Sie sind hier: > Start > Aktuelles > Themen und Ereignisse > Veröffentlichung des 34. Tätigkeitsberichts 2024

---

28.10.2025

Veröffentlichung des 34. Tätigkeitsberichts 2024

Der Bayerische Landesbeauftragte für den Datenschutz stellt Ergebnisse seiner Arbeit im Jahr 2024 vor

Gerichte veröffentlichen Entscheidungen, Datenschutz-Aufsichtsbehörden - jedenfalls hierzulande - etwa Tätigkeitsberichte oder Orientierungshilfen. Gerichte wie auch Datenschutz-Aufsichtsbehörden verfolgen dabei vergleichbare Ziele: Sie möchten die eigene Praxis transparent, nachvollziehbar und auch vorhersehbar machen. Oftmals geht es um die Arbeit am Recht, das Verständnis und die Auslegung von Regelungen, die Gesetzgeber nicht immer mit dem Anspruch größtmöglicher Konsistenz über- und nebeneinandergeschichtet haben, bei den Datenschutz-Aufsichtsbehörden zudem um die Gestaltung der technischen und organisatorischen Standards, die das Datenschutzrecht selbst nur sehr grob regulieren kann. Da kann es kaum wundern, wenn der Umgang mit gleichen Problemen mitunter von Mitgliedstaat zu Mitgliedstaat, innerhalb Deutschlands auch von Land zu Land unterschiedlich ausfällt. Dennoch greifen nach sieben Jahren Datenschutz-Grundverordnung längst die Mechanismen der Harmonisierung: Immer mehr Rechtsfragen finden stabile Antworten in der Rechtsprechung des Europäischen Gerichtshofs wie auch der nationalen Höchstgerichte, und auch unter den Datenschutz-Aufsichtsbehörden wächst das Gewicht abgestimmter Positionen. An dem so geführten Gesamtdiskurs nimmt auch mein heute vorgestellter Tätigkeitsbericht als eine durchaus vernehmbare Stimme teil.

Der Tätigkeitsbericht zieht eine Bilanz meiner Arbeit aus dem Jahr 2024. Was diese Arbeit ausmacht, hängt wesentlich davon ab, welche Gesetzgebungsvorhaben anstehen, welche Datenschutzfragen bei der Prüfung von Beschwerden und Beratungsanfragen aufkommen, welche Datenpannen sich ereignen, oder welche Entwicklungen der Informationstechnologie Datenschutzrelevanz erlangen. So zeigt auch dieser Tätigkeitsbericht wieder, wie Unionsrecht und nationales Recht in vielfältigen Verwaltungsmaterien Datenschutzüberlegungen veranlassen und wie Verantwortliche, behördliche Datenschutzbeauftragte und insbesondere meine Behörde auf Lösungen hinwirken, die pragmatischen Bedürfnissen, gleichermaßen aber den Bindungen aus der Datenschutz-Grundverordnung, dem Bayerischen Datenschutzgesetz und den bereichsspezifischen Regelungen gerecht werden. Wie in jedem Jahr steht der Tätigkeitsbericht in einem engen Verbund mit meinen rein digitalen Veröffentlichungen, 2024 konnten wiederum zwei "große" Orientierungshilfen, jedoch auch einige kleinere Publikationen erscheinen (Beitrag Nr. 1.3).

Im Bereich der Allgemeinen Inneren Verwaltung konnte ich die Implementierung der vom Gesetzgeber neu eröffneten Gestaltungsmöglichkeiten beim Streaming von kommunalen Gremiensitzungen sowie von Bürgerversammlungen in einem Papier mit konkreten Hinweisen unterstützen (Beitrag Nr. 3.1). Namen von Personen zu veröffentlichen, die Gemeinden Geld zukommen lassen, kann die Korruptionsprävention nahelegen; manchmal möchte eine Spenderin oder ein Spender aber auch einfach ein gutes Werk tun, ohne dass irgendwer davon erfährt. Wie weit einem solchen Vertraulichkeitsinteresse entsprochen werden kann, habe ich anlässlich der Beratungsanfrage einer Gemeinde untersucht (Beitrag Nr. 3.2). Ferner war ich etwa mit der datenschutzkonformen Einrichtung eines digitalen "Mängelmelde-Tools" befasst (Beitrag Nr. 3.3).

