Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.01.2017

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

1. Überblick

1.1. Europa

1.1.1. In Vielfalt geeint? Zur erfolgten Teilreform des EU-Datenschutzrechts

Der Philosoph Gottfried Wilhelm Leibniz soll seine Lehre von einer Universalharmonie mit dem Satz "Unitas in multitudine" - Einheit in der Vielheit - zusammengefasst haben. Danach wird die Welt durch das Zusammenwirken unendlich vieler Krafteinheiten (Monaden) zusammengehalten.

Im Jahr 2003 schlug der Europäische Konvent zur Zukunft Europas den Entwurf eines Vertrags über eine Verfassung für Europa vor. In der Präambel heißt es:

"In der Gewissheit, dass Europa, "in Vielfalt geeint", ihnen die besten Möglichkeiten bietet, unter Wahrung der Rechte des Einzelnen und im Bewusstsein ihrer Verantwortung gegenüber den künftigen Generationen und der Erde dieses große Abenteuer fortzusetzen, das einen Raum eröffnet, in dem sich die Hoffnung der Menschen entfalten kann".

Der Leitspruch "In Vielfalt geeint" ist heute noch ein offizielles Symbol der Europäischen Union. Gemäß der offiziellen Webseite der Europäischen Union (www.europa.eu (externer Link)) soll er zum Ausdruck bringen, dass sich die Mitgliedstaaten in der Europäischen Union zusammengeschlossen haben, um sich gemeinsam für Frieden und Wohlstand einzusetzen, und dass die vielen verschiedenen Kulturen, Traditionen und Sprachen in Europa den gesamten Kontinent bereichern. Unverkennbar klingt dabei der Leibniz´sche Grundgedanke eines harmonischen Zusammenwirkens eigenständiger Bestandteile zum Wohle der Gesamtheit an.

Freilich klaffen Anspruch und Wirklichkeit oft weit auseinander. Das formelle Gesetzgebungsverfahren zur Teilreform des europäischen Datenschutzrechtsrahmens etwa hat trotz umfassender Vorbereitung über vier Jahre in Anspruch genommen (siehe zuletzt meinen 26. Tätigkeitsbericht 2014 unter Nr. 1.2). Nach diesem mehrjährigen Ringen haben die drei Gesetzgebungsorgane der Europäischen Union - Kommission, Parlament und Rat - nun endlich die ersten beiden Schritte einer grundlegenden Reform des Datenschutz-Rechtsrahmens erfolgreich vollzogen. Am 27. April 2016 haben das Europäische Parlament und der Rat eine Datenschutz-Grundverordnung und eine Richtlinie über den Datenschutz der Strafjustiz erlassen, die nun im Amtsblatt der Europäischen Union vom 4. Mai 2016 (L 119) veröffentlicht sind.

1.1.1.1. Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO, "Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung") soll die bisher geltende allgemeine Datenschutzrichtlinie 95/46/EG ersetzen.

Nach Art. 288 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) haben Verordnungen grundsätzlich allgemeine und verbindliche Geltung. Sie gelten in den Mitgliedstaaten unmittelbar. Als "Grundverordnung" sieht die Datenschutz-Grundverordnung allerdings zahlreiche Klauseln vor, die den mitgliedstaatlichen Gesetzgebern gewisse Gestaltungsmöglichkeiten eröffnen und auch einige Regelungsaufträge erteilen. Insbesondere haben nach Art. 6 Abs. 3 Satz 1, Abs. 1 Buchst. e) DSGVO die Union oder die Mitgliedstaaten die Rechtsgrundlagen für Verarbeitungen zu regeln, die zur Wahrnehmung von Aufgaben erforderlich sind, die im öffentlichen Interesse liegen oder zur Ausübung öffentlicher Gewalt erfolgen. Entsprechendes gilt für die Verarbeitung zur Erfüllung von rechtlichen Verpflichtungen, Art. 6 Abs. 3 Satz 1, Abs. 1 Buchst. c) DSGVO.

Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  1. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  2. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

(3) Die Rechtsgrundlage für die Verarbeitungen nach Absatz 1 Buchstaben c und e wird festgelegt durch

  1. Unionsrecht oder
  2. das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Ähnlich wie die allgemeine Datenschutzrichtlinie 95/46/EG soll die Datenschutz-Grundverordnung die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung und der Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten harmonisieren (Erwägungsgrund 3 DSGVO). Entsprechend der gefestigten Rechtsprechung des Europäischen Gerichtshofs (EuGH) soll diese Harmonisierung der mitgliedstaatlichen Rechtsvorschriften nicht auf eine Mindestharmonisierung beschränkt sein, sondern - auf hohem Datenschutzniveau - zu einer grundsätzlich umfassenden Harmonisierung führen. Mit anderen Worten beschreibt die Datenschutz-Grundverordnung sowohl das Mindestschutzniveau als auch die Schutzobergrenze des Datenschutzes (vgl. etwa EuGH, Urteil vom 24. November 2011 - Rechtssache C-468, 469/10 - ASNEF, Abs. 28-30, Urteil vom 6. November 2003 - Rechtssache C-101/01 - Lindquist, Abs. 95, 96).

Die Datenschutz-Grundverordnung wird ab 25. Mai 2018 in den EU-Mitgliedstaaten und damit auch im Freistaat Bayern unmittelbar und allgemein gelten. Bis zu diesem Zeitpunkt müssen die mitgliedstaatlichen Gesetzgeber - also auch der Bund und der Freistaat Bayern - ihre jeweilige Rechtsordnung an die Vorgaben der Datenschutz-Grundverordnung anpassen. Angesichts der zahlreichen Öffnungsklauseln in der Datenschutz-Grundverordnung ist der zur Verfügung stehende Zeitraum knapp bemessen. Zur Unterstützung des bayerischen Gesetzgebers habe ich deshalb Empfehlungen zur Anpassung der allgemeinen Datenschutzvorschriften an die Datenschutz-Grundverordnung erarbeitet, die ich der Bayerischen Staatsregierung und der Datenschutzkommission beim Bayerischen Landtag zugeleitet habe. Diese Empfehlungen sind auf meiner Webseite https://www.datenschutz-bayern.de veröffentlicht.

