≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2023

33. Tätigkeitsbericht

Inhaltsübersicht

1. Überblick
1.1. Digitalisierung und Datenschutz gehören zusammen wie zwei Seiten einer Medaille
1.1.1. Datenschutz ist nicht frei verfügbar
1.1.2. Paradigmenwechsel von der datenschutzrechtlichen Einwilligung zum Widerspruchsmodell
1.1.3. Datenschutz fördert und fordert Digitalisierung
1.2. Künstliche Intelligenz: Sind wir vorbereitet?
1.2.1. Was ist Künstliche Intelligenz (KI)?
1.2.2. Künstliche Intelligenz: Viele Vorteile, aber auch Risiken
1.2.3. KI-Verordnung: Wesentliche Inhalte
1.3. Über diesen Tätigkeitsbericht
2. Allgemeines Datenschutzrecht
2.1. "Datenschutzreform 2018" - Weiterentwicklung des Informationsangebots des Bayerischen Landesbeauftragten für den Datenschutz
2.2. Wann ist eine natürliche Person identifizierbar?
2.2.1. Rechtlicher Hintergrund
2.2.2. "Relatives" und "absolutes" Verständnis des Personenbezugs
2.2.3. Wie verhält sich die Datenschutz-Grundverordnung hierzu?
2.2.4. Die unionsgerichtliche Rechtsprechung zur Identifizierbarkeit einer natürlichen Person
2.2.4.1. Das Urteil des Europäischen Gerichtshofs zu dynamischen IP-Adressen
2.2.4.2. Das Europäische Gericht und die Übermittlung pseudonymisierter Daten
2.2.4.3. Der Europäische Gerichtshof und die Fahrzeug-Identifizierungsnummer
2.2.5. Was folgt daraus für bayerische öffentliche Stellen?
2.2.6. Fazit
2.3. Frühjahrsputz im Verarbeitungsverzeichnis
2.3.1. Organisation
2.3.2. Einzelne Verzeichniseinträge
2.3.2.1. Neue, geänderte oder auslaufende Verarbeitungstätigkeiten(Art. 30 Abs. 1 Satz 1 DSGVO)
2.3.2.2. Namen und Kontaktdaten (Art. 30 Abs. 1 Satz 2 Buchst. a DSGVO)
2.3.2.3. Verarbeitungszwecke (Art. 30 Abs. 1 Satz 2 Buchst. b DSGVO) sowie Kategorien betroffener Personen und personenbezogener Daten(Art. 30 Abs. 1 Satz 2 Buchst. c DSGVO)
2.3.2.4. Kategorien von Empfängern (Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO)
2.3.2.5. Übermittlungen an ein Drittland (Art. 30 Abs. 1 Satz 2 Buchst. e DSGVO)
2.3.2.6. Fristen für die Löschung der verschiedenen Datenkategorien(Art. 30 Abs. 1 Satz 2 Buchst. f DSGVO)
2.3.2.7. Allgemeine Beschreibung der gemäß Art. 32 Abs. 1 DSGVO zu treffenden technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 Satz 2 Buchst. g DSGVO)