Einen Schwerpunkt bei der Beratung der Polizei bildete die Begleitung eines Gesetzgebungsverfahren, das die Voraussetzungen für den Einsatz einer verfahrensübergreifenden Recherche- und Analyseplattform betraf. Meine ausführliche, in Anbetracht meines gesetzlichen Auftrags zum Grundrechtsschutz unvermeidlich kritische Stellungnahme fand im Ergebnis leider wenig Gehör (Beitrag Nr. 2.1). Aus dem Polizeialltag beschäftigten mich auch im Berichtsjahr Speicherungen für Bürgerinnen und Bürger ungünstiger Informationen in den zahlreichen polizeilichen Dateien. Gleich drei Beiträge befassen sich mit Facetten dieses Themas (Beiträge Nr. 2.3 bis 2.5). Außerdem habe ich beispielsweise die Transparenz beim Einsatz von Polizeidrohnen sowie die Einhaltung datenschutzrechtlicher Vorgaben bei Observationen kontrolliert (Beiträge Nr. 2.2 und 2.8). Was die Justiz betrifft, möchte ich eine Beanstandung hervorheben, die ich gegenüber einer Staatsanwaltschaft ausgesprochen habe. Dabei ging es um eine ungesetzliche, für die betroffene Person zumindest potenziell folgenschwere Mitteilung aus einem dort geführten Verfahren (Beitrag Nr. 2.10).

Auch aus den vielfältigen Datenschutzproblemen im Sozial- und Gesundheitsbereich kann der Tätigkeitsbericht nur einige wenige aufgreifen. So gab mir eine Beschwerde Anlass, die Wirkung datenschutzrechtlicher Vorgaben auf die behördliche Sachverhaltsermittlung näher zu analysieren. Insgesamt bin ich hier zu der Einschätzung gelangt, dass diese Vorgaben zwar einer gelegentlich zu beobachtenden "Überaufklärung" entgegenwirken, eine gründliche und kritische Sachverhaltsermittlung aber nicht hindern, wenn sie an den entscheidungserheblichen Normen orientiert bleibt (Beitrag Nr. 4.1). Einige Beratungsanfragen erreichten mich im Zusammenhang mit der Mitteilungsverordnung, in der es um Datentransfers von öffentlichen Stellen zu den Finanzämtern geht. Meine Erkenntnisse aus der Beschäftigung mit dieser recht spröden Materie habe ich in einem mehrteiligen Beitrag zusammengestellt (Beitrag Nr. 4.3). Ein unscheinbares, jedoch nicht ganz triviales Problem war die datenschutzrechtliche Verantwortlichkeit beim Wirken der ehrenamtlichen Pharmazieräte (Beitrag Nr. 4.7). Einrichtungen kritischer Infrastruktur sind mitunter darauf angewiesen, sicherheitssensible Bereiche mit Videotechnik zu überwachen. Die einschlägige gesetzliche Regelung lässt dies nur bei Nachweis einer Gefahrsituation zu. Dieser Nachweis kann am einfachsten mit einer Vorfallsdokumentation geführt werden. Einer bei mir anfragenden öffentliche Stelle konnte ich gleichwohl einen Weg aufzeigen, wie sie den Nachweis auch auf andere Art seriös führen kann (Beitrag Nr. 4.8).

Der Personaldatenschutz ist sehr detailliert und weithin landesrechtlich geregelt. Auf einem kontinuierlichen Strom von Beschwerden und Beratungsanfragen fließen mir hier immer wieder neue Datenschutzprobleme zu. So war ich gleich in zwei Fällen mit Datenerhebungen bei der Berufung von Professoren an bayerischen öffentlichen Hochschulen befasst. Einwände hatte ich gegen die Beschaffung von Informationen über eingestellte Straf- oder Disziplinarverfahren (Beitrag Nr. 5.1), während ich dem Verlangen einer Hochschule nach der frühzeitigen Vorlage einstellungsrelevanter Urkunden - auch auf Grund von Besonderheiten des Berufungsverfahrens - nicht entgegengetreten bin (Beitrag Nr. 5.2). Weniger speziell war die Frage, was bei einer Veröffentlichung von Beschäftigtendaten im Internet zu beachten ist. Die gesetzlichen Regelungen bieten hier eine Balance von Transparenz- und Vertraulichkeitsinteresse und sind gar nicht schwer anzuwenden (Beitrag Nr. 5.4).