Auch die 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 6./7. April 2016 hat sich mit der Verabschiedung der Datenschutz-Grundverordnung befasst. Sie hat an die deutschen Gesetzgeber appelliert, die durch die Öffnungsklauseln bestehenden Gestaltungsspielräume im Sinne eines effektiven Grundrechtsschutzes zu nutzen.

Entschließung der 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder am 06./07.04.2016

Stärkung des Datenschutzes in Europa - nationale Spielräume nutzen

Nach vier Jahren intensiver Diskussion ist der Text der Europäischen Datenschutz-Grundverordnung nun zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union abgestimmt. Mit der Grundverordnung verfügt die EU über ein weiterentwickeltes, einheitliches Datenschutzrecht, das für Unternehmen und Behörden in Deutschland weitgehend Kontinuität gewährleistet. Überall in Europa soll künftig dasselbe Schutzniveau für das Grundrecht auf Datenschutz gelten. Ebenso wird feststehen, dass sich auch außereuropäische Anbieter, die ihre Waren und Dienstleistungen auf dem europäischen Markt anbieten, an das europäische Datenschutzrecht halten müssen.

Wichtige datenschutzrechtliche Prinzipien wie der Grundsatz des Verbots mit Erlaubnisvorbehalt, der Zweckbindungsgrundsatz und der Grundsatz der Datensparsamkeit sind in den Verhandlungen weitgehend erhalten geblieben.

Nach der Einschätzung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder ist es allerdings zur Erhaltung und Verstärkung des bestehenden Datenschutzniveaus auch im Lichte der jüngeren Entscheidungen des Europäischen Gerichtshofs geboten, die in der Grundverordnung enthaltenen Öffnungs- und Konkretisierungsklauseln zu Gunsten des Rechts auf informationelle Selbstbestimmung zu nutzen. Auch die von der Grundverordnung getroffenen Weiterentwicklungen des Datenschutzes wie beispielsweise die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sowie das Erfordernis von Datenschutz-Folgeabschätzungen müssen wirksam ausgestaltet werden. Die Konferenz fordert deshalb Bundes- und Landesgesetzgeber auf, in allen gesetzgeberischen Bereichen die nationalen Spielräume im Sinne des Grundrechts auf informationelle Selbstbestimmung zu nutzen.

Insbesondere folgenden Regelungen kommt in diesem Zusammenhang hohe Bedeutung zu:

  • Schaffung eines Beschäftigtendatenschutzgesetzes, mindestens jedoch Beibehaltung der §§ 3 Abs. 11, 32 BDSG (Art. 88 i.V.m. Erwägungsgrund [EG] 155),
  • Beschränkungen für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten (Art. 9 Abs. 4 i.V.m. EG 53, letzte beide Sätze),
  • Stärkung der Befugnisse der Aufsichtsbehörden, insbesondere Schaffung von Klagebefugnissen und effektiven Sanktionen auch gegenüber Behörden (Art. 58 und 83 Abs. 7 i.V.m. EG 150, vorletzter Satz),
  • jedenfalls im öffentlichen Bereich durch die Nennung der Schutzziele Datensparsamkeit, Vertraulichkeit, Integrität, Verfügbarkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit, um einen einfachen, flexiblen und praxistauglichen technischen und organisatorischen Datenschutz zu konkretisieren (Art. 6 Abs. 2, 25, 32),
  • Begrenzung der Zweckänderung bei Videoüberwachung öffentlich zugänglicher Räume durch Private, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist (Art. 6 Abs. 4),
  • Beibehaltung der Verpflichtung in § 4f Abs. 1 BDSG einen betrieblichen Datenschutzbeauftragten zu bestellen(Art. 37 Abs. 4).

1.1.1.2. Richtlinie für den Datenschutz der Strafjustiz

Bislang regelt das Recht der Europäischen Union die Verarbeitung personenbezogener Daten zu strafjustiziellen Zwecken nicht umfassend. Neben vielen Einzelrechtsakten zur Errichtung und zu Kompetenzen spezieller Institutionen (wie etwa Europol und Eurojust) und zu Verfahren (wie Schengen-Kodex oder Visa-Kodex) regelt bislang der Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 lediglich den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden. Er betrifft damit die grenzüberschreitende kriminalpolizeiliche und strafjustizielle Verarbeitung personenbezogener Daten.

Demgegenüber betrifft die Richtlinie für den Datenschutz der Strafjustiz (RLDSJ, "Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates") auch die rein innerstaatliche strafjustizielle Datenverarbeitung.

Auch diese Richtlinie dient der Harmonisierung der strafjustiziellen Verarbeitung. So sollen die Mitgliedstaaten sicherstellen, dass der legale Austausch personenbezogener Daten zwischen den zuständigen Strafverfolgungsbehörden in der Union nicht aus Datenschutzgründen eingeschränkt oder verboten wird. Die Vorgabe soll sicherstellen, dass die Anfrage einer zuständigen Behörde nicht nur deshalb nicht beantwortet wird, weil sie nicht von einer inländischen zuständigen Behörde gestellt worden ist.

Allerdings verlangt die Richtlinie für den Datenschutz der Strafjustiz - anders wie die Datenschutz-Grundverordnung - lediglich die Herstellung eines Mindestdatenschutzniveaus.

Art. 1 RLDSJ Gegenstand und Ziele

(3) Diese Richtlinie hindert die Mitgliedstaaten nicht daran, zum Schutz der Rechte und Freiheiten der betroffenen Person bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden Garantien festzulegen, die strenger sind als die Garantien dieser Richtlinie.

Die Mitgliedstaaten haben bis zum 6. Mai 2018 die Rechts- und Verwaltungsvorschriften zu veröffentlichen, die zur Umsetzung der Richtlinie erforderlich sind. Auch hierzu beabsichtige ich, unter Berücksichtigung etwaiger Stellungnahmen der Datenschutzkonferenz Empfehlungen zu erarbeiten, die ich den zuständigen Staatsministerien zuleiten werde.

