Kostenlose Hotline: 0049 0800-2183-333 Versandkostenfrei
Menü schließen
Der vorliegende Beitrag gibt einen Überblick zu den neuen Orientierungshilfen (1.) und Aktuellen Kurz-Informationen (2.), dem Paket Schuldatenschutz (3.) sowie dem Mastodon-Kanal (4.) mit dem Newsletter „Privacy in Bavaria“ (5.). Praktische Hinweise zum Informationsbezug schließen den Newsletter ab (6.).
Inhalt
Die Orientierungshilfe „Das Recht auf Löschung nach der Datenschutz-Grundverordnung“ befasst sich eingehend mit dem Betroffenenrecht aus Art. 17 DSGVO. Sie setzt die Rechtsposition der betroffenen Person zu den Pflichten des Verantwortlichen in Bezug und geht auch auf antragsunabhängige Löschpflichten ein. Ausführlich werden die einzelnen Löschungsgründe sowie Ausnahmen erläutert, die bestimmten „Behaltensinteressen“ rechtlichen Schutz vermitteln. Ergänzt wird die Orientierungshilfe durch ein Arbeitspapier „Löschung oder Archivierung? Archivrechtliche Aufbewahrungs- und datenschutzrechtliche Löschungsregelungen im bayerischen öffentlichen Sektor“, das der Landesbeauftragte gemeinsam mit der Generaldirektion der Staatlichen Archive Bayerns erstellt hat.
https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Loeschung.pdf
https://www.datenschutz-bayern.de/datenschutzreform2018/AP_Loeschung_Archivierung.pdf
Ein in der Judikatur der Gerichte und Vergabekammern noch recht neues Thema hat der Landesbeauftragte in der Orientierungshilfe „Datenschutz als Kriterium im Vergabeverfahren“ behandelt. In diesem Papier geht es um die Beschaffung datenschutzrelevanter Leistungen, insbesondere von IT-Produkten. Vergabeverfahren bieten von der Vorbereitung einer Ausschreibung bis zum Zuschlag zahlreiche „Stellschrauben“, die dazu genutzt werden können, Datenschutzbelange einzubringen. Vergabestellen und sie beratende behördliche Datenschutzbeauftragte sollten die einschlägigen Handlungsmöglichkeiten kennen. Die Orientierungshilfe versucht, Vergaberechtskundigen datenschutzrechtliche Implikationen nahezubringen, jedoch auch, Datenschützende im Vergaberecht nicht orientierungslos zurückzulassen.
https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Vergabe.pdf
Eine dritte Orientierungshilfe ist dem Thema „Internationale Datentransfers“ gewidmet. Das Anliegen dieses Papiers besteht darin, bayerische öffentliche Stellen durch das Dickicht der Art. 44 ff. DSGVO zu führen. Wer alles durchgearbeitet hat, sollte wissen, welche Übermittlungsinstrumente es gibt, in welchen Konstellationen diese benötigt werden, was es mit einem Angemessenheitsbeschluss, Standarddatenschutzklauseln oder supplementary measures auf sich hat. Auch die Prüfschemata des Europäischen Datenschutzausschusses sind dann transparenter. Das Papier ist durch die Implementierung des EU-U.S. Data Privacy Frameworks keineswegs obsolet geworden; nun wird es allerdings noch durch eine Aktuelle Kurz-Information „Erste Hilfe zum Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework“ ergänzt (dazu unter 2.).
