≡ Sitemap

Pressemitteilung

des Bayerischen Landesbeauftragten für den Datenschutz


17.09.2024

Veröffentlichung des 33. Tätigkeitsberichts 2023

Der Bayerische Landesbeauftragte für den Datenschutz stellt Ergebnisse seiner Arbeit im Jahr 2023 vor

Datenschutz schafft Vertrauen. Das gilt gerade auch für digitalisierte Verwaltungsprodukte - erst recht, wenn sie unter Einsatz Künstlicher Intelligenz hergestellt werden. Bayerische öffentliche Stellen sollten dies bereits bei der Planung von Angeboten, spätestens aber bei der Beschaffung der nötigen IT-Unterstützung bedenken. Alle schönen neuen Projekte können nämlich nur dann zum - auch politischen - Erfolg werden, wenn sie bei den Verwaltungskundinnen und Verwaltungskunden Akzeptanz finden. Dafür müssen sie einfach zu handhaben, sicher und eben vertrauenswürdig sein - dies insbesondere mit Blick auf die für das Datenschutzrecht zentrale Frage der Zweckbindung. Ob die Gesetzgeber die rechtlichen Rahmenbedingungen gegenwärtig in eine zielführende Richtung fortentwickeln, erscheint gerade bei dem auszumachenden Trend weg von Einwilligungs- und hin zu Widerspruchslösungen bereits als fraglich, bei der KI-Regulierung vor den nationalen Umsetzungsleistungen noch als offen. In meinem 33. Tätigkeitsbericht 2023 kann ich diese grundlegenden datenschutzpolitischen Fragen gleichwohl nur abstrakt ansprechen (Beiträge Nr. 1.1.2 und 1.2), ist der aufsichtsbehördliche Alltag doch weithin von gegenständlicheren Problemen geprägt.

Die Schwerpunkte meines Tätigkeitsberichts bilden auch im Jahr 2023 die Beratung in Gesetzgebungsverfahren auf der Landesebene, Beiträge zu Anfragen bayerischer öffentlicher Stellen sowie Erkenntnisse, die ich bei der Bearbeitung von Bürgerbeschwerden gewinnen konnte. Dabei gilt nicht der Grundsatz "ein Fall - ein Beitrag". Nur vergleichsweise wenige Arbeitsergebnisse "schaffen es" in den Tätigkeitsbericht - vorzugsweise solche, die prägend für meine Arbeit waren und über den Einzelfall hinaus für das Verständnis, auch die Beachtung datenschutzrechtlicher Rahmenbedingungen des Verwaltungshandelns hilfreich sein können. Dabei steht der Tätigkeitsbericht in einem engen Verbund mit meinen rein digitalen Veröffentlichungen, im Berichtsjahr insbesondere zwei "großen", in Bayern und über die Landesgrenzen hinaus rezipierten Orientierungshilfen (Beitrag Nr. 2.1).

Im allgemeinen Datenschutzrecht habe ich mich etwa mit der grundsätzlichen Frage des Personenbezugs sowie den Folgen des Angemessenheitsbeschlusses zum EU-U. S. Data Privacy Framework für Verantwortliche des bayerischen öffentlichen Sektors auseinandergesetzt (Beiträge Nr. 2.2 und 2.7). Hinweise zu Datenpannen bei der Excel-Nutzung, zum Umgang mit der Windows-Telemetriekomponente sowie mit der automatischen Rechtschreibkorrektur bei Webbrowsern sollen dabei helfen, den Büroalltag in bayerischen Verwaltungen datenschutzkonform zu gestalten (Beiträge Nr. 2.4 bis 2.6).

Im Bereich der Polizei habe ich mich intensiv mit Fragen der Löschung in der Vorgangsverwaltung IGVP sowie im Fallbearbeitungssystem EASy befasst, dies im Rahmen einer Stellungnahme gegenüber dem Untersuchungsausschuss "NSU II" des Bayerischen Landtags (Beiträge Nr. 3.1 und 3.2). Ich habe mehrere polizeiliche Videoüberwachungen überprüft (Beitrag Nr. 3.4) und konnte zudem feststellen, dass die Postsicherstellung nach Art. 35 Polizeiaufgabengesetz in der Praxis erfreulich selten angeordnet wird (Beitrag Nr. 3.6). Bei der Anwendung der noch neuen Regelungen zu polizeilichen Zuverlässigkeitsüberprüfungen aus Anlass von Großveranstaltungen sowie der Bestimmungen zur Lichtbildanforderung nach Verkehrsordnungswidrigkeiten konnte ich auf eine grundrechtsschonende Handhabung hinwirken (Beiträge Nr. 3.7 und 3.8).

