≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 30. TB 2020 > 1. Überblick

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2021

1. Überblick

1.1. Datenschutz in der COVID-19-Pandemie

Spätestens seit dem Frühjahr 2020 prägen das neuartige Coronavirus (SARS-CoV-2) und die von ihm verursachte Krankheit COVID-19 auch zahlreiche politische Entscheidungen, die sich auf die Verarbeitung personenbezogener Daten auswirken. Im Berichtszeitraum standen etwa datenschutzrechtliche Fragen bei der Kontaktnachverfolgung und bei der Befreiung von der Maskenpflicht zeitweise besonders im Fokus der öffentlichen Aufmerksamkeit.

1.1.1. Kontaktnachverfolgung

Zu Beginn der COVID-19-Pandemie sah sich die Bayerische Staatsregierung gezwungen, mit der Ersten und Zweiten Bayerischen Infektionsschutzmaßnahmenverordnung (1. und 2. BayIfSMV) die zwischenmenschlichen Kontakte so weit wie möglich zu reduzieren. Das führte zu zeitweisen Schließungen von Dienstleistungsbetrieben mit Kundenkontakt, wie etwa Gastronomiebetrieben und Freizeiteinrichtungen. Gerade im Zusammenhang mit deren Wiederöffnung stellt die Nachverfolgung von kritischen Kontakten durch die Gesundheitsbehörden eine Schlüsselstrategie der Pandemiebekämpfung dar. Dabei werden infizierte Personen befragt, welche Kontakte sie innerhalb einer Zeit möglicher "Ansteckungsfähigkeit" hatten. Benannte Kontaktpersonen werden anschließend von den Gesundheitsbehörden kontaktiert und auf den Risikokontakt hingewiesen. Ein solche Information geht regelmäßig mit Anweisungen einher, wie sich die Kontaktpersonen zu verhalten haben. Dies gilt insbesondere für die Anordnung, sich in Quarantäne zu begeben.

Um Risikokontakte besser ermitteln zu können, sah bereits die Dritte Bayerische Infektionsschutzmaßnahmenverordnung gegen Ende ihrer Geltungsdauer ausdrücklich vor, dass Besucherinnen und Besucher von pflegebedürftigen Personen namentlich bei der Einrichtung registriert sein müssen. Mit der Änderung der Vierten Bayerischen Infektionsschutzmaßnahmenverordnung vom 14. Mai 2020 (BayMBl. Nr. 269) wurde eine vorsichtige Öffnung von Gastronomiebetrieben ermöglicht - allerdings nur bei Vorliegen eines Schutz- und Hygienekonzepts, das die Gastronomiebetriebe auf der Grundlage eines Rahmenkonzepts zu erstellen hatten. Dieses Rahmenkonzept "Hygienekonzept Gastronomie" (vom 14. Mai 2020, BayMBl. Nr. 270) wurde von den Bayerischen Staatsministerien für Gesundheit und Pflege sowie für Wirtschaft, Landesentwicklung und Energie bekannt gemacht und sah unter Abschnitt 3.2.9 ebenfalls eine Kontaktdatenerfassung durch die Gastronomiebetriebe vor. Diese Kontaktdatenerfassung durch Gastronomiebetriebe, später durch andere Unternehmen und auch durch öffentliche Stellen, führte bei mir zu zahlreichen Beschwerden und Beratungsanfragen. Neben der Speicherdauer (siehe dazu Nr. 3.4 dieses Berichts) bewegte zahlreiche Besucherinnen und Besucher die Frage, zu welchen Zwecken die Daten verwendet werden dürften. Das "Hygienekonzept Gastronomie" schien insoweit eindeutig zu sein: Eine Erfassung diente ausschließlich dem Zweck der Auskunfterteilung auf Anforderung gegenüber den zuständigen Gesundheitsbehörden.