1.1.1.3. Wesentliche Neuerungen

Wer die Vorschriften über die Grundsätze in der Datenschutz-Grundverordnung mit den Vorgängervorschriften vergleicht, stellt fest: Der Gesetzgeber der Europäischen Union hat im Wesentlichen lediglich bereits bekannte und anerkannte Grundsätze weiterentwickelt und ergänzt. In Art. 6 der Richtlinie 95/46/EG gibt es bereits die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Zweckbindung, der Datenminimierung, der Richtigkeit und der Speicherbegrenzung. Die nun hinzugetretenen Prinzipien der Transparenz, der Integrität und Vertraulichkeit sowie der Rechenschaftspflicht des Verantwortlichen sind in Art. 5 der Richtlinie 95/46/EG zwar noch nicht ausdrücklich benannt, gleichwohl in anderen Vorschriften der Richtlinie bereits angelegt. Immerhin wertet der Verordnungsgeber sie durch die Aufnahme in die Liste der Verarbeitungsgrundsätze deutlich auf. Neuerungen bei den Grundsätzen sind also überschaubar. Nennenswert sind beispielsweise der gesteigerte Schutz von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung sowie Daten der sexuellen Orientierung einer natürlichen Person. Besonders begrüße ich, dass die Datenschutz-Grundverordnung - mehr als bisherige Datenschutzrechtsakte - den Schutz von Minderjährigen im Blick hat.

Wesentliche Änderungen betreffen also weniger Verarbeitungsgrundsätze, als vielmehr die Betroffenenrechte, Vorgaben an Technik und Verfahren sowie die Datenschutzaufsicht.

Die Betroffenenrechte werden durch das Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit ausgebaut.

Das Recht auf Vergessenwerden betrifft insbesondere Fälle, in denen die für die Verarbeitung Verantwortlichen personenbezogene Daten veröffentlicht haben. Machen betroffene Personen Löschansprüche geltend, müssen solche Verantwortlichen im zumutbaren Umfang dafür sorgen, dass auch die Datenempfänger von dem jeweiligen Löschanspruch erfahren. Letztlich passt das Recht auf Vergessenwerden also Löschansprüche von betroffenen Personen an die arbeitsteilige digitale Verarbeitungswelt an.

Das Recht auf Datenübertragbarkeit soll insbesondere Nutzerinnen und Nutzern von Sozialen Netzwerken die Datenhoheit über ihre Daten sichern. Verantwortliche Sozialer Netzwerke sollen verpflichtet werden, interoperable Datenformate einzusetzen. Wechselt eine Nutzerin oder ein Nutzer ein Soziales Netzwerk, soll sie oder er die eigenen Daten "mitnehmen" können. Auf diese Weise soll die Abhängigkeit einer betroffenen Person von einem ganz bestimmten Dienst vermindert werden.

Was den technisch-organisatorischen Datenschutz anbelangt, werden die bisherigen Regelungen jetzt unter anderem durch Vorschriften zum Datenschutz durch Technikgestaltung (Art. 25 DSGVO), durch Meldepflichten bei Datenschutzverletzungen (Art. 33 DSGVO) sowie zur Sicherheit der Verarbeitung (Art. 32 DSGVO) ausgebaut.

Einen besonderen Schwerpunkt legt die Datenschutz-Grundverordnung schließlich auf den Ausbau der Kompetenzen der unabhängigen Datenschutzaufsichtsbehörden. Durch diesen Ausbau von Befugnissen werde ich als Landesbeauftragter für den Datenschutz zu einer Datenschutzaufsichtsbehörde mit entsprechenden Weisungs- und Verbotsbefugnissen umgestaltet. Zugleich werden die Datenschutzaufsichtsbehörden zur engen Kooperation mit den Aufsichtsbehörden anderer Mitgliedstaaten verpflichtet, die vor Allem im Rahmen eines Europäischen Datenschutzausschusses erfolgen soll.

1.1.1.4. Anpassung der allgemeinen Datenschutzgesetze des Bundes und des Freistaats Bayern an das neue europäische Datenschutzrecht

Die nachhaltige Umgestaltung der deutschen Datenschutzkontrolle wirft gewichtige Fragen auf. Wenn zentrale Datenschutzfragen künftig auf europäischer Ebene vom Europäischen Datenschutzausschuss beantworten werden sollen - wie entwickeln die deutschen Datenschutzbehörden eine einheitliche Verhandlungsposition? Wer vertritt die Datenschutzbehörden im Ausschuss und welchen innerstaatlichen Vorgaben unterliegt diese Vertretung? Unter anderem solche Fragen soll ein "Allgemeines Bundesdatenschutzgesetz" beantworten, das das bisherige Bundesdatenschutzgesetz ablösen soll.

Zur Änderung des Bayerischen Datenschutzgesetzes hat das im Freistaat Bayern federführende Staatsministerium des Innern, für Bau und Verkehr angekündigt, einen ersten Regelungsentwurf im Frühjahr 2017 vorzulegen. Angesichts der bisher sehr konstruktiven Zusammenarbeit während des EU-Datenschutzreformprozesses gehe ich davon aus, dass meine Empfehlungen zur Anpassung des allgemeinen Datenschutzrechts an die Datenschutz-Grundverordnung (siehe Nr. 1.1.1.1) bei der Ausgestaltung des künftigen Bayerischen Datenschutzgesetzes angemessen berücksichtigt werden. Beide Gesetzesvorhaben werde ich kritisch und aufmerksam begleiten.

1.1.2. Geplante weitere EU-Reformen: Datenschutzverordnung 2001/45/EG und E-Privacy-Richtlinie

Mit dem Inkrafttreten der Datenschutz-Grundverordnung und der Richtlinie für den Datenschutz der Strafjustiz ist der europäische Datenschutzreformprozess noch nicht abgeschlossen. Der Datenschutz von EU-Institutionen etwa wird durch eine Datenschutzverordnung aus dem Jahr 2001 geregelt. Diese Verordnung soll mittelfristig an die Vorgaben der Datenschutz-Grundverordnung angepasst werden.

