1. |
Überblick |
1.1. |
Digitalisierung und Datenschutz gehören zusammen wie zwei Seiten einer Medaille |
1.1.1. |
Datenschutz ist nicht frei verfügbar |
1.1.2. |
Paradigmenwechsel von der datenschutzrechtlichen Einwilligung zum Widerspruchsmodell |
1.1.3. |
Datenschutz fördert und fordert Digitalisierung |
1.2. |
Künstliche Intelligenz: Sind wir vorbereitet? |
1.2.1. |
Was ist Künstliche Intelligenz (KI)? |
1.2.2. |
Künstliche Intelligenz: Viele Vorteile, aber auch Risiken |
1.2.3. |
KI-Verordnung: Wesentliche Inhalte |
1.3. |
Über diesen Tätigkeitsbericht |
2. |
Allgemeines Datenschutzrecht |
2.1. |
"Datenschutzreform 2018" - Weiterentwicklung des Informationsangebots des Bayerischen Landesbeauftragten für den Datenschutz |
2.2. |
Wann ist eine natürliche Person identifizierbar? |
2.2.1. |
Rechtlicher Hintergrund |
2.2.2. |
"Relatives" und "absolutes" Verständnis des Personenbezugs |
2.2.3. |
Wie verhält sich die Datenschutz-Grundverordnung hierzu? |
2.2.4. |
Die unionsgerichtliche Rechtsprechung zur Identifizierbarkeit einer natürlichen Person |
2.2.4.1. |
Das Urteil des Europäischen Gerichtshofs zu dynamischen IP-Adressen |
2.2.4.2. |
Das Europäische Gericht und die Übermittlung pseudonymisierter Daten |
2.2.4.3. |
Der Europäische Gerichtshof und die Fahrzeug-Identifizierungsnummer |
2.2.5. |
Was folgt daraus für bayerische öffentliche Stellen? |
2.2.6. |
Fazit |
2.3. |
Frühjahrsputz im Verarbeitungsverzeichnis |
2.3.1. |
Organisation |
2.3.2. |
Einzelne Verzeichniseinträge |
2.3.2.1. |
Neue, geänderte oder auslaufende Verarbeitungstätigkeiten(Art. 30 Abs. 1 Satz 1 DSGVO) |
2.3.2.2. |
Namen und Kontaktdaten (Art. 30 Abs. 1 Satz 2 Buchst. a DSGVO) |
2.3.2.3. |
Verarbeitungszwecke (Art. 30 Abs. 1 Satz 2 Buchst. b DSGVO) sowie Kategorien betroffener Personen und personenbezogener Daten(Art. 30 Abs. 1 Satz 2 Buchst. c DSGVO) |
2.3.2.4. |
Kategorien von Empfängern (Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO) |
2.3.2.5. |
Übermittlungen an ein Drittland (Art. 30 Abs. 1 Satz 2 Buchst. e DSGVO) |
2.3.2.6. |
Fristen für die Löschung der verschiedenen Datenkategorien(Art. 30 Abs. 1 Satz 2 Buchst. f DSGVO) |
2.3.2.7. |
Allgemeine Beschreibung der gemäß Art. 32 Abs. 1 DSGVO zu treffenden technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 Satz 2 Buchst. g DSGVO) |
2.3.3. |
Synergien |
2.3.4. |
Folgen fehlender Aktualität |
2.4. |
Datenschutz bei Rechtschreibkorrektur im Webbrowser |
2.4.1. |
KI-Unterstützung bei Webbrowser-Funktionen |
2.4.2. |
Einstellungen bei verbreiteten Webbrowsern |
2.4.3. |
Datenschutzrechtliche Anforderungen |
2.4.4. |
Fazit |
2.5. |
Datenpannen mit Microsoft Excel verursachen und vermeiden |
2.5.1. |
Eine Arbeitsmappe - mehrere Arbeitsblätter |
2.5.2. |
Sichtbare Arbeitsblätter - unsichtbare Arbeitsblätter |
2.5.3. |
Daten "auf weiter Flur" |
2.5.4. |
Ausgeblendete Spalten, Zeilen oder Zellen |
2.5.5. |
Metadaten |
2.5.6. |
Funktion "Dokumentprüfung" |
2.5.7. |
Was der Verantwortliche tun sollte |
2.6. |
Bayerische öffentliche Stellen und die Windows-Telemetriekomponente |