1.1.2. Speziell: Polizeilicher Zugriff auf Gästelisten

Es dauerte allerdings nicht lange, bis in einigen Fällen auch die Polizei die Kontaktlisten von Gastwirtschaften zur Strafverfolgung einsah. Einfachgesetzlich wurde dieser polizeiliche Zugriff auf Kontaktlisten zumeist über die Regeln der Sicherstellung beziehungsweise der Beschlagnahme nach den §§ 94 ff. StPO gerechtfertigt. Wie unter Nr. 1.1.1 erwähnt, sah das "Hygienekonzept Gastronomie" zwar vor, dass Gästelisten "ausschließlich" zur Vorlage bei den Gesundheitsämtern geführt werden sollten. Streng genommen waren die Strafverfolgungsbehörden aber wohl nicht an Zweckbestimmungen aus den Infektionsschutzverordnungen der Länder gebunden - denn die Strafprozessordnung geht als Bundesrecht bekanntlich entgegenstehendem Landesrecht vor. Gleichwohl führten diese sicherheitsbehördlichen Zugriffe auf Kontaktlisten zu einer erheblichen Irritation in Teilen der Öffentlichkeit. In erster Linie aufgrund verfassungsrechtlicher Bedenken setzte ich mich dafür ein, dass derartige Zugriffe durch Strafverfolgungsbehörden möglichst bundesgesetzlich geregelt werden und allenfalls bei besonderer Beachtung der Verhältnismäßigkeit gestattet werden sollten.

Dieser Forderung trug zunächst die Bayerische Staatsregierung durch eine Vorschrift in der Neunten Bayerischen Infektionsschutzmaßnahmenverordnung vom 30. November 2020 (BayMBl. Nr. 683) Rechnung, die sinngemäß klarstellte, dass die an und für sich strikte Zweckbindung die Befugnisse der Strafverfolgungsbehörden unberührt lässt.

Erfreulicherweise hat der Bundesgesetzgeber meine datenschutzrechtlichen Bedenken aufgegriffen und dem zulässigen polizeilichen Zugriff auf die Gästelisten mit einer Änderung des Infektionsschutzgesetzes nun rechtlich ein Ende gesetzt. § 28a Abs. 4 Satz 3 Infektionsschutzgesetz (IfSG) sieht eine Zweckbindung dahingehend vor, dass Kontaktlisten zu keinem anderen Zweck als der Aushändigung auf Anforderung durch die Gesundheitsbehörden verwendet werden dürfen. Diese bundesgesetzliche Zweckbindung steht mit dem Strafprozessrecht im Gleichrang und erlaubt keinen Zugriff auf die Kontaktlisten zu Strafverfolgungszwecken mehr. Fordern die Gesundheitsbehörden Kontaktlisten an, dürfen sie diese Listen nach § 28a Abs. 4 Satz 6 IfSG ebenfalls nicht an Strafverfolgungsbehörden weitergeben.

§ 28a IfSG

Besondere Schutzmaßnahmen zur Verhinderung der Verbreitung der Coronavirus-Krankheit-2019 (COVID-19)

(1) Notwendige Schutzmaßnahmen im Sinne des § 28 Absatz 1 Satz 1 und 2 zur Verhinderung der Verbreitung der Coronavirus-Krankheit-2019 (COVID-19) können für die Dauer der Feststellung einer epidemischen Lage von nationaler Tragweite nach § 5 Absatz 1 Satz 1 durch den Deutschen Bundestag insbesondere sein

[...]

  1. Anordnung der Verarbeitung der Kontaktdaten von Kunden, Gästen oder Veranstaltungsteilnehmern, um nach Auftreten einer Infektion mit dem Coronavirus SARS-CoV-2 mögliche Infektionsketten nachverfolgen und unterbrechen zu können.

(4) Im Rahmen der Kontaktdatenerhebung nach Absatz 1 Nummer 17 dürfen von den Verantwortlichen nur personenbezogene Angaben sowie Angaben zum Zeitraum und zum Ort des Aufenthaltes erhoben und verarbeitet werden, soweit dies zur Nachverfolgung von Kontaktpersonen zwingend notwendig ist. Die Verantwortlichen haben sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Daten dürfen nicht zu einem anderen Zweck als der Aushändigung auf Anforderung an die nach Landesrecht für die Erhebung der Daten zuständigen Stellen verwendet werden und sind vier Wochen nach Erhebung zu löschen. Die zuständigen Stellen nach Satz 3 sind berechtigt, die erhobenen Daten anzufordern, soweit dies zur Kontaktnachverfolgung nach § 25 Absatz 1 erforderlich ist. Die Verantwortlichen nach Satz 1 sind in diesen Fällen verpflichtet, den zuständigen Stellen nach Satz 3 die erhobenen Daten zu übermitteln. Eine Weitergabe der übermittelten Daten durch die zuständigen Stellen nach Satz 3 oder eine Weiterverwendung durch diese zu anderen Zwecken als der Kontaktnachverfolgung ist ausgeschlossen. Die den zuständigen Stellen nach Satz 3 übermittelten Daten sind von diesen unverzüglich irreversibel zu löschen, sobald die Daten für die Kontaktnachverfolgung nicht mehr benötigt werden.