2.3.3. Synergien
2.3.4. Folgen fehlender Aktualität
2.4. Datenschutz bei Rechtschreibkorrektur im Webbrowser
2.4.1. KI-Unterstützung bei Webbrowser-Funktionen
2.4.2. Einstellungen bei verbreiteten Webbrowsern
2.4.3. Datenschutzrechtliche Anforderungen
2.4.4. Fazit
2.5. Datenpannen mit Microsoft Excel verursachen und vermeiden
2.5.1. Eine Arbeitsmappe - mehrere Arbeitsblätter
2.5.2. Sichtbare Arbeitsblätter - unsichtbare Arbeitsblätter
2.5.3. Daten "auf weiter Flur"
2.5.4. Ausgeblendete Spalten, Zeilen oder Zellen
2.5.5. Metadaten
2.5.6. Funktion "Dokumentprüfung"
2.5.7. Was der Verantwortliche tun sollte
2.6. Bayerische öffentliche Stellen und die Windows-Telemetriekomponente
2.6.1. Ausgangslage
2.6.2. Editionen und Optionen
2.6.3. Viele Wege führen zum Ziel
2.6.4. Weitere Einschränkungsmöglichkeiten
2.6.5. Fazit
2.7. Erste Hilfe zum Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework
2.7.1. Was ist die Ausgangslage?
2.7.2. Wie schafft der Angemessenheitsbeschluss Erleichterung?
2.7.3. Welche Datenübermittlungen betrifft dies?
2.7.4. Ab welchem Zeitpunkt können Daten mit Hilfe des EU-U.S. Data Privacy Framework in die USA übermittelt werden?
2.7.5. Was ist dennoch zu tun?
2.7.6. Facebook, Microsoft, Google - ab jetzt kein Problem, oder?
2.7.7. Ausblick
2.8. Datenschutzaufsicht und Kommunalaufsicht
2.8.1. Verhältnis von Datenschutzaufsicht und Kommunalaufsicht
2.8.2. Hinweise für die Verwaltungspraxis
2.8.3. Fazit
3. Polizei, Justiz, Verfassungsschutz
3.1. Stellungnahme gegenüber dem Bayerischen Landtag zu Datenlöschungen bei der Bayerischen Polizei
3.2. Konzept zur Bearbeitung von Auskunfts- und Löschersuchen durch die Bayerische Polizei
3.3. Antrag auf Löschung führt zu weiteren Speicherungen im Vorgangsbearbeitungssystem IGVP
3.4. Privatzonenausblendungen bei Videoüberwachungsmaßnahmender Polizei
3.5. Datenschutzrechtliche Prüfung des Abrufs von Daten aus dem Ausländerzentralregister (AZR) im automatisierten Verfahren durch die Bayerische Polizei
3.6. Postsicherstellung nach Art. 35 Polizeiaufgabengesetz - turnusmäßige Prüfung
3.7. Zuverlässigkeitsüberprüfungen beim G7-Gipfel 2022
3.8. Verfolgung von Verkehrsordnungswidrigkeiten - überschießende Datenübermittlungen bei Lichtbildanforderungen
3.9. Abfragen aus dem Fahreignungsregister
3.10. Datenschutz bei der Staatsanwaltschaft: Nennung personenbezogener Daten in einer Einstellungsverfügung
3.11. Prüfung eines abgelehnten Löschungsantrags beim Bayerischen Landesamt für Verfassungsschutz
3.12. Prüfung Antiterrordatei (ATD) und Rechtsextremismus-Datei (RED)
4. Allgemeine Innere Verwaltung
4.1. Datenschutzbeauftragte bei Kommunen: geschäftsleitende Beamte scheiden regelmäßig aus
4.1.1. Vermeidung von "Inkompatibilitäten" unionsrechtlich geboten
4.1.2. Zulässige Einschränkung der kommunalen Selbstverwaltungsgarantie
4.1.3. Beamtenrechtliche Regelungen entheben nicht von der Notwendigkeit, Interessenskonflikte zu vermeiden
4.2. Keine Einbindung der Datenschutz-Aufsichtsbehörde in Zuwendungsverfahren per Bescheid
4.2.1. Prüfung der Datenschutzkonformität einer geförderten Leistung hat vor Erlass des Zuwendungsbescheides zu erfolgen
4.2.2. Unabhängigkeit des Landesbeauftragten für den Datenschutz
4.2.3. Feststellung der Datenschutzkonformität einer geförderten Leistung ist nicht Aufgabe des Landesbeauftragten
4.2.4. Ergebnis
4.3. Datenschutzgerechte Behandlung eines Antrags auf Änderung des Gemeindewappens in öffentlicher Gemeinderatssitzung
4.4. Gesetz zur Änderung des Gemeinde- und Landkreiswahlgesetzesund weiterer Rechtsvorschriften
4.4.1. Bürgerversammlung: Live-Übertragung ins Internet
4.4.2. Gemeinderats-, Kreistags- und Bezirkstagssitzungen: Live-Übertragung ins Internet und Speicherung in einer Mediathek
4.4.3. Kopien von Niederschriften kommunaler Gremiensitzungen
4.4.4. Einbau und Betrieb elektronischer Wasserzähler mit Funkmodul
4.5. Landtags- und Bezirkswahl: Verbesserung bei der Bekanntmachung der Wahlkreisvorschläge
4.6. Anforderungen an die Videoüberwachung durch Kommunen: Bestätigung meiner Prüfpraxis durch den Bayerischen Verwaltungsgerichtshof
4.7. Datenschutzrechtliche Vorgaben für eine automatisierte Kennzeichenerfassung beim Kameraparken
4.7.1. Erfordernis einer Rechtsgrundlage für die Datenverarbeitung
4.7.2. Keine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO
4.7.3. Keine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. b und f DSGVO
4.7.4. Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO
5. E-Government undöffentliche Register
5.1. Unzulässige Melderegisterauskunft für Kinderfest einer politischen Partei
5.2. Örtliche Fahrzeugregister: keine Nutzung für personalisierte Informationsschreiben über Dieselfahrverbote