2.6.1. |
Ausgangslage |
2.6.2. |
Editionen und Optionen |
2.6.3. |
Viele Wege führen zum Ziel |
2.6.4. |
Weitere Einschränkungsmöglichkeiten |
2.6.5. |
Fazit |
2.7. |
Erste Hilfe zum Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework |
2.7.1. |
Was ist die Ausgangslage? |
2.7.2. |
Wie schafft der Angemessenheitsbeschluss Erleichterung? |
2.7.3. |
Welche Datenübermittlungen betrifft dies? |
2.7.4. |
Ab welchem Zeitpunkt können Daten mit Hilfe des EU-U.S. Data Privacy Framework in die USA übermittelt werden? |
2.7.5. |
Was ist dennoch zu tun? |
2.7.6. |
Facebook, Microsoft, Google - ab jetzt kein Problem, oder? |
2.7.7. |
Ausblick |
2.8. |
Datenschutzaufsicht und Kommunalaufsicht |
2.8.1. |
Verhältnis von Datenschutzaufsicht und Kommunalaufsicht |
2.8.2. |
Hinweise für die Verwaltungspraxis |
2.8.3. |
Fazit |
3. |
Polizei, Justiz, Verfassungsschutz |
3.1. |
Stellungnahme gegenüber dem Bayerischen Landtag zu Datenlöschungen bei der Bayerischen Polizei |
3.2. |
Konzept zur Bearbeitung von Auskunfts- und Löschersuchen durch die Bayerische Polizei |
3.3. |
Antrag auf Löschung führt zu weiteren Speicherungen im Vorgangsbearbeitungssystem IGVP |
3.4. |
Privatzonenausblendungen bei Videoüberwachungsmaßnahmender Polizei |
3.5. |
Datenschutzrechtliche Prüfung des Abrufs von Daten aus dem Ausländerzentralregister (AZR) im automatisierten Verfahren durch die Bayerische Polizei |
3.6. |
Postsicherstellung nach Art. 35 Polizeiaufgabengesetz - turnusmäßige Prüfung |
3.7. |
Zuverlässigkeitsüberprüfungen beim G7-Gipfel 2022 |
3.8. |
Verfolgung von Verkehrsordnungswidrigkeiten - überschießende Datenübermittlungen bei Lichtbildanforderungen |
3.9. |
Abfragen aus dem Fahreignungsregister |
3.10. |
Datenschutz bei der Staatsanwaltschaft: Nennung personenbezogener Daten in einer Einstellungsverfügung |
3.11. |
Prüfung eines abgelehnten Löschungsantrags beim Bayerischen Landesamt für Verfassungsschutz |
3.12. |
Prüfung Antiterrordatei (ATD) und Rechtsextremismus-Datei (RED) |
4. |
Allgemeine Innere Verwaltung |
4.1. |
Datenschutzbeauftragte bei Kommunen: geschäftsleitende Beamte scheiden regelmäßig aus |
4.1.1. |
Vermeidung von "Inkompatibilitäten" unionsrechtlich geboten |
4.1.2. |
Zulässige Einschränkung der kommunalen Selbstverwaltungsgarantie |
4.1.3. |
Beamtenrechtliche Regelungen entheben nicht von der Notwendigkeit, Interessenskonflikte zu vermeiden |
4.2. |
Keine Einbindung der Datenschutz-Aufsichtsbehörde in Zuwendungsverfahren per Bescheid |
4.2.1. |
Prüfung der Datenschutzkonformität einer geförderten Leistung hat vor Erlass des Zuwendungsbescheides zu erfolgen |
4.2.2. |
Unabhängigkeit des Landesbeauftragten für den Datenschutz |
4.2.3. |
Feststellung der Datenschutzkonformität einer geförderten Leistung ist nicht Aufgabe des Landesbeauftragten |
4.2.4. |
Ergebnis |
4.3. |
Datenschutzgerechte Behandlung eines Antrags auf Änderung des Gemeindewappens in öffentlicher Gemeinderatssitzung |
4.4. |
Gesetz zur Änderung des Gemeinde- und Landkreiswahlgesetzesund weiterer Rechtsvorschriften |
