| 1. |
Überblick |
| 1.1. |
Eine europäische Datenstrategie |
| 1.1.1. |
Horizontale Rechtsakte, insbesondere Daten-Governance-Rechtsakt |
| 1.1.1.1. |
Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen |
| 1.1.1.2. |
Regeln des Daten-Governance-Rechtsakts insbesondere zu Datenvermittlungsdiensten |
| 1.1.1.3. |
Weitere horizontale Rechtsakte |
| 1.1.1.4. |
Insbesondere: Diskussion um eine KI-Verordnung |
| 1.1.1.5. |
Zwischenfazit |
| 1.1.2. |
Sektorspezifische gemeinsame Datenräume: Beispiel Gesundheit |
| 1.2. |
Vertretung der Länderinteressen im Europäischen Datenschutzausschuss (EDSA) |
| 1.3. |
Über diesen Tätigkeitsbericht |
| 2. |
Allgemeines Datenschutzrecht |
| 2.1. |
"Datenschutzreform 2018" - Weiterentwicklung des Informationsangebots des Bayerischen Landesbeauftragten für den Datenschutz |
| 2.2. |
Versand von Hybridbriefen durch bayerische öffentliche Stellen |
| 2.2.1. |
Verarbeitung personenbezogener Daten beim Hybridbrief |
| 2.2.2. |
Normative Übermittlungsregelungen |
| 2.2.3. |
Informationspflichten |
| 2.2.4. |
Auftragsverarbeitung und bereichsspezifischeSonderregelungen |
| 2.2.5. |
Nachweis eines angemessenen Schutzniveaus |
| 2.2.6. |
Fazit |
| 2.3. |
Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen |
| 2.3.1. |
Was sind Web Fonts? |
| 2.3.2. |
Wie werden Web Fonts in eine Webseite integriert? |
| 2.3.3. |
Dynamische Einbindung nur mit wirksamer Einwilligung |
| 2.3.4. |
Einfache Alternative: Lokale Einbindung |
| 2.4. |
Externe behördliche Datenschutzbeauftragte: Transparenzanforderungen |
| 3. |
Polizei und Verfassungsschutz |
| 3.1. |
Verfahrensübergreifende Recherche- und Analyseplattform der Bayerischen Polizei (VeRA) |
| 3.2. |
Dauer der Bearbeitung von Auskunftsersuchen |
| 3.3. |
Unsachgemäßer E-Mail-Versand durch die Polizei im Rahmen eines Ermittlungsverfahrens |
| 3.4. |
Unzulässiges Abfotografieren eines Ausweises mittels eine privaten Smartphones |
| 3.5. |
Parlamentarische Untersuchungsausschüsse und Löschmoratorien |
| 3.6. |
Datenschutzrechtliche Prüfung beim Bayerischen Landesamt für Verfassungsschutz |
| 4. |
Justiz |
| 4.1. |
Fehlerhafte Einholung von Bankauskünften im strafrechtlichen Ermittlungsverfahren |
| 4.2. |
Unzulässige Datenübermittlung durch eine Staatsanwaltschaft an ein Jugendamt |
| 4.3. |
Unzulässige Datenübermittlungen durch Staatsanwaltschaften an Ausländerbehörden |
| 4.4. |
Nennung personenbezogener Daten in einer Anklageschrift |
| 4.5. |
Beanstandung eines Notars wegen unzulässiger Einsichtnahme in das Grundbuch |
| 5. |
Allgemeine Innere Verwaltung |
| 5.1. |
Datennutzungssatzungen: nur Aufgabenkonkretisierung für unwesentliche Eingriffe zulässig |
| 5.1.1. |
Erforderlichkeit einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten |
| 5.1.2. |
Erforderlichkeit einer parlamentsgesetzlichen Ermächtigung für Verarbeitungsbefugnisse in kommunalen Satzungen |
| 5.1.3. |
Zulässig nur Aufgabenkonkretisierung bei unwesentlichen Eingriffen |
| 5.2. |
E-Tickets im ÖPNV |
| 5.2.1. |
Sachverhalt |
| 5.2.2. |
Zentrale Ergebnisse der Überprüfung |
| 5.2.2.1. |
Datenspeicherungen im Chip |
| 5.2.2.2. |
Chipkarte: Aufdruck von Lichtbild sowie Vor- und Nachname |
| 5.2.2.3. |
Speicherung des Fotos auch nach Aushändigung des E-Tickets |
| 5.2.2.4. |
Fazit |
| 5.3. |
Erneut: Datenschutzkonformität von Förderungen |
| 6. |