Der nun verwehrte Zugriff auf Gästelisten wird eine effektive Strafverfolgung sicher nicht in Frage stellen, zumal solche Listen bis vor Kurzem auch nicht existierten und die polizeilichen Zugriffe in relativ seltenen Einzelfällen erfolgten.

1.1.3. Corona-Warn-App der Bundesregierung

Die Weichen für die Corona-Warn-App der Bundesregierung wurden während des ersten "Lockdowns" im Frühjahr 2020 gestellt. Zu dieser Zeit setzten zahlreiche europäische Staaten auf die Entwicklung von Tracing- und Tracking-Apps für die Kontaktnachverfolgung eine hohe Priorität. Sie entschieden sich dabei oftmals gegen datenschutzfreundliche, dezentrale Lösungen. Jedenfalls im EU-Raum scheiterten diese Lösungen bereits an der mangelnden Akzeptanz. Beispielsweise gab es in Frankreich immerhin drei Monate nach ihrem Start gerade einmal 2,3 Millionen Downloads der französischen App "StopCovid France" (mittlerweile: "TousAntiCovid". Vor diesem Hintergrund habe ich auf Landes-, Bundes- und EU-Ebene eine datenschutzfreundliche dezentrale Lösung empfohlen, weil ansonsten mangels einer auseichenden Zahl von Downloads bereits die erste wichtige Voraussetzung für den Erfolg der App fehlt.

Auch die Bundesregierung entschied sich für ein datenschutzfreundliches Konzept. Und zunächst gab ihr der Erfolg auch Recht: Im Auftrag der Bundesregierung veröffentlichte das Robert-Koch-Institut die App am 16. Juni 2020. Bereits einen Tag danach wurden 6,5 Millionen Downloads der Corona-Warn-App verzeichnet. Bis Ende des Jahres 2020 haben rund 25 Millionen Menschen die App auf ihr Smartphone heruntergeladen. Bereits der zahlenmäßige Vergleich der Downloads in Frankreich und Deutschland legt zumindest nahe: Ein hohes Datenschutzniveau ist ein nicht unwesentlicher Akzeptanzfaktor für die jeweilige App gewesen. Das bringt auch eine Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zum Ausdruck.

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 16. Juni 2020

Datenschutzfreundliches Grundkonzept der Corona-Warn-App - Freiwilligkeit darf nicht durch zweckwidrige Nutzung untergraben werden!

Mit der am 16. Juni 2020 durch den Bund vorgestellten Corona-Warn-App steht ein freiwilliges Instrument mit einer dezentralen Speicherung auf dem jeweiligen Smartphone zur Nachverfolgung eventueller Infektionen zur Verfügung.

Die Datenschutzkonferenz sieht das datenschutzfreundliche Grundkonzept als Realisierung des Grundsatzes von Datenschutz by Design. Sie weist allerdings darauf hin, dass insbesondere der Ansatz der Freiwilligkeit nicht durch eine zweckentfremdende Nutzung untergraben werden darf:

Der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. darf nicht vom Vorweisen der App abhängig gemacht werden.

Hierbei würde es sich um eine zweckwidrige Verwendung handeln, die bereits mit dem Konzept der Freiwilligkeit nicht vereinbar ist. Eine Diskriminierung von Personen, die die App nicht anwenden, ist auszuschließen.

Bei näherer Betrachtung hat die Corona-Warn-App allerdings nur eine begrenzte Wirkung entfaltet. Dies hat wohl weniger mit dem Datenschutz zu tun als vielmehr mit der Frage, welche Funktionalitäten die App hat und vor allem, wie sie in ein stimmiges Gesamtkonzept eingebunden worden ist. So soll die Corona-Warn-App erst im Laufe des Jahres 2021 mit einer Funktion nachgerüstet werden, die in geschlossenen Räumen Risikobegegnungen von Personen zutreffend erkennt. Letztlich hat es für die Nutzerinnen und Nutzer der App auch keine wirklich starken Anreize gegeben, die App nicht nur herunterzuladen, sondern auch tatsächlich zu nutzen.