Was die Allgemeine Innere Verwaltung betrifft, habe ich die jüngste Kommunalrechtsnovelle kritisch begleitet. Bei den neuen Vorschriften für das Streaming von Bürgerversammlungen sowie von Gremiensitzungen konnte ich in konstruktiver Zusammenarbeit mit dem Bayerischen Staatsministerium des Innern, für Sport und Integration klare datenschutzrechtliche Verbesserungen erreichen (Beiträge Nr. 4.4.1 und 4.4.2). Dagegen ist es mir leider nicht gelungen, die Abschaffung der erst vor wenigen Jahren gefundenen, deutschlandweit vorbildlichen bayerischen Regelung zum Einsatz elektronischer Wasserzähler zu verhindern (Beitrag Nr. 4.4.4). Beschäftigt haben mich daneben viele kleinere datenschutzrechtliche Fragen wie etwa die automatisierte Kennzeichenerfassung beim Kameraparken (Beitrag Nr. 4.7) oder das öffentliche "Hinhängen" einer kritischen Bürgerin in einer Gemeinderatssitzung (Beitrag Nr. 4.3).

Da die Datenschutzaufsicht auch die Verarbeitung personenbezogener Daten in öffentlichen Registern erfasst, kann ich die Einhaltung zahlreicher Vorgaben des Melderechts sowie des Fahrzeugregisterrechts überprüfen. So habe ich nicht nur die Nutzung des Melderegisters für die Einladung zum Kinderfest einer politischen Partei förmlich beanstandet (Beitrag Nr. 5.1), sondern auch festgestellt, dass eine bayerische Metropole nicht berechtigt war, das Fahrzeugregister als "Adressquelle" zu verwenden, um Halter von Kraftfahrzeugen mit Dieselmotor über mögliche Fahrverbote zu informieren (Beitrag Nr. 5.2).

Im Sozial- und Gesundheitsbereich hatte mein Einsatz für ein uneingeschränktes Widerspruchsrecht von Patientinnen und Patienten gegen dauerhafte Speicherungen im Bayerischen Krebsregister endlich Erfolg (Beitrag Nr. 6.1). Der Prüfungs- und Beratungsalltag bot mir etwa Gelegenheit, einem wohl systemischen Mangel bei Einwilligungsformularen entgegenzuwirken (Beitrag Nr. 6.2) oder die Anforderung von Wundverlaufsprotokollen durch Krankenkassen kritisch zu würdigen (Beitrag Nr. 6.3). Im Zusammenhang mit der Masernimpfpflicht beschäftigten mich nochmals datenschutzrechtliche Fragen bei Kontraindikationsattesten (Beitrag Nr. 6.5).

Vielschichtig waren im Jahr 2023 die Fragestellungen, die ich im Personaldatenschutz zu bewältigen hatte. Bei der Begleitung von dienstrechtlichen Gesetzgebungsverfahren etwa hatten nun endlich meine Bemühungen Erfolg, ein Mitbestimmungsrecht des Personalrats bei der Benennung und Abberufung des behördlichen Datenschutzbeauftragten (Beitrag Nr. 7.9.1) sowie datenschutzgerechte Vorgaben für die Übermittlung von Untersuchungs- oder Beobachtungsbefunden im Rahmen der Unfallfürsorge (Beitrag Nr. 7.2.1) zu etablieren. Zu einer Art datenschutzrechtlichem Vexierspiel entwickelte sich das Störfallmanagement des 2023 eingeführten Dienstradprogramms "JobBike Bayern". Auch hier konnten schließlich praktikable, gleichwohl datenschutzkonforme Lösungen gefunden werden (Beitrag Nr. 7.8). Meine Prüfungs- und Beratungstätigkeit gab ferner Anlass, die Rahmenbedingungen für den Umgang mit den Kontaktdaten von Beschäftigten fortzuentwickeln (Beitrag Nr. 7.5). Bei der "Stufenvorweggewährung", einem tarifrechtlichen Instrument zur Bindung qualifizierter Fachkräfte, konnte die konsequente Anwendung von Datenschutzrecht sogar zu einer Verwaltungsvereinfachung beitragen (Beitrag Nr. 7.7).

Verbesserungen des Datenschutzes bei Schulen und Hochschulen konnte ich in gleich zwei Gesetzen erreichen: In das Bayerische Gesetz über das Erziehungs- und Unterrichtswesen fand ein voraussetzungsloses Widerspruchsrecht in Bezug auf Datenübermittlungen von Schulen an die Agenturen für Arbeit Aufnahme (Beitrag Nr. 8.1.1); im Bayerischen Schulfinanzierungsgesetz wurde die Zweckbindung von Schülerdaten bei der Abrechnung von Gastschulbeiträgen gestärkt (Beitrag Nr. 8.1.2). Im Zusammenhang mit der Masernimpfpflicht beschäftigten mich mehrmals Beschwerden, die Weitergaben ärztlicher Atteste von Schulen an Gesundheitsämter betrafen (Beitrag Nr. 8.2). Bei der Datenschutzaufsicht gegenüber den Hochschulen war das Recht auf Kopie im Prüfungskontext ein wichtiges Thema (Beitrag Nr. 8.4). Eine eher originelle Eingabe legte einen datenschutzrechtlichen Anfängerfehler offen - begangen ausgerechnet vom Dozenten eines Datenschutzkurses (Beitrag Nr. 8.5).