4.4.1. |
Bürgerversammlung: Live-Übertragung ins Internet |
4.4.2. |
Gemeinderats-, Kreistags- und Bezirkstagssitzungen: Live-Übertragung ins Internet und Speicherung in einer Mediathek |
4.4.3. |
Kopien von Niederschriften kommunaler Gremiensitzungen |
4.4.4. |
Einbau und Betrieb elektronischer Wasserzähler mit Funkmodul |
4.5. |
Landtags- und Bezirkswahl: Verbesserung bei der Bekanntmachung der Wahlkreisvorschläge |
4.6. |
Anforderungen an die Videoüberwachung durch Kommunen: Bestätigung meiner Prüfpraxis durch den Bayerischen Verwaltungsgerichtshof |
4.7. |
Datenschutzrechtliche Vorgaben für eine automatisierte Kennzeichenerfassung beim Kameraparken |
4.7.1. |
Erfordernis einer Rechtsgrundlage für die Datenverarbeitung |
4.7.2. |
Keine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO |
4.7.3. |
Keine Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. b und f DSGVO |
4.7.4. |
Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO |
5. |
E-Government undöffentliche Register |
5.1. |
Unzulässige Melderegisterauskunft für Kinderfest einer politischen Partei |
5.2. |
Örtliche Fahrzeugregister: keine Nutzung für personalisierte Informationsschreiben über Dieselfahrverbote |
5.2.1. |
Keine Befugnis für Datenauslesung aus dem örtlichen Fahrzeugregister |
5.2.2. |
Keine Befugnis für Versand individualisierter Informationsschreiben |
6. |
Soziales und Gesundheit |
6.1. |
Uneingeschränktes Widerspruchsrecht im Bayerischen Krebsregister |
6.2. |
Vorangekreuzte Datenschutzformulare in einem Krankenhaus |
6.3. |
Anforderung von Wundverlaufsprotokollen durch Krankenkassen |
6.4. |
Datenübermittlung des Jugendamtes im Rahmen der Mitwirkung im Verfahren vor dem Familiengericht |
6.5. |
Weitere Entwicklungen zum Masernschutzgesetz |
6.5.1. |
Inhalt eines Kontraindikationsattests |
6.5.2. |
Zweifel des Gesundheitsamtes im Zusammenhang mit dem Kontraindikationsattest |
7. |
Personalverwaltung |
7.1. |
Bayerisches Personalaktenrecht und unionales Datenschutzrecht |
7.1.1. |
Zum Hintergrund |
7.1.2. |
Worum ging es in dem Verfahren? |
7.1.3. |
Was hat der Europäische Gerichtshof konkret entschieden? |
7.1.4. |
Welche Folgen ergeben sich aus dieser Entscheidung für das bayerische Personalaktenrecht? |
7.1.5. |
Fazit |
7.2. |
Neuerungen im bayerischen Dienstrecht |
7.2.1. |
Unfallfürsorge: Übermittlung von Untersuchungs- oder Beobachtungsbefunden |
7.2.2. |
Elektronische Fernprüfungen |
7.2.3. |
Art. 103a BayBG: Datenverarbeitung bei Aufgabenübertragung |
7.2.4. |
Fazit |
7.3. |
Vorstellungsgespräche in Gruppen |
7.4. |
Fehlerhafte Zugriffsrechte auf Personalaktendaten |
7.4.1. |
Sachverhalt |
7.4.2. |
Rechtliche Würdigung |
7.4.2.1. |
Fehlerhafte Zugriffsrechte |
7.4.2.2. |
Erforderlichkeit der Verarbeitung |
7.4.3. |
Ergriffene Maßnahmen |
7.4.4. |
Fazit |
7.5. |
Kontaktdaten kommunaler Beschäftigter auf der Plattform BayernPortal |
7.5.1. |
Beschäftigtendaten im Publikumsverkehr |
7.5.2. |
Verarbeitungszweck |
7.5.3. |
Erforderlichkeit zur Aufgabenerfüllung |
7.5.4. |