Erwägungsgrund 17 DSGVO

Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates gilt für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, sollten an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst und im Lichte der vorliegenden Verordnung angewandt werden. Um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten, sollten die erforderlichen Anpassungen der Verordnung (EG) Nr. 45/2001 im Anschluss an den Erlass der vorliegenden Verordnung vorgenommen werden, damit sie gleichzeitig mit der vorliegenden Verordnung angewandt werden können.

Bevor diese Anpassung der Datenschutzverordnung 2001/45/EG an die Datenschutz-Grundverordnung erfolgt, soll jedoch zunächst die sogenannte E-Privacy-Richtlinie überarbeitet werden. Aus meiner Sicht ist diese geplante Reform für Bayern wesentlich bedeutsamer als die Novellierung der Datenschutzverordnung 2001/45/EG, weil sie konkret die Verarbeitungspflichten von bayerischen Stellen bei der elektronischen Kommunikation betrifft.

Um die Reform der E-Privacy-Richtlinie 2002/58/EG vorzubereiten, leitete die Europäische Kommission ein öffentliches Anhörungsverfahren ein. Diese Konsultation diente dazu, die Richtlinie an die Datenschutz-Grundverordnung anzugleichen und zu überprüfen, inwiefern sie im Bereich der elektronischen Kommunikation ein hohes Schutzniveau zugunsten der Einzelnen sowie gleiche Wettbewerbsbedingungen der Marktteilnehmer gewährleistet (Mitteilung der Kommission vom 11. April 2016: "Public Consultation on the Evaluation and Review of the ePrivacy Directive", veröffentlicht unter https://ec.europa.eu/digital-single-market/ (externer Link) vergleiche auch Nr. 12.3).

1.1.3. Safe Harbor-Abkommen ungültig - EU-US Privacy Shield in Kraft

Die Europäische Datenschutzrichtlinie (RL 95/46/EG) sieht vor, dass die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union grundsätzlich nur zulässig ist, wenn diese so genannten Drittstaaten ein angemessenes Datenschutzniveau gewährleisten. Bei der Beantwortung der Frage, ob ein Drittstaat ein angemessenes Datenschutzniveau gewährleistet, sind alle Umstände zu beurteilen, die bei einer Übermittlung oder bei einer Kategorie von Übermittlungen eine Rolle spielen, Art. 25 Abs. 2 RL 95/46/EG. Die Kommission kann feststellen, dass ein Drittstaat aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen allgemein ein angemessenes Datenschutzniveau gewährleistet (Art. 25 Abs. 6 RL 95/46/EG).

Art. 25 RL 95/46/EG

(1) Die Mitgliedstaaten sehen vor, daß die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.

(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; Nr. L 281/46 [ DE Amtsblatt der Europäischen Gemeinschaften 23 . 11 . 95 insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.

(3) Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, dass ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt.

(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

Mit ihrer Entscheidung 2000/520/EG hatte die Europäische Kommission festgestellt, dass die Vereinigten Staaten für bestimmte Datenempfänger ein angemessenes Schutzniveau gewährleisten. Von der Entscheidung erfasst waren solche amerikanische Unternehmen, die sich den sogenannten Safe Harbor-Datenschutzgrundsätzen unterworfen hatten.

Die Entscheidung der Europäischen Kommission zum sogenannten Safe Harbor-Abkommen erklärte der Europäische Gerichtshof für ungültig (Urteil vom 6. Oktober 2015, Rechtssache C-362/14 - Schrems). Sinngemäß rügte der Europäische Gerichtshof insbesondere, die Kommission hätte feststellen müssen, dass die Vereinigten Staaten von Amerika aufgrund innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleisteten, das dem in der Europäischen Union aufgrund der Richtlinie im Lichte der Grundrechtecharta garantierte Niveau der Sache nach gleichwertig sei. Das habe die Kommission nicht geleistet.

Ein solches gleichwertiges Schutzniveau liege in dem Drittstaat jedenfalls nicht vor, wenn er generell die Speicherung aller personenbezogenen Daten sämtlicher Personen gestatte, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken. Eine Regelung, die es den Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletze den Wesensgehalt des Grundrechts auf Achtung des Privatlebens (Absatz 93 der Urteilsbegründung). Darüber hinaus verletze eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz (Absatz 95 der Urteilsbegründung).

In Bezug auf die Kompetenz der Datenschutzbehörden stellte der Gerichtshof fest, dass die Entscheidung der Kommission vom 26. Juli 2000 den nationalen Datenschutzbehörden Befugnisse entziehe, die ihnen für den Fall zustehen, dass eine Person die Vereinbarkeit der Entscheidung mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen in Frage stellt. Die Kommission habe keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken (Absätze 102-104 der Urteilsbegründung).

Schließlich wies der Europäische Gerichtshof sinngemäß darauf hin, dass Art. 8 Abs. 3 der Charta der Grundrechte eine effektive Datenschutzaufsicht verlange. Halte die Kontrollstelle die Beschwerde einer betroffenen Person für begründet, müsse sie daher ein Klagerecht gegen einen Angemessenheitsbeschluss der Kommission haben. Insoweit sei es Sache des nationalen Gesetzgebers, Rechts-behelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichten, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, um gegebenenfalls ein Vorabentscheidungsverfahren zu erlangen (Absatz 66 der Urteilsbegründung).

Nach dem Urteil des Europäischen Gerichtshofs war die Übermittlung personen-bezogener Daten aufgrund des Safe Harbor-Abkommens nicht mehr zulässig. In einer Pressemitteilung vom 7. Oktober 2015 wies ich die bayerischen öffentlichen Stellen deshalb darauf hin, dass sie die Zulässigkeit von Datenübermittlungen an Stellen mit Sitz in den USA nun besonders überprüfen müssten. Im besonderen Maße erheblich war die Entscheidung des Europäischen Gerichtshofs für Hochschulen, die auf vertraglicher Basis Public Cloud-Dienste mit US-amerikanischen Anbietern abgeschlossen hatten.