Vergleicht man die Corona-Warn-App mit alternativen Lösungen (wie etwa der Luca-App oder der App "Darfichrein"), fällt das unterschiedliche Grundkonzept dieser technischen Hilfsmittel auf: Während die meisten Alternativlösungen gerade Risikobegegnungen erfassen und an die zuständigen Gesundheitsbehörden weiterleiten sollen, zielt die Corona-Warn-App der Bundesregierung darauf, die Gesundheitsämter davon zu entlasten, Risikokontakte zu ermitteln und (meist telefonisch) zu unterrichten.

Gleich welche Lösung in den Blick genommen wird: Apps sind stets lediglich technische Hilfsmittel. Ihr Erfolg hängt immer davon ab, wie sie in ein stimmiges Gesamtkonzept eingebunden werden. Dazu gehört immer ein Maß an Datenschutz, das vor einer Manipulation oder einem Missbrauch der erhobenen Daten hinreichend zuverlässig schützt.

1.1.4. Befreiung von der Pflicht zum Tragen einer Mund-Nasen-Bedeckung

Abstandsgebot und Maskenpflicht wurden mit der Vierten Bayerischen Infektionsschutzmaßnahmenverordnung vom 5. Mai 2020 (BayMBl. Nr. 240) ausdrücklich im bayerischen Infektionsschutzrecht etabliert. Aus datenschutzrechtlicher Sicht stellte sich damit auch die Frage, unter welchen Voraussetzungen Ausnahmen von der Pflicht zum Tragen einer Mund-Nasen-Bedeckung eingreifen. Auch diese Frage wurde in der Vierten Bayerischen Infektionsschutzmaßnahmenverordnung beantwortet. Unter anderem sah sie sinngemäß vor, dass Personen von der Pflicht zum Tragen einer Mund-Nasen-Bedeckung befreit sind, wenn sie glaubhaft machen können, dass ihnen das Tragen aufgrund einer Behinderung oder aus gesundheitlichen Gründen nicht möglich oder unzumutbar ist. Diese Bestimmung wurde in den nachfolgenden Infektionsschutzmaßnahmenverordnungen mehrfach geändert. Mitte April 2021 bestimmte § 1 Abs. 2 12. Bayerische Infektionsschutzmaßnahmenverordnung:

"1Soweit in dieser Verordnung die Verpflichtung vorgesehen ist, eine Mund-Nasen-Bedeckung zu tragen (Maskenpflicht) oder eine medizinische Gesichtsmaske zu tragen, gilt:

  1. Kinder sind bis zum sechsten Geburtstag von der Tragepflicht befreit;
  2. Personen, die glaubhaft machen können, dass ihnen das Tragen einer Mund-Nasen-Bedeckung aufgrund einer Behinderung oder aus gesundheitlichen Gründen nicht möglich oder unzumutbar ist, sind von der Trageverpflichtung befreit; die Glaubhaftmachung erfolgt bei gesundheitlichen Gründen insbesondere durch eine ärztliche Bescheinigung, die die fachlich-medizinische Beurteilung des Krankheitsbildes (Diagnose), den lateinischen Namen oder die Klassifizierung der Erkrankung nach ICD 10 sowie den Grund, warum sich hieraus eine Befreiung der Tragepflicht ergibt, enthält;
  3. das Abnehmen der Mund-Nasen-Bedeckung ist zulässig, solange es zu Identifikationszwecken oder zur Kommunikation mit Menschen mit Hörbehinderung oder aus sonstigen zwingenden Gründen erforderlich ist.

2Soweit in dieser Verordnung die Verpflichtung vorgesehen ist, eine FFP2-Maske oder eine Maske mit mindestens gleichwertigem genormten Standard zu tragen (FFP2-Maskenpflicht), gilt Satz 1 entsprechend mit der Maßgabe, dass Kinder zwischen dem sechsten und dem 15. Geburtstag nur eine Mund-Nasen-Bedeckung tragen müssen."

