Aus dem 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz
Der Bayerische Landesbeauftragte für den Datenschutz hat am 28. Oktober 2025 seinen 34. Tätigkeitsbericht 2024 vorgestellt. Das Themenspektrum reicht von einem datenschutzpolitisch relevanten Beitrag über „Datenschutz und Entbürokratisierung“, der sich schwerpunktmäßig mit den Spielräumen der nationalen Gesetzgeber befasst (Beitrag Nr. 1.1), bis zum Alltagsphänomen des unverschlüsselten E-Mail-Versands an eine Vielzahl von Empfängern (Beitrag Nr. 8.9.2). Dieser Beitrag gibt einen Überblick, was die Leserin oder den Leser des Tätigkeitsberichts in den Bereichen „Rechtsetzung“ (unter 1.) und „Kommunales“ (unter 2.) sowie auf den übrigen Themenfeldern (unter 3.) erwartet.
Der Tätigkeitsbericht liegt im HTML-Format vor (https://www.datenschutz-bayern.de/tbs/tb34.html); dort ist er über ein seit dem 18. Tätigkeitsbericht 1998/1999 geführtes Gesamtinhaltsverzeichnis erschlossen. Wer eine PDF-Datei oder das klassische Printprodukt vorzieht, wird unter https://www.datenschutz-bayern.de/service/order.html fündig.
Datenschutz in Bayern online
Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche
1. Was gibt es aus dem Handlungsfeld „Rechtsetzung“ zu berichten?
Nach Art. 16 Abs. 3 Bayerisches Datenschutzgesetz unterrichten die Staatskanzlei und die Staatsministerien den Landesbeauftragten rechtzeitig über ihre Entwürfe von Rechts- und Verwaltungsvorschriften des Freistaates Bayern sowie über ihre Planungen bedeutender Verfahren zur Verarbeitung personenbezogener Daten. Hier ist zuvorderst die Begleitung eines Gesetzgebungsverfahren zu nennen, das die Voraussetzungen für den Einsatz einer verfahrensübergreifenden Recherche- und Analyseplattform für die Bayerische Polizei betraf. Die ausführliche, in Anbetracht des gesetzlichen Auftrags zum Grundrechtsschutz unvermeidlich kritische Stellungnahme des Landesbeauftragten fand im Ergebnis wenig Gehör (Beitrag Nr. 2.1).
Beste Antworten.
Newsletter Aktuelle Entwicklungen im Datenschutz
Seit 25. Mai 2018 gelten die Datenschutzgrundverordnung und das neue Bayerische Datenschutzgesetz. Wir versorgen Sie regelmäßig mit allen wichtigen Informationen, aktuellen Entwicklungen, Produkten und Dienstleistungen.
2. Was ist für Kommunen besonders lesenswert?
Wie in jedem Jahr enthält der Tätigkeitsbericht einen Abschnitt mit Beiträgen, die spezifisch kommunale Themen betreffen. So konnte der Landesbeauftragte die Implementierung der vom Gesetzgeber neu eröffneten Gestaltungsmöglichkeiten beim Streaming von kommunalen Gremiensitzungen sowie von Bürgerversammlungen in einem Papier mit konkreten Hinweisen unterstützen (Beitrag Nr. 3.1). Namen von Personen zu veröffentlichen, die Gemeinden Geld zukommen lassen, kann die Korruptionsprävention nahelegen; manchmal möchte eine Spenderin oder ein Spender aber auch einfach ein gutes Werk tun, ohne dass irgendwer davon erfährt. Wie weit einem solchen Vertraulichkeitsinteresse entsprochen werden kann, hat der Landesbeauftragte anlässlich einer kommunalen Beratungsanfrage untersucht (Beitrag Nr. 3.2). Ferner war er etwa mit der datenschutzkonformen Einrichtung eines digitalen „Mängelmelde-Tools“ befasst (Beitrag Nr. 3.3).
Auch in den übrigen Abschnitten des Tätigkeitsberichts finden sich einige für Kommunen gesteigert lesenswerte Beiträge. So hatte der Landesbeauftragte anlässlich einer Beschwerde zu einem sozialrechtlichen Sachverhalt Gelegenheit, die Wirkung datenschutzrechtlicher Vorgaben auf die behördliche Sachverhaltsermittlung näher zu analysieren. Insgesamt ist er zu der Einschätzung gelangt, dass diese Vorgaben zwar einer gelegentlich zu beobachtenden „Überaufklärung“ entgegenwirken, eine gründliche und kritische Sachverhaltsermittlung aber nicht hindern, wenn sie an den entscheidungserheblichen Normen orientiert bleibt (Beitrag Nr. 4.1). So heißt es im Fazit dieses Beitrags (unter Nr. 4.1.5):
„Bei Sachverhaltsermittlungen in Verwaltungsverfahren hat die Behörde im Rahmen des Amtsermittlungsgrundsatzes einen gewissen Spielraum beim Umfang der Datenerhebung.