In der Zwischenzeit haben die Europäische Union und die Vereinigten Staaten von Amerika ein neues Abkommen zum Datenschutz abgeschlossen. Jetzt folgt ein "EU-US Privacy Shield" dem für ungültig erklärten Safe Harbor-Abkommen nach (siehe Nr. 13.2).

1.1.4. Verantwortlichkeit der Anbieter von Facebook-Fanseiten

Mehrfach habe ich mich bereits mit der Frage auseinandergesetzt, ob und inwie-weit Behörden zum Zweck der Öffentlichkeitsarbeit bei Facebook eine Fanseite einrichten und betreiben können. Zuletzt habe ich in meinem 26. Tätigkeitsbericht 2014 unter Nr. 12.4.1 über die einschlägige uneinheitliche Rechtsprechung berichtet.

Eines der Kernprobleme lautet, ob eine Behörde datenschutzrechtlich für Rechts-verstöße von Facebook mitverantwortlich ist, wenn sie eine Fanseite einrichtet und betreibt. Dies wurde vom Oberverwaltungsgericht Schleswig in einer Entscheidung vom 4. September 2014 noch verneint (Az.: 4 LB 20/13).

Im Rahmen des Revisionsverfahrens hat das Bundesverwaltungsgericht Fragen zu diesem Kernproblem dem Europäischen Gerichtshof vorgelegt (Beschluss vom 25. Februar 2016 - 1 C 28/14; siehe Nr. 12.4).

1.2. Deutschland

1.2.1. Gesetz zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes

Die Aufdeckung des "Nationalsozialistischen Untergrundes" (NSU) Ende 2011 löste eine umfassende Diskussion zur Aufgabenwahrnehmung und Zusammen-arbeit der Sicherheitsbehörden aus. Eine ganze Reihe von Untersuchungsausschüssen des Bundestags und mehrerer Landtage deckte Defizite bei der Zusammenarbeit der Sicherheitsbehörden, insbesondere Kooperationsdefizite bei einigen Verfassungsschutzbehörden auf. Als besonders problematisch hatten einige Untersuchungsausschüsse die Rolle von V-Leuten gesehen. V-Leute sind keine Beschäftigten der Verfassungsschutzämter. Sie sind Privatpersonen, die bereit sind, als Insider dem Verfassungsschutz Informationen über extremistische Kreise zu liefern.

Das Gesetz zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes vom 17. November 2015 soll die Schlussfolgerungen aus den Erkenntnissen der Untersuchungsausschüsse ziehen. Künftig soll das Bundesamt für Verfassungsschutz stärker als bisher die Zusammenarbeit der Verfassungsschutzämter koordinieren. Der Informationsfluss zwischen den Behörden soll verbessert und die Analysefähigkeit erhöht werden. Das Gesetz soll auch Rechtsklarheit zum Einsatz solcher V-Leute schaffen.

Aus Sicht der Konferenz der Datenschutzbeauftragten des Bundes und der Länder ist das neue Gesetz unter dem Gesichtspunkt des Grundrechtsschutzes verfassungsrechtlich problematisch.

Entschließung der 90. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 30.09./01.10.2015

Verfassungsschutzreform bedroht die Grundrechte

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder lehnt die mit dem "Gesetz zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes" (BR-Drs. 123/15 und 382/15) beschlossene Verfassungsschutzreform ab. Die vorgesehenen Gesetzesänderungen sind in zentralen Punkten verfassungsrechtlich äußerst bedenklich. Das betrifft insbesondere die praktisch unbegrenzten Befugnisse der Verfassungsschutzbehörden, personenbezogene Daten in umfassenden und zentralen Dateien zu speichern.

Das Gesetz sieht u. a. vor, Aufgaben und Informationen beim Bundesamt für Verfassungsschutz zu zentralisieren. Es erweitert die Verpflichtungen der Verfassungsschutzbehörden, Daten untereinander auszutauschen, erheblich. Zudem ermöglicht es den Austausch mit Polizeibehörden in einem Maß, welches der Rechtsprechung des Bundesverfassungsgerichtes zum informationellen Trennungsprinzip (Urteil vom 24. April 2013, 1 BvR 1215/07) widerspricht. Es schafft weiter die rechtliche Grundlage, das zentrale nachrichtendienstliche Informationssystem (NADIS) von einem reinen Indexsystem zu einem vollumfänglichen Informationssystem auszubauen. Dies geschieht vor allem dadurch, dass nach dem Gesetzeswortlaut zu allen gespeicherten Personen und Objekten zukünftig auch die zugehörigen Dokumente, Bilder, Video- oder Audiomaterial in NADIS gespeichert werden können und sollen. Auf die erheblichen Risiken von Recherchen in solch umfassenden Dateien hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder bereits frühzeitig mit ihrer Entschließung vom 4. November 2010 "Keine Volltextsuche in Dateien der Sicherheitsbehörden" hingewiesen. Das Bundesamt für Verfassungsschutz erhält schließlich in Konkurrenz zu den Ländern operative Zuständigkeiten auch für nicht länderübergreifende gewaltorientierte Bestrebungen. Die Verfassungsschutzbehörden der Länder werden faktisch auf die Rolle von Datenlieferanten für das Bundesamt für Verfassungsschutz reduziert.

Es fehlt nach wie vor an einer umfassenden und systematischen Analyse bisheriger Versäumnisse und Vollzugsdefizite. Diese hatte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder bereits mit Beginn der Überlegungen zu einer Reform des Verfassungsschutzes gefordert (Entschließung vom 8. November 2012 "Reform der Sicherheitsbehörden: Der Datenschutz darf nicht auf der Strecke bleiben"). Offen bleibt so insbesondere die Frage, ob die Verfassungsschutzbehörden bestehende Befugnisse in der Vergangenheit richtig angewendet haben. Gleichwohl werden nunmehr die Befugnisse der Verfassungsschutzbehörden noch erweitert. Bestehende Defizite der rechtsstaatlichen Kontrolle über die Nachrichtendienste löst das Gesetz ebenfalls nicht. Dabei hat vor allem der Abschlussbericht des NSU-Untersuchungsausschusses des Bundestages ein erhebliches Kontrolldefizit aufgezeigt. Auch hier hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder bereits eine verfassungskonforme Gestaltung der Kontrolle angemahnt (Entschließung vom 9. Oktober 2014 "Effektive Kontrolle von Nachrichtendiensten herstellen!").