E-Government und öffentliche Register |
| 6.1. |
Erneut: Transparenz bei der Beauftragung staatlicher Rechenzentren |
| 6.1.1. |
Wirksamer Vertrag über Auftragsverarbeitung erforderlich |
| 6.1.2. |
Beachtung der "Rollenverteilung" nach der Datenschutz-Grundverordnung |
| 6.1.3. |
Bestimmtheit der Verarbeitungsdauer |
| 6.2. |
Melderegisterauskunft durch die Meldebehörde: zulässig nur aus dem örtlichem Melderegister |
| 6.2.1. |
Unterschied örtliches Melderegister und zentraler Meldedatenbestand |
| 6.2.2. |
Unterschied einfache und erweiterte Melderegisterauskunft |
| 6.2.3. |
Auskunft über bei der Meldebehörde nie gemeldete Personen ist keine öffentliche Aufgabe |
| 6.3. |
Ausländerzentralregister: unzulässiger automatisierter Abruf durch Meldebehörde |
| 6.3.1. |
Fehlende Befugnis zum automatisierten Datenabruf aus dem AZR |
| 6.3.2. |
Datenverarbeitung als solche aber materiell-rechtlich zulässig |
| 6.4. |
Schengener Informationssystem, Visa-Informationssystem und Eurodac: datenschutzrechtliche Prüfung des Einsatzes |
| 7. |
Soziales und Gesundheit |
| 7.1. |
Nutzung von Gesundheits- und Patientendaten zu Forschungszwecken durch Universitätsklinika |
| 7.1.1. |
Datenschutzrechtlicher Gegenstand des Gesetzes |
| 7.1.2. |
Regulatorischer Rahmen im Einzelnen |
| 7.1.3. |
Fazit und Ausblick |
| 7.2. |
Abfrage von Vorerkrankungen und Symptomen von mit dem Erreger SARS-CoV-2 infizierten Personen durch Gesundheitsämter |
| 7.2.1. |
Sachverhalt |
| 7.2.2. |
Kommunikation mit den Gesundheitsbehörden |
| 7.2.3. |
Datenschutzrechtliche Bewertung der Erhebung von Symptomdaten im Lichte der landesrechtlichen Vollzugsvorschriften zum Infektionsschutz |
| 7.2.4. |
Fazit und Ausblick |
| 7.3. |
Evaluierungsauftrag im Bayerischen Krebsregistergesetz |
| 7.3.1. |
Kritikpunkt "eingeschränktes Widerspruchsrecht" |
| 7.3.2. |
Komplette Löschung von Krebsregisterdaten im Widerspruchsfall |
| 7.4. |
Corona-Impfstatusabfrage bei Besuch eines Krankenhauses |
| 7.5. |
Datenschutzrechtliche Verantwortlichkeit in den Bereitschaftspraxen der Kassenärztlichen Vereinigung Bayerns |
| 7.6. |
Beanstandung nach Datenpanne bei Krankenkasse |
| 7.7. |
Auftragsverarbeitung bei bayerischen öffentlichen Krankenhäusern |
| 7.7.1. |
Gestaltungsimpulse bei Auftragsverarbeitungim Krankenhaus |
| 7.7.2. |
Regelungsrahmen |
| 8. |
Steuer- und Finanzverwaltung |
| 8.1. |
Neuregelung der Datenschutzaufsicht im Bereich der Grundsteuer |
| 8.1.1. |
Bisher: Aufsichtszuständigkeit nach § 32h Abs. 1 Satz 1 Abgabenordnung |
| 8.1.2. |
Neuregelung nach dem Bayerischen Grundsteuergesetz |
| 8.1.2.1. |
Verwaltung der Grundsteuer B durch die Finanzämter |
| 8.1.2.2. |
Verwaltung der Grundsteuer A durch die Finanzämter |
| 8.1.2.3. |
Verwaltung der Grundsteuer durch die Gemeinden |
| 8.1.3. |
Vorläufige Bewertung und Ausblick |
| 8.2. |
Erste praktische Erfahrungen mit dem Bayerischen Grundsteuergesetz |
| 8.2.1. |
Drei Fallgruppen von Datenschutzbeschwerden |
| 8.2.1.1. |
Namensverwechslungen |
| 8.2.1.2. |
Angaben zu Wohnungseigentümergemeinschaften |
| 8.2.1.3. |
Angabe der Wohnfläche |
| 8.2.2. |
Vorläufige Bewertung |
| 8.3. |
Weitergabe von persönlichen Daten durch die Staatliche Lotterie- und Spielbankverwaltung |
| 9. |
Personalverwaltung |
| 9.1. |
Verarbeitung von COVID-19-Immunitätsnachweisen im Rahmen der einrichtungsbezogenen Impfpflicht |