Geht es um eine Leistungsgewährung, legen die fachgesetzlichen Voraussetzungen, unter denen die betreffende Leistung gewährt wird, auch fest, über welche Informationen sich die Behörde ‚Gedanken machen darf‘. Klärt die Behörde die tatsächlichen Umstände auf, mit denen die fachgesetzlichen Voraussetzungen belegt werden, steht dem das Datenschutzrecht grundsätzlich nicht entgegen. Es respektiert auch, dass die Behörde Unsicherheiten bei einzelnen Umständen durch Gewinnung einer breiteren Informationsbasis begegnet. Die Behörde muss sich beispielsweise nicht auf Unterlagen eines Antragstellers verlassen, die auf bestimmte Umstände hindeuten, wenn diese Unterlagen nicht die nötige Sicherheit vermitteln.
Grenzen zöge das Datenschutzrecht insbesondere dann, wenn eine Behörde anlässlich eines Verwaltungsverfahrens personenbezogene Daten erheben würde, die aus fachrechtlicher Sicht nicht relevant werden können, im Fall einer Leistungsgewährung also insbesondere bei Informationen, die für die Voraussetzungen der betreffenden Leistung keinen Aussagewert haben können.“
Das Kommunen regelmäßig beschäftigende Thema „Videoüberwachung“ ist im Tätigkeitsbericht ein weiteres Mal berücksichtigt. Diesmal geht es um Einrichtungen kritischer Infrastruktur, die mitunter darauf angewiesen sind, sicherheitssensible Bereiche mit Videotechnik zu überwachen. Die einschlägige gesetzliche Regelung in Art. 24 Abs. 1 Bayerisches Datenschutzgesetz lässt dies bekanntlich nur bei Nachweis einer Gefahrsituation zu. Dieser Nachweis wird meist – das ist oft auch am einfachsten – in einer Vorfallsdokumentation geführt. Gleichwohl konnte der Landesbeauftragte einer bei ihm anfragenden öffentlichen Stelle einen anderen Weg aufzeigen, auf welchem die Gefahrsituation in einem Vergleich mit Erfahrungen aus Einrichtungen ähnlicher Art belegt wird.
Ein „Wiedergänger“ aus dem Personaldatenschutzrecht ist die Frage, was bei einer Veröffentlichung von Beschäftigtendaten im Internet zu beachten ist. Die gesetzlichen Regelungen bieten hier eine Balance von Transparenz- und Vertraulichkeitsinteresse und sind gar nicht schwer anzuwenden (Beitrag Nr. 5.4). Das sollten auch am Datenschutz weniger interessierte Kommunen endlich einmal beherzigen.
Soweit der Landesbeauftragte die Anwendung des informationsfreiheitsrechtlichen Zugangsrechts aus Art. 39 BayDSG kontrolliert, konnte er einen größeren Fall abschließen, der bereits im vorigen Tätigkeitsbericht geschildert war. Ein Verein, der bei einer Vielzahl von Kommunen bestimmte Informationen angefragt hatte, gelangte schließlich doch in der ganz überwiegenden Zahl der Fälle zum Ziel. In nicht wenigen Rathäusern wurde viel zu viel Zeit darin investiert, einen Anspruch nicht zu erfüllen, dessen Voraussetzungen recht offensichtlich gegeben waren (Beitrag Nr. 7.1). Einem Bürger, der Zugang zu einem „Abschleppkatalog“ begehrte, konnte der Landesbeauftragte dagegen nicht weiterhelfen (Beitrag Nr. 7.3).
Was den technisch-organisatorischen Datenschutz betrifft, sollten Kommunen insbesondere dem ausführlichen Beitrag zu Hackerangriffen auf bayerische öffentliche Stellen Beachtung schenken. Wie der Landesbeauftragte feststellen musste, haben es IT-Verantwortliche Hackern mitunter zu leicht gemacht, weil sie etwa ein wirksames Patch-Management versäumten. In diesem Kontext waren einige förmliche Beanstandungen auszusprechen (Beitrag Nr. 8.6) – wer möchte schon der nächste Verantwortliche sein, dem dies widerfährt?