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hält an ihrer Forderung gegenüber dem Gesetzgeber fest, das Recht der Nachrichtendienste maßvoll und verfassungskonform auszugestalten. Dies ist mit diesem Gesetz misslungen. Das Gesetz stellt einen weiteren Schritt zur Aushöhlung des Rechts auf informationelle Selbstbestimmung dar.

Die Konferenzentschließung habe ich unterstützt. Selbstverständlich habe ich keine Einwände gegen eine effektive Terrorismusbekämpfung, die dem Schutz der Bevölkerung dient. Die Verfassungsschutzbehörden nehmen insoweit als Frühwarnsystem des Rechtsstaats eine wichtige Rolle wahr. Jedoch darf eine Ausweitung der Kompetenzen nicht dazu führen, dass die Grundrechte unverhältnismäßig eingeschränkt werden. Trotz erheblicher Indizien für ein schwerwiegendes Fehlverhalten einiger Verfassungsschutzämter bei der NSU-Affäre wurden die Befugnisse des Verfassungsschutzes zwar erheblich ausgedehnt, die rechtsstaatliche Kontrolle hingegen nicht (siehe im Einzelnen Nr. 4.1).

1.2.2. E-Health-Gesetz, GKV-Versorgungsverstärkungsgesetz

Das "Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz)" vom 21. Dezember 2015 soll die Einführung einer digitalen Infrastruktur mit hohen Sicherheitsstandards und die Einführung nutzbringender Anwendungen auf der elektronischen Gesundheitskarte beschleunigen.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat das Gesetzgebungsverfahren mit einer Entschließung kritisch begleitet.

Entschließung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 18./19.03.2015

Nachbesserungen beim eHealth-Gesetz und klare Regelungen zum Einsatz externer Dienstleister bei Berufsgeheimnisträgern erforderlich

Mit dem Entwurf eines Gesetzes für sichere und digitale Kommunikation und Anwendungen im Gesundheitswesen ("eHealth-Gesetz") würde die Bundesregierung die Gelegenheit verpassen, die zunehmende IT-Nutzung im Gesundheitswesen datenschutzgerecht auszugestalten und insbesondere die Anforderungen an die Vertraulichkeit und Transparenz der Datenverarbeitung zu regeln.

Aus diesem Grund fordert die Konferenz der Datenschutzbeauftragten des Bundes und der Länder den Gesetzgeber insbesondere zu folgenden Ergänzungen des Gesetzentwurfs auf:

  1. Der Gesetzentwurf hat zum Ziel, die elektronische Gesundheitskarte einschließlich der Telematikinfrastruktur als zentrale Kommunikationsplattform im Gesundheitsbereich zu etablieren. So soll der Einsatz freiwilliger Anwendungen, in denen Patientendaten verarbeitet werden, forciert werden. Es muss allerdings bei dem Grundsatz bleiben, dass die Betroffenen über die Speicherung von Diagnosen und anderen medizinischen Daten auf der Gesundheitskarte selbst entscheiden können. Zur Wahrung der Transparenz ist das den Betroffenen eingeräumte Zugriffsrecht auf ihre Daten von besonderer Bedeutung. Ihnen wird damit auch die Wahrnehmung ihrer Rechte, insbesondere auf Auskunft und Löschung, ermöglicht. Entgegen der Gesetzeslage und entsprechender Ankündigungen ist eine Erprobung des Patientenzugriffs bislang unterblieben. Es ist daher sicherzustellen, dass die Versicherten ihre gesetzlich zugestandenen Rechte auch wahrnehmen können. Für den Fall, dass die notwendigen Funktionalitäten nicht zeitgerecht zur Verfügung stehen, sollte der Gesetzgeber angemessene Sanktionen festlegen.
  2. Nach dem Gesetzentwurf richtet die Gesellschaft für Telematik zukünftig ein öffentlich über das Internet verfügbares Interoperabilitätsverzeichnis "für technische und semantische Standards, Profile und Leitfäden für informationstechnische Systeme im Gesundheitswesen" ein. Sie wird dabei von Experten insbesondere aus dem IT-Bereich beraten. Zur Sicherung des hohen Schutzniveaus von Gesundheitsdaten sind auch Datenschutzexperten hinzuzuziehen.
  3. Der Bundesgesetzgeber muss klare Rahmenbedingungen für die Einschaltung externer Dienstleister durch Berufsgeheimnisträger schaffen und den Vertraulichkeitsschutz bei den Dienstleistern sicherstellen. Die Einschaltung von externen Dienstleistern ist für Berufsgeheimnisträger oft ohne Alternative, wenn sie - wie auch vom Gesetzgeber beispielsweise mit dem eHealth-Gesetz gewünscht - moderne Informationstechnik nutzen wollen. Jedoch ist damit regelmäßig die Gefahr eines Verstoßes gegen die Schweigepflicht verbunden.

Vor diesem Hintergrund muss der Gesetzgeber Rechtssicherheit schaffen, unter welchen Voraussetzungen Berufsgeheimnisträger externe Dienstleister einschalten dürfen. Die notwendige rechtliche Regelung muss (z.B. in § 203 StGB) gewährleisten, dass die Kenntnisnahme von Berufsgeheimnissen auf das unbedingt Erforderliche beschränkt wird, die Dienstleister einer Schweigepflicht unterworfen und die Patientendaten auch bei ihnen durch ein Beschlagnahmeverbot abgesichert werden. Zudem muss durch Weisungsrechte der Berufsgeheimnisträger deren Verantwortlichkeit für die Berufsgeheimnisse gewahrt bleiben. Über technische und organisatorische Maßnahmen und über das Herstellen von Transparenz ist das für sensible Daten erforderliche Schutzniveau herzustellen.

