Fragen der Löschung in der Vorgangsverwaltung IGVP sowie im Fallbearbeitungssystem EASy auseinandergesetzt, dies im Rahmen einer Stellungnahme gegenüber dem Untersuchungsausschuss „NSU II“ des Bayerischen Landtags (Beiträge Nr. 3.1 und 3.2). Er habe mehrere polizeiliche Videoüberwachungen überprüft (Beitrag Nr. 3.4) und feststellen können, dass die Postsicherstellung nach Art. 35 Polizeiaufgabengesetz in der Praxis nur selten angeordnet werde (Beitrag Nr. 3.6). Bei der Anwendung der noch neuen Regelungen zu polizeilichen Zuverlässigkeitsüberprüfungen aus Anlass von Großveranstaltungen sowie der Bestimmungen zur Lichtbildanforderung nach Verkehrsordnungswidrigkeiten konnte der Landesbeauftragte auf eine grundrechtsschonende Handhabung hinwirken (Beiträge Nr. 3.7 und 3.8).
Im Bereich des Sozial- und Gesundheitswesens zählten ein wohl systemischer Mangel bei Krankenhaus-Einwilligungsformularen (Beitrag Nr. 6.2) und die Anforderung von Wundverlaufsprotokollen durch Krankenkassen (Beitrag Nr. 6.3) zu den Themen, die den Landesbeauftragten beschäftigten. Hinzu kamen nochmals datenschutzrechtliche Fragen bei Kontraindikationsattesten (Beitrag Nr. 6.5) sowie Beschwerden, die Weitergaben ärztlicher Atteste von Schulen an Gesundheitsämter betrafen (Beitrag Nr. 8.2). Bei der Datenschutzaufsicht gegenüber den Hochschulen stand das Recht auf Kopie im Prüfungskontext im Fokus (Beitrag Nr. 8.4).
Die Prüfungs- und Beratungstätigkeit im Bereich des Personaldatenschutzes veranlasste den Landesbeauftragten, die Empfehlungen für den Umgang mit den Kontaktdaten von Beschäftigten fortzuentwickeln (Beitrag Nr. 7.5). Bei der „Stufenvorweggewährung“, einem tarifrechtlichen Instrument zur Bindung qualifizierter Fachkräfte, konnte die konsequente Anwendung von Datenschutzrecht sogar zu einer Verwaltungsvereinfachung beitragen (Beitrag Nr. 7.7).
Da das allgemeine Informationszugangsrecht im Bayerischen Datenschutzgesetz geregelt ist, kann der Landesbeauftragte auch die Anwendung dieses Anspruchs überprüfen. In einem Überblicksbeitrag hat er einige Erkenntnisse aus Einzelfällen zusammengestellt, mit denen er im Lauf des Berichtsjahres zu tun hatte (Beitrag Nr. 10.3). Als recht arbeitsintensiv wertete er einen Fall, in welchem ein privater Verein mit Hilfe von Art. 39 BayDSG eine Erhebung bei bayerischen Kommunen durchzuführen suchte. Eine Vielzahl von Gemeinden war hier nämlich nicht umfassend kooperationsbereit (Beitrag Nr. 10.2).
Interessante Fragen des technisch-organisatorischen Datenschutzes stellten sich in der Folge eines ursprünglich zu Unterrichtszwecken durchgeführten Penetrationstests im pädagogischen Netzwerk einer bayerischen öffentlichen Schule. Hier hatte ein Schüler Sicherheitslücken entdeckt, war aber zunächst nur gemaßregelt worden. Im weiteren Verlauf nutzte er das erworbene Wissen ohne pädagogische Aufsicht zu einem größer angelegten Angriff. Der Landesbeauftragte hat den bayerischen öffentlichen Stellen nun einige Hinweise zum proaktiven Umgang mit den Ergebnissen unerbetener Pentests gegeben (Beitrag Nr. 11.3). Dieser Beitrag sollte für IT-Verantwortliche bayerischer öffentlicher Stellen „Pflichtlektüre“ sein.
Weiterhin hatte sich der Landesbeauftragte etwa mit der Nutzung nicht dienstlich administrierter E-Mail-Accounts im dienstlichen Kontext (Beitrag Nr. 11.1) oder mit dem Verlust einer Patientenakte (Beitrag Nr. 11.8) zu befassen. Er konnte zahlreiche Verantwortliche zu Datenschutz-Folgenabschätzungen beraten (Beitrag Nr. 11.4) und sich intensiv an der Gremienarbeit zur Anonymisierung und Pseudonymisierung sowie zum KI-Einsatz in der medizinischen Forschung beteiligen (Beitrag Nr. 11.12). Über den Berichtszeitraum gingen bei ihm wieder hunderte Meldungen von Datenpannen ein, denen nachzugehen war (Beitrag Nr. 11.9). Gegen ein bayerisches öffentliches Krankenhaus hat der Landesbeauftragte eine Anordnung nach Art. 58 Abs. 2 DSGVO mit dem Ziel erlassen, dort ein gesetzmäßiges Rollen- und Berechtigungskonzept zu implementieren (Beitrag Nr. 11.11).
Ein recht grundsätzlicher Fall betraf schließlich das Verhältnis von gesamtverantwortlichen Stellen und Datenschutz-Aufsichtsbehörde (Beitrag Nr. 4.2). Hier hatte ein Fachreferat eines Staatsministeriums in einem Förderbescheid versucht, die für ein IT-Projekt zu gewährenden Leistungen an eine Unbedenklichkeitsbescheinigung des Landesbeauftragten zu knüpfen. Eine solche Vorgehensweise ist mit der völligen Unabhängigkeit der Datenschutz-Aufsichtsbehörden nicht in Einklang zu bringen. Auf den Widerstand des Landesbeauftragten hin habe die Behördenleitung des Staatsministeriums den Versuch einer ungesetzlichen Arbeitserleichterung ohne weitere Diskussion unterbunden.
4. Fazit
Der Tätigkeitsbericht lässt bei allem Detailreichtum deutlich den Wert präventiver Datenschutzarbeit erkennen, wie sie durch die Begleitung von Gesetzgebungsvorhaben, durch Fachpublikationen oder Maßnahmen geleistet werden kann, bei denen gemeinsam mit den gesamtverantwortlichen Stellen landesweit Verbesserungen erreicht werden. Es ist zu hoffen, dass die Ressourcen der Datenschutz-Aufsichtsbehörden im Allgemeinen und des Landesbeauftragten im Besonderen auch bei steigenden Bürokratielasten im Zusammenhang mit der Bearbeitung von Datenschutzbeschwerden weiterhin ausreichen, um nicht nur in Einzelfällen, sondern auch in größeren Zusammenhängen wesentliche Beiträge zu einem guten Datenschutzniveau leisten zu können.
Dr. Kai Engelbrecht
Mitautor Datenschutz in Bayern