Neuer Tätigkeitsbericht des Bayer. Landesbeauftragten für den Datenschutz

1) Jährlicher Tätigkeitsbericht

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert nach Art. 33a BV und Art. 15 Abs. 1 BayDSG die Einhaltung der datenschutzrechtlichen Vorschriften bei den bayerischen öffentlichen Stellen. Nach Art. 59 der DSGVO ist der Tätigkeitsbericht – anders als früher – nicht mehr zweijährig, sondern jährlich vorzulegen.

2) Gesetzgebung

Der Landesbeauftragte war Mitglied der unabhängigen Expertenkommission zur Begleitung des neuen bayerisches Polizeiaufgabengesetzes („PAG-Begleitkommission“), die im Jahr 2018 auf Grund eines Beschlusses des Ministerrats eingerichtet wurde. Die Kommission hat ihr Ergebnis am 30.8.2019 vorgestellt. Der Landesbeauftragte würde es begrüßen, wenn die Staatsregierung die Empfehlungen der Kommission aufgreifen würde. Er bedauert, dass die Kommission entsprechend ihrem begrenzten Arbeitsauftrag nicht alle nach seiner Auffassung datenschutzrechtlich problematischen Regelungen evaluieren konnte (Nr. 1.3 des Berichts).

Bei der geplanten Änderung des Rundfunkbeitragsstaatsvertrages sollte nach Ansicht des Landesbeauftragten die Einführung eines regelmäßigen Meldedatenabgleichs aus datenschutzrechtlichen Gründen unterbleiben (Nr. 6.2 des Berichts).

3) Künstliche Intelligenz

Die Bayerische Staatsregierung hat im Oktober 2019 angekündigt, mit insgesamt rund zwei Milliarden Euro die Entwicklung Künstlicher Intelligenz (KI) und zukunftsträchtiger Technologien wie Quantentechnologie, Luft- und Raumfahrt sowie klimabezogene Technologien zu fördern. Der Landesbeauftragte begrüßt, dass der Freistaat Bayern mit dieser Initiative einen gewichtigen Beitrag zu einer Entwicklung von Künstlicher Intelligenz leistet, die auf der Grundlage europäischer Werte steht. Nach seiner Auffassung seien die beiden bayerischen Datenschutzaufsichtsbehörden (der Landesbeauftragte für den öffentlichen Bereich und das Bayer. Landesamt für Datenschutzaufsicht für den nicht öffentlichen Bereich) allerdings gegenwärtig noch nicht in der Lage, KI-Anwendungen im Sinne des Grundrechtsschutzes effektiv zu überprüfen. Dies erfordere erst eine entsprechende „Ertüchtigung“ dieser Aufsichtsbehörden (Nrn. 1.1 und Nr. 12.1 des Berichts).

4) Datenschutz-Defizite in öffentlichen Krankenhäusern

Mehrfach spricht der Landesbeauftragte Probleme beim Datenschutz in öffentlichen Krankenhäusern an. Die Zahl der bekannt gewordenen Pannen bei Datensicherheit und Datenschutz in Kliniken habe im Jahr 2019 – also bereits vor der „Corona-Pandemie“ – deutlich zugenommen, viele Krankenhäuser würden wichtige datenschutzrechtliche und sicherheitstechnische Vorgaben nicht ausreichend umsetzen. Es fehle gerade in kleineren Kliniken nicht am guten Willen, sondern an der ausreichenden finanziellen Ausstattung. Bußgelder habe er bisher nicht verhängt, um nicht Gelder abzuziehen, die für die Ertüchtigung der IT-Ausstattung dringend benötigt würden. Die „Schonfrist“ laufe aber ab (Nr. 1.4 des Berichts).

5) Soziale Netzwerke

Die Nutzung Sozialer Netzwerke (wie z. B. Facebook) durch bayerische öffentliche Stellen sieht der Landesbeauftragte nach wie vor äußerst kritisch. Die in diesem Zusammenhang ergangene Rechtsprechung wird in Nr. 11.1 und 11.2 des Berichts näher erläutert.