| 9.1.1. |
Die einrichtungsbezogene Impfpflicht im Überblick |
| 9.1.2. |
Beschwerden und Anfragen zur einrichtungsbezogenen Impfpflicht |
| 9.1.3. |
Fazit |
| 9.2. |
Einwilligung im Beschäftigungsverhältnis |
| 9.3. |
Verdeckte Tonaufzeichnung einer Videokonferenz |
| 9.3.1. |
Sachverhalt |
| 9.3.2. |
Rechtliche Würdigung |
| 9.4. |
Einsatz von Ortungssystemen in Dienstfahrzeugen zur Dienstaufsicht |
| 9.4.1. |
Sachverhalt |
| 9.4.2. |
Verarbeitung personenbezogener Ortungsdaten |
| 9.4.3. |
Rechtmäßigkeit der Überwachung |
| 9.4.3.1. |
Fehlende Rechtsgrundlage |
| 9.4.3.2. |
Erforderlichkeit |
| 9.4.4. |
Fazit |
| 9.5. |
Zugriff auf den dienstlichen E-Mail-Account eines verstorbenen Professors |
| 9.5.1. |
Verarbeitung personenbezogener Daten |
| 9.5.2. |
Rechtsgrundlage der Verarbeitung |
| 9.5.2.1. |
Berechtigtes Interesse |
| 9.5.2.2. |
Glaubhafte Darlegung des berechtigten Interesses |
| 9.5.2.3. |
Kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung |
| 9.5.3. |
Fazit |
| 9.6. |
Polizeiärztliche Untersuchung anlässlich einer Versetzung |
| 10. |
Schulen, Hochschulen, Kultur |
| 10.1. |
Beratung bei der Änderung schulrechtlicher Vorschriften |
| 10.1.1. |
Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen |
| 10.1.2. |
Bayerische Schulordnung |
| 10.1.3. |
Bekanntmachungen |
| 10.2. |
Datenverarbeitung bei der elektronischen Fernprüfung an Hochschulen (Videoaufsicht) |
| 10.2.1. |
Videoaufsicht bei der elektronischen Fernprüfung |
| 10.2.1.1. |
Rechtsgrundlage |
| 10.2.1.2. |
§ 1 Abs. 2 Satz 2 BayFEV |
| 10.2.1.3. |
§ 4 Abs. 1 Satz 1, § 6 Abs. 1 BayFEV |
| 10.2.1.4. |
Freiwilligkeit |
| 10.2.2. |
Übermittlung des Bildes an Mitprüflinge |
| 10.2.2.1. |
Aufnahmen durch Mitprüflinge möglich |
| 10.2.2.2. |
Keine gesetzliche Befugnis |
| 10.2.2.3. |
Keine wirksame Einwilligung |
| 10.3. |
Öffentliche Theater und Museen: Online-Ticketkauf mit Kundenkonto |
| 11. |
Zensus |
| 11.1. |
Zensus 2022 |
| 11.1.1. |
Hintergrund und Vorbereitungen |
| 11.1.2. |
Durchführung des Zensus 2022 |
| 11.2. |
Mikrozensus |
| 12. |
Technik und Organisation |
| 12.1. |
Datenschutzrechtliche Anforderungen für Penetrationstests |
| 12.2. |
Datenschutz-Folgenabschätzung (DSFA) und Risikoanalyse in der Praxis |
| 12.3. |
Arbeitsgruppe zu Ethik und Datenschutz bei Künstlicher Intelligenz |
| 12.4. |
Unzulässige Veröffentlichung von personenbezogenen Daten im Internet |
| 12.4.1. |
Suchmaschinen und Webarchiv |
| 12.4.2. |
Praktisches Vorgehen |
| 12.4.3. |
Portale zur Überprüfung auf Schadsoftware |
| 12.5. |
Sachstandserhebung zur elektronischen Datenverarbeitung im Zusammenhang mit der COVID-19-Pandemie in den Gesundheitsämtern |
| 12.5.1. |
Personelle Ausstattung |
| 12.5.2. |
Einsatz von Privatgeräten |
| 12.5.3. |
Eingesetzte Software |
| 12.5.4. |
Kontaktnachverfolgung |
| 12.5.5. |
Elektronische Kommunikation mit den Bürgerinnen und Bürgern |
| 12.5.6. |
Datenschutzmanagement |
| 12.5.7. |
Herausforderungen, Handlungsbedarfe und bestehende Good Practice-Umsetzungen |
| 12.6. |
Elektronische Kommunikation im Rahmen des COVID-19-Pandemiemanagements |
| 12.7. |
Software für das Kontaktpersonen- und Fallmanagement |
| 12.7.1. |
SORMAS |
| 12.7.2. |
Climedo |
| 12.8. |
Meldungen von Verletzungen des Schutzes personenbezogener Daten |
| 13. |
Datenschutzkommission |
| 14. |
Ländervertreter im EDSA |