Entsprechendes gilt für das "Gesetz zur Stärkung der Versorgung in der gesetzlichen Krankenversicherung (GKV-Versorgungsstärkungsgesetz)". Die Konferenz hat insoweit kritisiert, dass das bisherige datenschutzrechtlich problematische Vorgehen einiger Krankenkassen beim so genannten Krankengeldfallmanagement nunmehr legitimiert werden soll (Einzelheiten zu diesem Gesetz unter Nr. 8.1.1).

Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 16. Dezember 2014

Schluss mit den datenschutzrechtlichen Missständen beim Umgang mit Krankengeldbeziehern!

Bei dem derzeit praktizierten "Krankengeldfallmanagement" lädt eine Vielzahl von Krankenkassen ihre Versicherten in der vierten Woche einer Arbeitsunfähigkeit zu einem persönlichen Gespräch ein. Die Krankenkassen stellen Fragen zur Arbeitsplatz-, Krankheits-, familiären und sozialen Situation des Versicherten. Außerdem sollen die Ärzte der Versicherten häufig medizinische Fragen beantworten sowie Arzt-, Krankenhaus- oder Rehaentlassberichte an die Krankenkasse schicken. Vielfach werden Versicherte, die im Krankengeldbezug stehen, - zum Teil mehrfach wöchentlich - von Krankenkassenmitarbeitern oder in deren Auftrag von Dritten angerufen, um sich nach dem Fortschritt der Genesung zu erkundigen.

Zudem werden nach den Prüferfahrungen der Datenschutzbeauftragten des Bundes und einiger Länder Versicherte beim "Krankengeldfallmanagement" von ihrer Krankenkasse oftmals unter Druck gesetzt. Auch der Patientenbeauftragte der Bundesregierung sowie die Unabhängige Patientenberatung Deutschland (UPD) haben an dieser Praxis starke Kritik geübt.

Die Krankenkassen sind zur Beurteilung sensibler medizinischer Daten aufgrund der bisherigen gesetzgeberischen Grundentscheidung auf ein Tätigwerden des Medizinischen Dienstes der Krankenversicherung (MDK) angewiesen.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist die Bundesregierung darauf hin, dass es nicht nachvollziehbar ist, dass mit dem Entwurf eines Gesetzes zur Stärkung der Versorgung in der gesetzlichen Krankenversicherung (GKV Versorgungsstärkungsgesetz - GKV-VSG) das bisherige datenschutzrechtlich problematische Vorgehen von vielen Krankenkassen beim sog. Krankengeldfallmanagement nunmehr legitimiert werden soll. Zukünftig sollen danach die Versicherten bei einem (absehbaren) Krankengeldbezug "Anspruch auf eine umfassende Prüfung, individuelle Beratung und Hilfestellung, welche Leistungen und unterstützende Angebote zur Wiederherstellung der Arbeitsfähigkeit erforderlich sind" gegenüber ihrer gesetzlichen Krankenkasse haben. Die Krankenkasse soll dabei die erforderlichen personenbezogenen Daten mit Einwilligung des Versicherten erheben, verarbeiten und nutzen dürfen.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder appelliert an den Bundesgesetzgeber, von dieser Regelung Abstand zu nehmen. Vielmehr sind die derzeit bestehenden gesetzlichen Regelungen konsequent umzusetzen.

1.3. Freistaat Bayern

1.3.1. Bayerisches E-Government-Gesetz

Am 30. Dezember 2015 ist das Gesetz über die elektronische Verwaltung in Bayern (Bayerisches E-Government-Gesetz - BayEGovG) in Kraft getreten. Vorbehaltlich vorrangig anzuwendender Spezialregelungen gilt das Gesetz für die öffentlich-rechtliche Verwaltungstätigkeit der öffentlichen Stellen Bayerns.

Unter anderem soll es den Ausbau von E-Government-Anwendungen unterstützen, digitale Zugangs- und Verfahrensrechte von Bürgerinnen und Bürgern begründen und das Datenschutzrecht modernisieren. In das Gesetzgebungsverfahren wurde ich umfassend eingebunden. Gleichwohl habe ich gewisse Zweifel, ob das Gesetz die zentralen datenschutzrechtlichen Fragen des E-Government klären wird (im Einzelnen siehe Nr. 12.1).

1.3.2. Insbesondere: Allgemeines Auskunftsrecht

Mit dem Bayerischen E-Government-Gesetz hat der bayerische Gesetzgeber ein allgemeines Recht der Bürgerinnen und Bürger gegenüber bayerischen Behörden auf Auskunft eingeführt. Der neu verabschiedete Art. 36 BayDSG regelt die näheren Voraussetzungen dieses Auskunftsanspruchs. Mit dieser Vorschrift hat der bayerische Gesetzgeber Rechtssicherheit über Umfang und Grenzen des schon aus dem Rechtsstaatsprinzip abzuleitenden allgemeinen Auskunftsrechts geschaffen.

Das neu geschaffene Informationsrecht ist von den Medien kaum aufgegriffen worden und bei vielen Bürgerinnen und Bürgern ebenso wie bei einigen Behörden nach meinem Eindruck noch unbekannt. Bei mir gehen zwar durchaus zahlreiche Beschwerden und Anfragen ein, die sich auf das Auskunftsverhalten von bayerischen Behörden beziehen. Sie beziehen sich jedoch nach wie vor zumeist auf ein "Informationsfreiheitsgesetz", das es in Bayern in dieser Form nicht gibt.

Deshalb habe ich auf meiner Webseite https://www.datenschutz-bayern.de eine neue Rubrik zum Allgemeinen Auskunftsrecht eingerichtet. Dort sind Informationen rund um den allgemeinen Auskunftsanspruch bereit gestellt (Gesetzestext und weitere Einzelheiten siehe Nr. 13.1).