https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Drittstaatentransfer.pdf
Fortgeführt hat der Landesbeauftragte die Reihe der Aktuellen Kurz-Informationen. Der Beitrag „Datenschutzaufsicht und Kommunalaufsicht“ (Aktuelle Kurz-Information 45) betrifft insbesondere die Frage, ob sich ein Landratsamt „entspannt zurücklehnen“ kann, wenn es eine kreisangehörige Gemeinde mit dem Datenschutzrecht nicht so ernst nimmt. Der Landesbeauftragte vertritt hier eine klare Position, die er so zusammengefasst hat: „Die Datenschutzaufsicht begrenzt nicht die Rechts- oder Fachaufsicht über bayerische Kommunen. Datenschutzaufsicht sowie Rechts- und Fachaufsicht stehen insofern in einem Verhältnis wechselseitiger Effektivierung.“ Ein Landratsamt, das Beschwerden über datenschutzrechtliche Missstände erhält, kann sich also nicht kurzerhand für unzuständig erklären. Die Unterstützung des Landesbeauftragten in Anspruch nehmen, darf es in Zweifelsfällen aber schon.
https://www.datenschutz-bayern.de/datenschutzreform2018/aki45.pdf
Ein Problem des Büroalltags, das nicht nur im öffentlichen Sektor auftritt, behandelt die Aktuelle Kurz-Information 46: „Datenpannen mit Microsoft Excel verursachen und vermeiden“. Im Fokus steht die unbeabsichtigte Offenlegung personenbezogener Daten gegenüber Dritten – in einem übersehenen oder verborgenen Arbeitsblatt, in ausgeblendeten Bereichen oder in den Metadaten. Der Beitrag zeigt anhand zahlreicher Screenshots anschaulich, mit welchen einfachen Mitteln manch ärgerliche – unter Umständen sogar meldepflichtige – Datenpanne vermieden werden kann.
https://www.datenschutz-bayern.de/datenschutzreform2018/aki46.pdf
Nachdem die Datenschutz-Grundverordnung nun schon über fünf Jahre alt ist und Gleiches bei vielen bayerischen öffentlichen Stellen auch für das Verzeichnis der Verarbeitungstätigkeiten gilt, leitet die Aktuelle Kurz-Information 47 zum „Frühjahrsputz im Verarbeitungsverzeichnis“ an. Nutzende erhalten zunächst einige Hinweise zu organisatorischen Vorkehrungen, die der „Fitness“ des Verarbeitungsverzeichnisses zugutekommen. Anschließend zeigt der Beitrag für die einzelnen Verzeichnisrubriken typische Ursachen von Aktualitätsdefiziten auf und gibt Handlungsempfehlungen.
https://www.datenschutz-bayern.de/datenschutzreform2018/aki47.pdf
Auch der „Datenschutz bei Rechtschreibkorrektur im Webbrowser“ (Aktuelle Kurz-Information 48) kann zum Problem werden. Nutzen bayerische öffentliche Stellen Webbrowser mit ungünstigen Voreinstellungen, können über eine KI-gestützte Rechtschreibkorrektur auch personenbezogene Daten abfließen – selbst dann, wenn eine vermeintlich harmlose, nur eben webbasierte Fachanwendung genutzt wird. Der Beitrag schärft die Aufmerksamkeit und beschreibt anhand verbreiteter Produkte, welche Einstellungen gewählt werden sollten.
https://www.datenschutz-bayern.de/datenschutzreform2018/aki48.pdf
Ein neues Urteil des Europäischen Gerichtshof war Anlass für die Aktuelle Kurz-Information 49 „Bayerisches Personalaktenrecht und unionales Datenschutzrecht“. Die Entscheidung betraf die Vereinbarkeit einer Verarbeitungsbefugnis des hessischen Personaldatenschutzrechts mit Vorgaben der Datenschutz-Grundverordnung. Die Bewertung des Landesbeauftragten fällt differenziert aus: Zwar seien für die Inanspruchnahme von Öffnungsklauseln durch nationale Gesetzgeber Konsequenzen zu ziehen; Auswirkungen für das bayerische Personalaktenrecht ergäben sich aber zunächst nicht.