Beschäftigte mit "Außenwirkung" |
7.5.5. |
Ausnahmen aufgrund individueller Situation |
7.5.6. |
Rechenschaftspflicht |
7.5.7. |
Fazit |
7.6. |
Personalaktendaten in der Zeitung |
7.7. |
Stufenvorweggewährung nur gegen "Schein-Bewerbung"? |
7.7.1. |
Tarifvertragsrechtlicher Hintergrund |
7.7.2. |
Sachverhalt |
7.7.3. |
Rechtliche Würdigung |
7.8. |
"Störfälle" beim JobBike Bayern |
7.8.1. |
"JobBike Bayern" |
7.8.2. |
Der "Störfall" als Datenschutzproblem? |
7.8.3. |
Fazit |
7.9. |
Änderungen im bayerischen Personalvertretungsrecht |
7.9.1. |
Mitbestimmungsrecht bei der Benennung und Abberufung von behördlichen Datenschutzbeauftragten |
7.9.2. |
Digitalisierung der Arbeit von Personalvertretungen und Wahlvorständen |
7.9.3. |
Fazit |
7.10. |
Datenschutzrechtliche Aufsichtszuständigkeit für Richterräte |
8. |
Schulen, Hochschulen, Kultur |
8.1. |
Beratung bei der Änderung schulrechtlicher Vorschriften |
8.1.1. |
Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen |
8.1.2. |
Bayerisches Schulfinanzierungsgesetz |
8.1.3. |
Bayerische Schulordnung |
8.2. |
Masernschutz - Atteste über Kontraindikationen |
8.3. |
Einsichtnahme durch Lehrkräfte in private Tablets |
8.4. |
Auskunft über Prüfungsarbeiten an Hochschulen |
8.5. |
Datenschutzverstoß im Datenschutzkurs |
9. |
Zensus |
9.1. |
Vorlage von amtlich bestätigten Identitätsnachweisenzur Geltendmachung von Auskunftsansprüchen |
9.2. |
Nutzung privater E-Mail-Adressen durch Erhebungsbeauftragte |
9.3. |
Unzulässige Information des Arbeitgebers eines Erhebungsbeauftragten |
10. |
Informationsfreiheit |
10.1. |
Grundstücksankauf durch eine Kommune |
10.2. |
Ignorieren von Auskunftsanträgen - keine gute Option |
10.3. |
Unerfreuliches und Erfreuliches - ein Überblick |
11. |
Technik und Organisation |
11.1. |
Nutzung von nicht dienstlichen E-Mail-Adressen |
11.2. |
E-Mail und Copy & Paste |
11.3. |
Jugend pentestet |
11.3.1. |
Schulische Netzwerke |
11.3.2. |
Ein Schüler als Pentester |
11.3.3. |
Responsible Disclosure unerwünscht |
11.3.4. |
Frust und Neugier |
11.3.5. |
Aufarbeitung und Lessons Learned |
11.4. |
Beratungstätigkeit für Datenschutz-Folgenabschätzung (DSFA) und Risikoanalyse |
11.5. |
Umgang mit dem PIA-Tool der CNIL |
11.6. |
Zustellung durch die Post mit Zustellungsurkunde |
11.7. |
Mehrere Beschwerden zur räumlichen Gestaltung von Bürgerbüro und Zulassungsstelle, technisch-organisatorische Prüfung bei einer Kommune |
11.8. |
Beschwerden zum Verlust einer Patientenakte |
11.9. |
Meldungen von Verletzungen des Schutzes vonpersonenbezogenen Daten |
11.10. |
Umgang mit Video-/Fotokameras |
11.11. |
Anweisung gemäß Art. 58 Abs. 2 Buchst. d DSGVO wegen Defiziten bei einem Rollen- und Berechtigungskonzept |
11.12. |
Forschungsprojekt RACOON, Anonymisierung/Pseudonymisierung und KI in der medizinischen Forschung |
11.13. |
Anforderungen an Kontaktinformation zum behördlichen Datenschutzbeauftragten: inkonsistente Information für eine Kontaktaufnahme mit dem Datenschutzbeauftragten |
12. |
Datenschutzkommission |
13. |
Ländervertreter im EDSA |