1.3.3. Änderung des Bayerischen Verfassungsschutzgesetzes

Der Gesetzgeber hat das Bayerische Verfassungsschutzgesetz in erheblichem Umfang geändert. Meine Empfehlungen wurden dabei nur teilweise berücksichtigt. Verfassungsrechtlich problematisch könnte vor allem die gesetzliche Ausgestaltung grundrechtssichernder Verfahrensvorschriften sein (siehe Nr. 4.1).

1.3.4. Regelung der Schülerunterlagen

Im Rahmen von Prüfungen vor Ort habe ich immer wieder feststellen müssen, dass Schulen sich gerade mit der Aufbewahrung von Schülerunterlagen schwer tun. Zunächst nehmen die in Papierform geführten Schülerunterlagen einen erheblichen Platz in Anspruch. Zudem haben die Untersicherheiten und Auslegungsfragen mit den wachsenden informations- und kommunikationstechnischen Möglichkeiten deutlich zugenommen. Deshalb habe ich mich bereits seit Jahren dafür eingesetzt, dass die offenen Fragen insbesondere im Hinblick auf Definition und Aufbewahrung der - datenschutzrechtlich sensiblen - Schülerunterlagen durch Rechtsvorschriften klar beantwortet werden. Im Berichtszeitraum hat der bayerische Gesetz- und Verordnungsgeber meine jahrzehntelangen drängenden Empfehlungen endlich umgesetzt (zu Einzelheiten siehe Nr. 10.1).

1.3.5. Behördliche Datenschutzbeauftragte an allen bayerischen Finanzämtern

Für einen effektiven Datenschutz ist es besonders wichtig, dass Vorschriften nicht nur auf dem Papier stehen, sondern in der Praxis auch beachtet werden. Organisatorischen und verfahrensrechtlichen Vorkehrungen kommt daher seit jeher im Datenschutzrecht eine besondere Bedeutung zu. Erfreulich ist aus diesem Grund die Entscheidung des Staatsministeriums der Finanzen, für Landesentwicklung und Heimat, neben weiteren datenschutzfreundlichen Maßnahmen auch an allen bayerischen Finanzämtern behördliche Datenschutzbeauftragte einzurichten (zu Einzelheiten siehe Nr. 9.1).

1.4. Öffentlichkeitsarbeit

Öffentlichkeitsarbeit hat eine zentrale Bedeutung für den Datenschutz. Informationen und datenschutzrechtliche Positionen sollen - über den unmittelbaren Kontakt mit der Politik, der Presse, den Behörden und den im Einzelfall Betroffenen hinaus - allgemein bekannt und verfügbar gemacht werden. Auch so kann ich die Verwaltung dabei unterstützen, datenschutzkonform zu handeln. Bürgerinnen und Bürgern helfe ich damit, ihre Rechte und Schutzmöglichkeiten zu (er)kennen und wahrzunehmen. Wegen der Neuordnung des Europäischen Datenschutz-Rechtsrahmens und der daraus folgenden Änderungen wird es in den kommenden Berichtszeiträumen einen erhöhten Informationsbedarf geben.

Ein wesentlicher Baustein ist der Internetauftritt meiner Dienststelle (https://www.datenschutz-bayern.de). Über neue sowie aktualisierte Inhalte des Internetauftritts kann sich jeder per RSS-Feed informieren lassen.

Darüber hinaus ist es mir wichtig, auch Bevölkerungsgruppen zu erreichen, die meine Webseite normalerweise nicht besuchen. Daher ist meine Ausstellung "Vom Eid des Hippokrates bis zu Edward Snowden - eine kleine Reise durch 2500 Jahre Datenschutz" (siehe 26. Tätigkeitsbericht 2014 unter Nr. 1.5) weiter von Ort zu Ort gewandert. Im Berichtszeitraum war die Ausstellung bei der Stadt Weiden, der Stadt Augsburg, der Universität Passau, der Stadt Landshut, dem Landratsamt Regensburg, der Stadt Ingolstadt, der Fachhochschule für öffentliche Verwaltung und Rechtspflege (Fachbereich Polizei) in Fürstenfeldbruck, der Stadt Rosenheim, der Hochschule für angewandte Wissenschaften Coburg, der Stadtbibliothek Straubing, der Hochschule für angewandte Wissenschaften München, dem Staatsministerium für Arbeit und Soziales, Familie und Integration, der Friedrich-Alexander-Universität Erlangen-Nürnberg, der Stadt Nördlingen, der Stadt Landsberg am Lech, der Stadt Kempten und zuletzt bei der Volkshochschule Lindau zu Gast.

Aufgrund der guten Erfahrungen werde ich auch meinen Informationsstand weiter nutzen, um Bürgerinnen und Bürger vor Ort zu informieren, sie darüber hinaus zu beraten und mit ihnen zu diskutieren. Im Berichtszeitraum war der Stand am 11. Oktober 2015 beim Tag der offenen Tür der Stadt Nürnberg und am 26. November 2016 beim gemeinsamen Tag der offenen Tür des Landtags, der Staatsregierung und des Verfassungsgerichtshofs.

Außerdem haben Angehörige meiner Dienststelle und ich erneut an zahlreichen Informations- und Diskussionsveranstaltungen als Referentinnen beziehungsweise Referenten teilgenommen und Vorlesungen oder Gastvorträge gehalten.

Meine Broschüren und Informationsmaterialien (siehe 26. Tätigkeitsbericht 2014 unter Nr. 1.5) werden weiter rege bei mir bestellt und von meiner Webseite heruntergeladen.

Pressearbeit ist besonders wichtig, um die Öffentlichkeit zu informieren und datenschutzrechtliche Positionen darzustellen. Auch in diesem Bereich verstärke ich meine Aktivitäten (siehe 26. Tätigkeitsbericht 2014 unter Nr. 1.5) stetig.

1.5. Schlussbemerkungen

Die nachfolgenden Kapitel geben unter anderem einen Überblick über meine Beteiligung an wesentlichen, hier nicht erwähnten Gesetzgebungsverfahren und meine Datenschutzkontrolle der bayerischen öffentlichen Stellen im Berichtszeitraum 2015/2016.