3. Welche Themen behandelt der aktuelle Tätigkeitsbericht sonst noch?
Auch außerhalb des kommunalen Bereichs bleibt der Strauß an Datenschutzproblemen durchaus bunt. Aus dem Polizeialltag etwa beschäftigten den Landesbeauftragten Speicherungen für Bürgerinnen und Bürger ungünstiger Informationen in den zahlreichen Dateien (Beiträge Nr. 2.3 bis 2.5). Außerdem hat der Landesbeauftragte beispielsweise die Transparenz beim Einsatz von Polizeidrohnen sowie die Einhaltung datenschutzrechtlicher Vorgaben bei Observationen kontrolliert (Beiträge Nr. 2.2 und 2.8). Was die Justiz betrifft, ist eine Beanstandung hervorzuheben, die der Landesbeauftragte gegenüber einer Staatsanwaltschaft ausgesprochen hat. Dabei ging es um eine ungesetzliche, für die betroffene Person zumindest potenziell folgenschwere Mitteilung aus einem dort geführten Verfahren (Beitrag Nr. 2.10).
Behörden haben im Zusammenhang mit finanziellen Leistungen auch die Mitteilungsverordnung zu beachten, in der es um Datentransfers von öffentlichen Stellen zu den Finanzämtern geht. Der Landesbeauftragte hat einige Erfahrungen aus der Beschäftigung mit dieser recht spröden Materie anlässlich der Beratung von Behörden im Sozialbereich in einem mehrteiligen Beitrag zusammengestellt (Beitrag Nr. 4.3). Ein noch unscheinbareres, jedoch nicht ganz triviales Problem war die datenschutzrechtliche Verantwortlichkeit beim Wirken der ehrenamtlichen Pharmazieräte (Beitrag Nr. 4.7).
Der Beschäftigtendatenschutz ist sehr detailliert und weithin landesrechtlich geregelt. Hier war der Landesbeauftragte in gleich zwei Fällen mit Datenerhebungen bei der Berufung von Professoren an bayerischen öffentlichen Hochschulen befasst. Einwände hatte der Landesbeauftragte gegen die Beschaffung von Informationen über eingestellte Straf- oder Disziplinarverfahren (Beitrag Nr. 5.1), während er dem Verlangen einer Hochschule nach der frühzeitigen Vorlage einstellungsrelevanter Urkunden – auch auf Grund von Besonderheiten des Berufungsverfahrens – nicht entgegengetreten ist (Beitrag Nr. 5.2).
Die Datenschutzarbeit bei den bayerischen öffentlichen Schulen profitiert von einer Wissensbasis, die der Landesbeauftragte in den Tätigkeitsberichten sowie ergänzenden Papieren über zwei Jahrzehnte aufgebaut hat, und die den Beteiligten ein hohes Maß an Handlungssicherheit vermittelt. Häufig sind daher Detailfragen zu klären, wie auch die aktuellen Beiträge in diesem Themenfeld zeigen. Hervorzuheben ist eine Beschwerde, die den Umgang einer Schulleitung mit einem Auskunftsantrag betraf. Der Fall macht auf exemplarische Weise deutlich, wie einfallsreich öffentliche Stellen Auskunftsansprüche mitunter zu blockieren suchen und wie wenig tragfähig viele der vorgebrachten Hinderungsgründe bei näherer Betrachtung sind (Beitrag Nr. 6.2).
Im Bereich des technisch-organisatorischen Datenschutzes erläutert der Landesbeauftragte – auch für Bürgerinnen und Bürger – Maßnahmen gegen Phishing-Angriffe sowie gegen eine unerwünschte Nutzung internetverfügbarer Fotos für das Training Künstlicher Intelligenz (Beiträge Nr. 8.3 und 8.1). In der analogen Welt waren etwa der Postversand von Datenträgern oder – wieder einmal – der Fehlversand von behördlichen Schreiben Gegenstände seiner Tätigkeit (Beiträge Nr. 8.5 und 8.2).
4. Fazit
Im aktuellen Tätigkeitsbericht steht weniger das „Drehen am großen Rad“ als die Arbeit mit kleineren Rädern und ganz kleinen Rädchen im Vordergrund. Das liegt nicht daran, dass den Landesbeauftragten die großen Räder nicht interessieren, sondern maßgeblich am Themenfundus, den Beschwerden und Beratungsanfragen Tag für Tag befüllen. Und da reihen sich eben oft die Alltagsprobleme aus vielen tausend bayerischen öffentlichen Stellen aneinander. Gelegenheit, das Datenschutzrecht zu schärfen und die Datenschutzpraxis zu optimieren, bietet sich auch so. Der Landesbeauftragte nutzt diese Gelegenheit im Tätigkeitsbericht wie in seinen weiteren Veröffentlichungen, über deren Erscheinen sein Mastodon-Kanal https://social.bund.de/@BayLfD tagesaktuell unterrichtet.
Dr. Kai Engelbrecht
Mitautor Datenschutz in Bayern