https://www.datenschutz-bayern.de/datenschutzreform2018/aki49.pdf
Hält ein Betriebssystem im Hintergrund Kontakt mit seinem Hersteller, kann das zu einer vom Verantwortlichen nicht beabsichtigten Offenlegung personenbezogener Daten führen. Die Aktuelle Kurz-Information 50 „Bayerische öffentliche Stellen und die Windows-Telemetriekomponente“ skizziert dieses Problem für ein bekanntes Produkt und zeigt mehrere leicht gangbare Wege für eine datenschutzfreundliche Konfiguration auf. Von dem Papier können insbesondere Verantwortliche mit einer überschaubaren IT-Infrastruktur profitieren.
https://www.datenschutz-bayern.de/datenschutzreform2018/aki50.pdf
Im Juli 2023 hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für die USA erlassen (siehe bereits Newsletter Mai 2023). Soweit dieser Angemessenheitsbeschluss reicht, ist eine Datenübermittlung in die USA nach Art. 45 Abs. 1 DSGVO zulässig. Gleichwohl stellt die neue Rechtslage bayerische öffentliche Stellen, die Daten insbesondere an Unternehmen in diesem Drittland übermitteln wollen, vor zahlreiche Fragen. Die Aktuelle Kurz-Information 51 „Erste Hilfe zum Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework“ bietet hier erste Antworten.
https://www.datenschutz-bayern.de/datenschutzreform2018/aki51.pdf
Die zuletzt erschienene Aktuelle Kurz-Information 52 „Bayerisches Krebsregistergesetz jetzt mit uneingeschränktem Widerspruchsrecht“ thematisiert eine aktuelle Gesetzesänderung: Bislang konnten betroffene Personen Verarbeitungen des Bayerischen Krebsregisters, insbesondere einer Weitergabe von Gesundheitsdaten an Forschungseinrichtungen, nur ein eng begrenztes Widerspruchsrecht entgegensetzen. Dieses Recht hat der Gesetzgeber nach einer Evaluierung nun ausgebaut. Damit ist einer langjährigen Forderung des Landesbeauftragten entsprochen.
https://www.datenschutz-bayern.de/datenschutzreform2018/aki52.pdf
Das schon lange bestehende Informationsangebot zum Schuldatenschutz hat der Landesbeauftragte nun in drei Veröffentlichungen zusammengeführt und aktualisiert. Das FAQ-Papier „Datenschutz an bayerischen öffentlichen Schulen – Fragen und Antworten“ bündelt kleine Beiträge, etwa zur Veröffentlichung personenbezogener Daten, zur Bekanntgabe von Schulnoten oder zur Datenerhebung im Zusammenhang mit Krankmeldungen. Das Arbeitspapier „Datenschutz bei Schülerunterlagen“ erläutert insbesondere, wie die Schülerakte datenschutzkonform geführt wird, während das Arbeitspapier „Foto- und Videoaufnahmen in der Schule, insbesondere im Schulunterricht“ zeigt, was beim Kameraeinsatz in der Schule zu beachten ist – vom Klassenfoto über den Fotositzplan bis zur Arbeit von Filmprojektgruppen.
https://www.datenschutz-bayern.de/datenschutzreform2018/FAQ_Schulen.pdf
https://www.datenschutz-bayern.de/datenschutzreform2018/AP_Schuelerunterlagen.pdf
https://www.datenschutz-bayern.de/datenschutzreform2018/AP_Foto_Video_Schule.pdf
Im Sommer 2022 hat der Landesbeauftragte sein Informationsangebot um einen Mastodon-Kanal erweitert (https://social.bund.de/@BayLfD). Mastodon ist ein dezentral gehosteter Microblogging-Dienst, der keine kommerziellen Ziele verfolgt und ohne problematische Drittstaatentransfers ausgestaltet werden kann – ein auch für bayerische öffentliche Stellen interessantes Konkurrenzprodukt zu „X“ (vormals Twitter). Der Landesbeauftragte postet auf seinem Mastodon-Kanal tagesaktuell Hinweise auf neue Veröffentlichungen; darüber hinaus bietet der Kanal eigenständige Elemente wie etwa die „Datenschutzfrage der Woche“ (#DPQW). In diesem Format finden kleinere Fragen aus der Prüfungs- und Beratungspraxis – manchmal auch von Nutzenden – höchstens 500 Zeichen lange Antworten. Ebenfalls Mastodon-exklusiv war im Oktober 2022 die Themenwoche zu Cookies auf Webseiten. Bayerische öffentliche Stellen erhielten eine Arbeitswoche lang in 17 Posts (und verlinkten Materialien) Anleitung, wie der Cookie-Einsatz auf der eigenen Internetpräsenz evaluiert und datenschutzfreundlich gestaltet werden kann. Dieses Informationsangebot liegt inzwischen auch in einer PDF-Version sowie als Leporello gedruckt vor. Dem Mastodon-Kanal zu folgen, kann behördlichen Datenschutzbeauftragten durchaus empfohlen werden. Kompliziert ist das nicht (siehe unter 6.).