Vor allem im schulischen Bereich erreichten mich zu diesem Thema zahlreiche Anfragen und Beschwerden. Deshalb habe ich speziell die wichtigsten schuldatenschutzrechtlichen Fragen zur Befreiung von der Maskenpflicht im Rahmen einer Aktuellen Kurz-Information beantwortet. Die dort gegebenen Hinweise betreffen das Schulverhältnis an bayerischen öffentlichen Schulen, nicht jedoch andere Lebenssituationen, in denen eine Maskenpflicht zu beachten ist. Daher bleibt auch die Frage außer Betracht, ob und auf welche Weise Regelungen über Atteste zur Befreiung von einer Maskenpflicht zwischen dem öffentlichen und dem nichtöffentlichen Sektor differenzieren müssen.

1.1.5. Datenschutz und COVID-19-Pandemie in Deutschland und Europa

Auch der Europäische Datenschutzausschuss und die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) haben sich vielfach mit den datenschutzrechtlichen Auswirkungen der Pandemiebekämpfung befasst. Ich verweise beispielhaft auf die in Anlage 1 abgedruckte Entschließung der Datenschutzkonferenz vom 3. April 2020 zu den Datenschutz-Grundsätzen bei der Bewältigung der Corona-Pandemie. Zahlreiche weitere Fragen im Zusammenhang mit der Corona-Pandemie werden in einem Schwerpunktbeitrag "Datenschutzrechtliche Themen im Zusammenhang mit der COVID-19-Pandemie" (Nr. 3 in diesem Tätigkeitsbericht) sowie in einzelnen weiteren Beiträgen behandelt.

1.2. Verfolgung und Ahndung von Verkehrsordnungswidrigkeiten

Auch in diesem Berichtszeitraum betrafen wieder zahlreiche Beschwerden die Verarbeitung personenbezogener Daten im Rahmen der Verfolgung und Ahndung von Verkehrsordnungswidrigkeiten. Hierzu zählen unter anderem Parkverstöße im ruhenden und Geschwindigkeitsverstöße im fließenden Verkehr. Da das Thema nahezu alle Bürgerinnen und Bürger im Freistaats betrifft, habe ich einige bedeutsame datenschutzrechtliche Fragen in einem Schwerpunktbeitrag "Datenschutzrechtliche Themen im Zusammenhang mit Verkehrsordnungswidrigkeiten" (Nr. 2 in diesem Tätigkeitsbericht) zusammengefasst.

1.3. Microsoft-Produkte und Datenschutz

Nahezu alle bayerischen öffentlichen Stellen setzen bei der Datenverarbeitung Produkte von Microsoft ein. Auch vor dem Hintergrund, dass am 14. Januar 2020 der Produktsupport für Windows 7 endete, wurde insbesondere vielfach die Beratungsfrage an mich gerichtet, inwieweit der Einsatz von Windows 10 und Microsoft 365 im Einklang mit datenschutzrechtlichen Anforderungen zu bringen ist.

Mir erschien es allerdings wenig sinnvoll, dass ich als bayerische Datenschutz-Aufsichtsbehörde im Alleingang die zu beachtenden Datenschutzanforderungen für Microsoft-Anwendungen definiere. Zielführender ist hier die Entwicklung von deutschen, besser noch von gesamteuropäischen Datenschutzstandards. Auch wenn es zwischenzeitlich zu Meinungsverschiedenheiten in Detailfragen kam: Nach meiner Einschätzung verfolgen alle Datenschutz-Aufsichtsbehörden des Bundes und der Länder grundsätzlich einvernehmlich das Ziel, im Rahmen eines intensiven Dialogs mit dem Anbieter zu technischen und rechtlichen Verbesserungen des Datenschutzniveaus zu kommen. Insoweit verweise ich beispielhaft auf einen Beschluss, den die Datenschutzkonferenz am 26. November 2020 zu Telemetriefunktionen und Datenschutz beim Einsatz von Windows 10 Enterprise gefasst hat. In Bezug auf Microsoft 365 wurde eine Taskforce eingerichtet, die Verhandlungen mit dem Anbieter mit dem Ziel aufnehmen soll, nachhaltige datenschutzrechtliche Verbesserungen zu erreichen. Dabei ist auch der Umstand in den Blick zu nehmen, dass Microsoft personenbezogene Daten in Drittländer ohne angemessenes Datenschutzniveau transferiert. Auf diese Problematik geht dieser Tätigkeitsbericht allgemein unter Nr. 11.2 ein.