Meine Datenschutzarbeit bei den bayerischen öffentlichen Schulen profitiert weiterhin von einer bereits über zwei Jahrzehnte aufgebauten Wissensbasis, die - in den Tätigkeitsberichten sowie ergänzenden Papieren dokumentiert - den Beteiligten ein hohes Maß an Handlungssicherheit vermittelt. Häufig sind daher Detailfragen zu klären, wie auch die aktuellen Beiträge in diesem Themenfeld zeigen. Hervorheben möchte ich eine Beschwerde, die den Umgang einer Schulleitung mit einem Auskunftsantrag betraf. Der Fall macht auf selten exemplarische Weise deutlich, wie einfallsreich öffentliche Stellen Auskunftsansprüche mitunter zu blockieren suchen und wie wenig tragfähig viele der vorgebrachten Hinderungsgründe bei näherer Betrachtung sind (Beitrag Nr. 6.2).

Im technisch-organisatorischen Datenschutz ist von massiven Hackerangriffen auf bayerische öffentliche Stellen zu berichten. Leider haben es IT-Verantwortliche den Hackern mitunter zu leicht gemacht, weil sie etwa ein wirksames Patch-Management versäumt haben. In diesem Kontext habe ich einige förmliche Beanstandungen ausgesprochen (Beitrag Nr. 8.6). Weiterhin erläutere ich - auch für Bürgerinnen und Bürger - Maßnahmen gegen Phishing-Angriffe sowie gegen eine unerwünschte Nutzung internetverfügbarer Fotos für das Training Künstlicher Intelligenz (Beiträge Nr. 8.3 und 8.1). In der analogen Welt waren etwa der Postversand von Datenträgern oder - wieder einmal - der Fehlversand von behördlichen Schreiben Gegenstände meiner Tätigkeit (Beiträge Nr. 8.5 und 8.2).

Soweit sich meine Kontrolltätigkeit schließlich auf den informationsfreiheitsrechtlichen Zugangsanspruch aus Art. 39 BayDSG bezieht, konnte ich einen größeren Fall abschließen, den ich bereits im letzten Tätigkeitsbericht geschildert habe. Ein Verein, der bei einer Vielzahl von Kommunen bestimmte Informationen angefragt hatte, gelangte mit meiner Unterstützung am Ende in der ganz überwiegenden Zahl der Fälle zum Ziel. In nicht wenigen Rathäusern wurde viel zu viel Zeit darin investiert, einen Anspruch nicht zu erfüllen, dessen Voraussetzungen recht offensichtlich gegeben waren (Beitrag Nr. 7.1). Einen Bürger, der Zugang zu einem "Abschleppkatalog" begehrte, konnte ich leider nicht weiterhelfen (Beitrag Nr. 7.3).

Der 34. Tätigkeitsbericht 2024 steht ab Dienstag, den 28. Oktober 2025 um 11:00 Uhr auf meiner Homepage https://www.datenschutz-bayern.de in der Rubrik "Tätigkeitsberichte" zum Abruf bereit. Unter "Broschürenbestellung" kann die gedruckte Fassung bezogen werden. Der Tätigkeitsbericht ist in allen Versionen kostenfrei.

Interessierten Journalistinnen und Journalisten stehe ich gerne für Interviews und Anfragen zur Verfügung. Zur Vereinbarung eines Termins wenden Sie sich bitte an mein Vorzimmer (Telefon: 089 212672-12, E-Mail: vorzimmer@datenschutz-bayern.de).

Prof. Dr. Thomas Petri

Hinweis:

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.