https://www.datenschutz-bayern.de/datenschutzreform2018/Cookies.pdf
Fester Bestandteil des Mastodon-Kanals ist auch der Newsletter „Privacy in Bavaria“, der in deutscher und englischer Sprache in lockeren, ungefähr monatlichen Abständen erscheint. Der Newsletter bringt auf einer DIN A 4-Seite einen Überblick zu neuen Verlautbarungen aus dem Bereich der Datenschutz-Aufsichtsbehörden, zu aktuellen Entscheidungen deutscher und österreichischer Gerichte sowie zu ausgewählten Beiträgen aus Fachzeitschriften. Die Judikatur ist hinsichtlich ihres „Nährwerts“ für den öffentlichen Sektor verschlagwortet, sodass sich behördliche Datenschutzbeauftragte mit kleinem Zeitbudget nicht durch Informationsangebote anderer Anbieter arbeiten müssen, die eher die Bedürfnisse von Privatunternehmen im Blick haben. Der jeweils jüngste Newsletter ist ebenso wie vorangegangene Ausgaben auch auf der Homepage des Landesbeauftragten abrufbar.
https://www.datenschutz-bayern.de/newsletter
Wer zum Datenschutz im bayerischen öffentlichen Sektor „up to date“ bleiben möchte, folgt am besten entweder dem Mastodon-Kanal des Landesbeauftragten oder nutzt dessen RSS-Feeds. Der Mastodon-Kanal ist gehaltvoller, vielleicht auch etwas unterhaltsamer; die RSS-Feeds bleiben bewusst nüchtern.
Dem Mastodon-Kanal kann folgen, wer einen eigenen Account hat. Da Mastodon ein dezentrales Netzwerk ist, muss jede oder jeder eine für sich passend erscheinende Instanz auswählen (zum Einstieg instruktiv: https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2022/04_Schnelleinstieg-Mastodon.html). Viele haben sich für https://mastodon.social entschieden. Datenschützende fühlen sich mitunter auch bei kleineren Instanzen wie etwa https://legal.social wohl.
Der Bezug von RSS-Feeds ist ebenfalls nicht schwierig. Ein E-Mail-Client mit entsprechender Funktion kann sich darum kümmern. Nutzende müssen bloß auf der Homepage des Landesbeauftragten die Rubrik „RSS-Feeds“ aufrufen (https://www.datenschutz-bayern.de/static/rss-main.html), die Adresse des passenden Feeds kopieren (mit der rechten Maustaste das Kontextmenü aufrufen, Befehl „Link-Adresse kopieren“ auswählen) und diese in den E-Mail-Client einbinden (Anleitung für Microsoft Outlook bei https://support.microsoft.com/de-de/office/abonnieren-eines-rss-feeds-73c6e717-7815-4594-98e5-81fa369e951c unter „Abonnieren eines RSS-Feeds über Outlook“).
Dr. Kai Engelbrecht
Mitautor Datenschutz in Bayern
Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.
KontaktformularKundenservice
Verlag und Marken
Unsere Themen und Produkte
Service
Rechtliches
Partner der
Welt