Spezielle datenschutzrechtliche Fragen ergaben sich im Hinblick auf den Einsatz der Anwendung Microsoft Teams insbesondere an bayerischen Schulen. Bei Microsoft Teams handelt es sich um einen Bestandteil verschiedener Microsoft 365-Angebote. Unter anderem wegen der angedeuteten Problematiken im Zusammenhang mit der Telemetriefunktion sowie von Drittlandtransfers stand ich allerdings mit dem Bayerischen Staatsministerium für Unterricht und Kultus im intensiven Kontakt, um die im Zusammenhang mit Microsoft Teams bestehenden rechtlichen Unsicherheiten zu klären.

Erfreulicherweise hat das Kultusministerium im Sommer 2020 entschieden, die bayerische Bildungsplattform mebis durch ein nachhaltig datenschutzkonformes Kommunikationswerkzeug zu ergänzen. Ein bereits laufendes Ausschreibungsverfahren war im Berichtszeitraum noch nicht abgeschlossen. Es zeichnete sich jedoch bereits ab, dass das Kultusministerium den Schulen im Laufe des Jahres 2021 ein solches Kommunikationswerkzeug anbieten kann.

Bis dahin gilt: Ungeachtet der gesetzlichen Verarbeitungsbefugnisse der Schule gemäß Art. 85 Abs. 1 Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) in Verbindung mit § 19 Abs. 4 Bayerische Schulordnung (BaySchO) und § 46 Abs. 1 BaySchO in Verbindung mit Anlage 2 Abschnitt 7 zur BaySchO kommt der Einsatz des Videokonferenzwerkzeugs Microsoft Teams aufgrund hierzu bestehender, offener datenschutzrechtlicher Fragen nur aufgrund einer wirksamen datenschutzrechtlichen Einwilligung der betroffenen Personen in Betracht. Unter dieser Voraussetzung trete ich vor dem Hintergrund der COVID-19-Pandemie dem vorübergehenden Einsatz von Microsoft Teams an öffentlichen Schulen derzeit nicht entgegen.

Die Freiwilligkeit der Einwilligung der Betroffenen ist durch echte Alternativangebote sicherzustellen. In Betracht kommt zum Beispiel die Zuschaltung per Telefon oder eine weitgehende anonyme Nutzung. Eine solche anonyme Nutzung kann insbesondere erreicht werden, indem die Schule

  • "anonyme" Konten (das heißt ohne Namensbestandteile in der Kennung oder in sonstigen Nutzerdaten) oder
  • als Endgerät ein schulisches Leihgerät

zur Verfügung stellt.

Datenschutzrechtliche Fragen zur Regelung des Distanzunterrichts werden in diesem Tätigkeitsbericht unter Nr. 10.1.2 behandelt. Allgemeine technisch-organisatorische Hinweise zum Einsatz von Videokonferenzsystemen sind dem Beitrag Nr. 12.4 zu entnehmen.

1.4. Schlussbemerkung

Die nachfolgenden Beiträge geben einen Überblick über die Tätigkeit meiner Behörde im Jahr 2020. Sie zeigen, dass ich auch außerhalb des Themenkreises "Datenschutz in der COVID-19-Pandemie" zahlreiche Gesetzgebungsverfahren begleiten konnte. Das Aufkommen an behördlichen Beratungsanfragen, an Beschwerden wie auch an Meldungen von Datensicherheitsverletzungen ist unvermindert hoch, sodass ich insofern nur eine kleine Zahl von Fällen auswählen konnte. Ich hoffe, dass meine Hinweise den bayerischen öffentlichen Stellen dabei helfen, ihrer datenschutzrechtlichen Verantwortung noch besser gerecht zu werden, als dies drei Jahre nach dem Geltungsbeginn der Datenschutz-Grundverordnung vielerorts in Bayern ohnehin schon der Fall ist.

  1. Bayerischer Landesbeauftragter für den Datenschutz, Befreiung von der Maskenpflicht an bayerischen öffentlichen Schulen, Aktuelle Kurz-Information 33, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Aktuelle Kurz-Informationen“. [Zurück]
  2. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Telemetriefunktionen und Datenschutz beim Einsatz von Windows 10 Enterprise, Beschluss vom 26. November 2020, Internet: https://www.datenschutz-bayern.de, Rubrik „Konferenzen“. [Zurück]