Meine Prüfungs- und Beratungspraxis erfasst auch das im Bayerischen Datenschutzgesetz geregelte Informationszugangsrecht (Art. 39 BayDSG). Ich habe in einem Überblicksbeitrag einige Erkenntnisse aus Einzelfällen zusammengestellt, mit denen ich im Lauf des Berichtsjahres zu tun hatte (Beitrag Nr. 10.3). Recht arbeitsintensiv war ein Fall, in welchem ein privater Verein mit Hilfe von Art. 39 BayDSG eine Erhebung bei bayerischen Kommunen durchzuführen suchte. Eine Vielzahl von Gemeinden war hier nicht umfassend kooperationsbereit, und es bedurfte einiger Mühe, den Verein bei seinem Anliegen zu unterstützen (Beitrag Nr. 10.2).

Interessante Fragen des technisch-organisatorischen Datenschutzes stellten sich in der Folge eines ursprünglich zu Unterrichtszwecken durchgeführten Penetrationstests im pädagogischen Netzwerk einer bayerischen öffentlichen Schule. Hier hatte ein Schüler Sicherheitslücken entdeckt, war aber zunächst nur gemaßregelt worden. Im weiteren Verlauf nutzte er das erworbene Wissen ohne pädagogische Aufsicht zu einem größer angelegten Angriff. Ich habe den bayerischen öffentlichen Stellen nun einige Hinweise zum proaktiven Umgang mit den Ergebnissen unerbetener Pentests gegeben (Beitrag Nr. 11.3). Weiterhin hatte ich mich beispielsweise mit der datenschutzgerechten Gestaltung von Bürgerbüros (Beitrag Nr. 11.7), mit der Nutzung nicht dienstlich administrierter E-Mail-Accounts im dienstlichen Kontext (Beitrag Nr. 11.1) oder mit dem Verlust einer Patientenakte (Beitrag Nr. 11.8) zu befassen. Ich habe zahlreiche Verantwortliche zu Datenschutz-Folgenabschätzungen beraten (Beitrag Nr. 11.4) und mich intensiv an der Gremienarbeit zur Anonymisierung und Pseudonymisierung sowie zum KI-Einsatz in der medizinischen Forschung beteiligt (Beitrag Nr. 11.12). Über den Berichtszeitraum gingen bei mir erwartungsgemäß wieder hunderte Meldungen von Datenpannen ein, denen nachzugehen war (Beitrag Nr. 11.9). Gegen ein bayerisches öffentliches Krankenhaus musste ich eine Anordnung nach Art. 58 Abs. 2 DSGVO mit dem Ziel erlassen, dort ein gesetzmäßiges Rollen- und Berechtigungskonzept zu implementieren (Beitrag Nr. 11.11).

Schließlich kann ich über einen recht grundsätzlichen Fall berichten, der das Verhältnis von gesamtverantwortlichen Stellen und Datenschutz-Aufsichtsbehörde betraf (Beitrag Nr. 4.2). In diesem Fall hatte ein Fachreferat eines Staatsministeriums in einem Förderbescheid versucht, die für ein IT-Projekt zu gewährenden Leistungen an eine Unbedenklichkeitsbescheinigung des Landesbeauftragten zu binden. Eine solche Vorgehensweise ist mit der völligen Unabhängigkeit der Datenschutz-Aufsichtsbehörden nicht in Einklang zu bringen. Auf meinen Widerstand hin hat die Behördenleitung des Staatsministeriums den Versuch einer ungesetzlichen Arbeitserleichterung ohne weitere Diskussion unterbunden. Die zügige und eindeutige Reaktion hat mein Vertrauen, dass die bayerische Verwaltung den datenschutzrechtlichen Handlungsrahmen insgesamt ernst nimmt, durchaus gestärkt.

Der 33. Tätigkeitsbericht steht ab Dienstag, den 17. September 2024 um 11:00 Uhr auf meiner Homepage https://www.datenschutz-bayern.de in der Rubrik "Tätigkeitsberichte" zum Abruf bereit. Unter "Broschürenbestellung" kann die gedruckte Fassung bezogen werden. Der Tätigkeitsbericht ist in allen Versionen kostenfrei.

Interessierten Journalistinnen und Journalisten stehe ich gerne für Interviews und Anfragen zur Verfügung. Zur Vereinbarung eines Termins wenden Sie sich bitte an mein Vorzimmer (Telefon: 089 212672-12, E-Mail: vorzimmer@datenschutz-bayern.de).

Prof. Dr. Thomas Petri

Hinweis:

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.