6) Einzelfragen der Datenschutzpraxis

Der 29. Tätigkeitsbericht des Landesbeauftragten nimmt zu einer ganzen Reihe von Einzelfragen aus der Datenschutzpraxis Stellung, die für viele Bereiche der öffentlichen Verwaltung von Interesse sind. Teilweise werden dabei neue Fragestellungen aufgegriffen, teilweise aber auch bereits in früheren Tätigkeitsberichten behandelte Themen im Hinblick auf die DSGVO neu behandelt.

a) Identifizierung bei der Geltendmachung von Betroffenenrechten

Ausführlich nimmt der Landesbeauftragte zu der häufig gestellten Frage Stellung, welche Anforderungen an die Identifizierung einer Person zu stellen sind, die einen Antrag auf Auskunft nach Art. 15 DSGVO oder Anträge wegen anderer Betroffenenrechte nach Art.16 bis 21 DSGVO stellen. Die öffentliche Stelle muss bei einem solchen Antrag einerseits die betroffene Person bei der Antragstellung unterstützen (vgl. Art. 12 Abs. 2 Satz 1 DSGVO) und einem Antrag möglichst rasch und bürgerfreundlich entsprechen. Zugleich muss sie aber sicherstellen, dass sie personenbezogene Daten nicht an Unbefugte übermittelt (Nr. 2.2 des Berichts).

b) Gemeindliche Themen

Im kommunalen Bereich befasst sich der Landesbeauftragte ausführlich mit der Behandlung von Bausachen im Gemeinderat (Nr. 5.1 des Berichts). Thema ist u.a. die Bekanntgabe von Bauherren- und Nachbardaten in der Tagesordnung, die Information der Presse durch Übermittlung von Sitzungsvorlagen zu gemeindlichen Sitzungen, die Behandlung von Einwendungen in öffentlichen Sitzungen und die Veröffentlichung der Sitzungsniederschrift. Ausführlich behandelt wird in Nr. 9.2 des Berichts auch die Bekanntgabe von Personalentscheidungen, die von einem Gemeinderat oder einem beschließenden Ausschuss in nicht öffentlicher Sitzung getroffen wurden. Auch zur Live-Übertragung von Bürgerversammlungen im Internet nimmt der Bericht ausführlich Stellung (Nr. 5.2 des Berichts).

c) Schutz von Informanten

Zu der Frage, wie öffentliche Stellen datenschutzkonform mit Hinweisen von Bürgern auf (möglicherweise) rechtswidrige Handlungen Dritter umgehen sollen, hat der Landesbeauftragte bereits im Tätigkeitsbericht des Jahres 2010 (unter Nr. 6.10) Stellung genommen. Eine Vielzahl von Eingaben, die ihn seit Geltung der Datenschutz-Grundverordnung erreicht haben, haben ihn jedoch veranlasst, seine früheren Ausführungen zu aktualisieren und in einen größeren Zusammenhang einzubetten (Nr. 5.3 bis 5.3.3 des Berichts). Er betont dabei, dass sich die dem Informantenschutz zugrunde liegenden Wertungen mit Geltung der DSGVO nicht wesentlich geändert haben und nach wie vor „ein reflexhaftes In-Kenntnis-Setzen der Gegenpartei von erhobenen Vorwürfen“ datenschutzrechtlich unzulässig ist.

d) Stellung des Personalrats

Der Landesbeauftragte vertritt weiterhin die Auffassung, dass der Personalrat - wie auch vor Geltung der DSGVO - als Teil der jeweiligen öffentlichen Stelle anzusehen und nicht selbst Verantwortlicher im Sinn der DSGVO ist (Nr. 9.5 des Berichts).

e) Weitere Themen

Weitere Themen des Tätigkeitsberichts sind:

• die datenschutzkonforme Durchführung von staatlichen Förderungen (Nr. 5.4 des Berichts),
• datenschutzrechtliche Vorgaben für Mobilitätsuntersuchungen auf Landkreisebene (Nr. 5.5 des Berichts),
• Personalratsmitglieder als behördliche Datenschutzbeauftragte (Nr. 9.6 des Berichts),
• die Verwendung von Beschäftigtenfotos für Marketingmaßnahmen öffentlicher Stellen (Nr. 9.7 des Berichts) und
• die Meldung von Datenpannen (Nr. 12.7 des Berichts)

Anton Knoblauch
Mitautor von Datenschutz in Bayern