5.2.1. Keine Befugnis für Datenauslesung aus dem örtlichen Fahrzeugregister
5.2.2. Keine Befugnis für Versand individualisierter Informationsschreiben
6. Soziales und Gesundheit
6.1. Uneingeschränktes Widerspruchsrecht im Bayerischen Krebsregister
6.2. Vorangekreuzte Datenschutzformulare in einem Krankenhaus
6.3. Anforderung von Wundverlaufsprotokollen durch Krankenkassen
6.4. Datenübermittlung des Jugendamtes im Rahmen der Mitwirkung im Verfahren vor dem Familiengericht
6.5. Weitere Entwicklungen zum Masernschutzgesetz
6.5.1. Inhalt eines Kontraindikationsattests
6.5.2. Zweifel des Gesundheitsamtes im Zusammenhang mit dem Kontraindikationsattest
7. Personalverwaltung
7.1. Bayerisches Personalaktenrecht und unionales Datenschutzrecht
7.1.1. Zum Hintergrund
7.1.2. Worum ging es in dem Verfahren?
7.1.3. Was hat der Europäische Gerichtshof konkret entschieden?
7.1.4. Welche Folgen ergeben sich aus dieser Entscheidung für das bayerische Personalaktenrecht?
7.1.5. Fazit
7.2. Neuerungen im bayerischen Dienstrecht
7.2.1. Unfallfürsorge: Übermittlung von Untersuchungs- oder Beobachtungsbefunden
7.2.2. Elektronische Fernprüfungen
7.2.3. Art. 103a BayBG: Datenverarbeitung bei Aufgabenübertragung
7.2.4. Fazit
7.3. Vorstellungsgespräche in Gruppen
7.4. Fehlerhafte Zugriffsrechte auf Personalaktendaten
7.4.1. Sachverhalt
7.4.2. Rechtliche Würdigung
7.4.2.1. Fehlerhafte Zugriffsrechte
7.4.2.2. Erforderlichkeit der Verarbeitung
7.4.3. Ergriffene Maßnahmen
7.4.4. Fazit
7.5. Kontaktdaten kommunaler Beschäftigter auf der Plattform BayernPortal
7.5.1. Beschäftigtendaten im Publikumsverkehr
7.5.2. Verarbeitungszweck
7.5.3. Erforderlichkeit zur Aufgabenerfüllung
7.5.4. Beschäftigte mit "Außenwirkung"
7.5.5. Ausnahmen aufgrund individueller Situation
7.5.6. Rechenschaftspflicht
7.5.7. Fazit
7.6. Personalaktendaten in der Zeitung
7.7. Stufenvorweggewährung nur gegen "Schein-Bewerbung"?
7.7.1. Tarifvertragsrechtlicher Hintergrund
7.7.2. Sachverhalt
7.7.3. Rechtliche Würdigung
7.8. "Störfälle" beim JobBike Bayern
7.8.1. "JobBike Bayern"
7.8.2. Der "Störfall" als Datenschutzproblem?
7.8.3. Fazit
7.9. Änderungen im bayerischen Personalvertretungsrecht
7.9.1. Mitbestimmungsrecht bei der Benennung und Abberufung von behördlichen Datenschutzbeauftragten
7.9.2. Digitalisierung der Arbeit von Personalvertretungen und Wahlvorständen
7.9.3. Fazit
7.10. Datenschutzrechtliche Aufsichtszuständigkeit für Richterräte
8. Schulen, Hochschulen, Kultur
8.1. Beratung bei der Änderung schulrechtlicher Vorschriften
8.1.1. Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen
8.1.2. Bayerisches Schulfinanzierungsgesetz
8.1.3. Bayerische Schulordnung
8.2. Masernschutz - Atteste über Kontraindikationen
8.3. Einsichtnahme durch Lehrkräfte in private Tablets
8.4. Auskunft über Prüfungsarbeiten an Hochschulen
8.5. Datenschutzverstoß im Datenschutzkurs
9. Zensus
9.1. Vorlage von amtlich bestätigten Identitätsnachweisenzur Geltendmachung von Auskunftsansprüchen
9.2. Nutzung privater E-Mail-Adressen durch Erhebungsbeauftragte
9.3. Unzulässige Information des Arbeitgebers eines Erhebungsbeauftragten
10. Informationsfreiheit
10.1. Grundstücksankauf durch eine Kommune
10.2. Ignorieren von Auskunftsanträgen - keine gute Option
10.3. Unerfreuliches und Erfreuliches - ein Überblick
11. Technik und Organisation
11.1. Nutzung von nicht dienstlichen E-Mail-Adressen
11.2. E-Mail und Copy & Paste
11.3. Jugend pentestet
11.3.1. Schulische Netzwerke
11.3.2. Ein Schüler als Pentester
11.3.3. Responsible Disclosure unerwünscht
11.3.4. Frust und Neugier
11.3.5. Aufarbeitung und Lessons Learned
11.4. Beratungstätigkeit für Datenschutz-Folgenabschätzung (DSFA) und Risikoanalyse
11.5. Umgang mit dem PIA-Tool der CNIL
11.6. Zustellung durch die Post mit Zustellungsurkunde
11.7. Mehrere Beschwerden zur räumlichen Gestaltung von Bürgerbüro und Zulassungsstelle, technisch-organisatorische Prüfung bei einer Kommune
11.8. Beschwerden zum Verlust einer Patientenakte
11.9. Meldungen von Verletzungen des Schutzes vonpersonenbezogenen Daten
11.10. Umgang mit Video-/Fotokameras
11.11. Anweisung gemäß Art. 58 Abs. 2 Buchst. d DSGVO wegen Defiziten bei einem Rollen- und Berechtigungskonzept
11.12. Forschungsprojekt RACOON, Anonymisierung/Pseudonymisierung und KI in der medizinischen Forschung
11.13. Anforderungen an Kontaktinformation zum behördlichen Datenschutzbeauftragten: inkonsistente Information für eine Kontaktaufnahme mit dem Datenschutzbeauftragten
12. Datenschutzkommission
13. Ländervertreter im EDSA