[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2022

32. Tätigkeitsbericht

Inhaltsübersicht

1. Überblick
1.1. Eine europäische Datenstrategie
1.1.1. Horizontale Rechtsakte, insbesondere Daten-Governance-Rechtsakt
1.1.1.1. Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen
1.1.1.2. Regeln des Daten-Governance-Rechtsakts insbesondere zu Datenvermittlungsdiensten
1.1.1.3. Weitere horizontale Rechtsakte
1.1.1.4. Insbesondere: Diskussion um eine KI-Verordnung
1.1.1.5. Zwischenfazit
1.1.2. Sektorspezifische gemeinsame Datenräume: Beispiel Gesundheit
1.2. Vertretung der Länderinteressen im Europäischen Datenschutzausschuss (EDSA)
1.3. Über diesen Tätigkeitsbericht
2. Allgemeines Datenschutzrecht
2.1. "Datenschutzreform 2018" - Weiterentwicklung des Informationsangebots des Bayerischen Landesbeauftragten für den Datenschutz
2.2. Versand von Hybridbriefen durch bayerische öffentliche Stellen
2.2.1. Verarbeitung personenbezogener Daten beim Hybridbrief
2.2.2. Normative Übermittlungsregelungen
2.2.3. Informationspflichten
2.2.4. Auftragsverarbeitung und bereichsspezifischeSonderregelungen
2.2.5. Nachweis eines angemessenen Schutzniveaus
2.2.6. Fazit
2.3. Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen
2.3.1. Was sind Web Fonts?
2.3.2. Wie werden Web Fonts in eine Webseite integriert?
2.3.3. Dynamische Einbindung nur mit wirksamer Einwilligung
2.3.4. Einfache Alternative: Lokale Einbindung
2.4. Externe behördliche Datenschutzbeauftragte: Transparenzanforderungen
3. Polizei und Verfassungsschutz
3.1. Verfahrensübergreifende Recherche- und Analyseplattform der Bayerischen Polizei (VeRA)
3.2. Dauer der Bearbeitung von Auskunftsersuchen
3.3. Unsachgemäßer E-Mail-Versand durch die Polizei im Rahmen eines Ermittlungsverfahrens
3.4. Unzulässiges Abfotografieren eines Ausweises mittels eine privaten Smartphones
3.5. Parlamentarische Untersuchungsausschüsse und Löschmoratorien
3.6. Datenschutzrechtliche Prüfung beim Bayerischen Landesamt für Verfassungsschutz
4. Justiz
4.1. Fehlerhafte Einholung von Bankauskünften im strafrechtlichen Ermittlungsverfahren
4.2. Unzulässige Datenübermittlung durch eine Staatsanwaltschaft an ein Jugendamt
4.3. Unzulässige Datenübermittlungen durch Staatsanwaltschaften an Ausländerbehörden
4.4. Nennung personenbezogener Daten in einer Anklageschrift
4.5. Beanstandung eines Notars wegen unzulässiger Einsichtnahme in das Grundbuch
5. Allgemeine Innere Verwaltung
5.1. Datennutzungssatzungen: nur Aufgabenkonkretisierung für unwesentliche Eingriffe zulässig
5.1.1. Erforderlichkeit einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten
5.1.2. Erforderlichkeit einer parlamentsgesetzlichen Ermächtigung für Verarbeitungsbefugnisse in kommunalen Satzungen
5.1.3. Zulässig nur Aufgabenkonkretisierung bei unwesentlichen Eingriffen
5.2. E-Tickets im ÖPNV
5.2.1. Sachverhalt
5.2.2. Zentrale Ergebnisse der Überprüfung
5.2.2.1. Datenspeicherungen im Chip
5.2.2.2. Chipkarte: Aufdruck von Lichtbild sowie Vor- und Nachname
5.2.2.3. Speicherung des Fotos auch nach Aushändigung des E-Tickets
5.2.2.4. Fazit
5.3. Erneut: Datenschutzkonformität von Förderungen
6. E-Government und öffentliche Register
6.1. Erneut: Transparenz bei der Beauftragung staatlicher Rechenzentren
6.1.1. Wirksamer Vertrag über Auftragsverarbeitung erforderlich
6.1.2. Beachtung der "Rollenverteilung" nach der Datenschutz-Grundverordnung
6.1.3. Bestimmtheit der Verarbeitungsdauer
6.2. Melderegisterauskunft durch die Meldebehörde: zulässig nur aus dem örtlichem Melderegister
6.2.1. Unterschied örtliches Melderegister und zentraler Meldedatenbestand
6.2.2. Unterschied einfache und erweiterte Melderegisterauskunft
6.2.3. Auskunft über bei der Meldebehörde nie gemeldete Personen ist keine öffentliche Aufgabe
6.3. Ausländerzentralregister: unzulässiger automatisierter Abruf durch Meldebehörde
6.3.1. Fehlende Befugnis zum automatisierten Datenabruf aus dem AZR
6.3.2. Datenverarbeitung als solche aber materiell-rechtlich zulässig
6.4. Schengener Informationssystem, Visa-Informationssystem und Eurodac: datenschutzrechtliche Prüfung des Einsatzes
7. Soziales und Gesundheit
7.1. Nutzung von Gesundheits- und Patientendaten zu Forschungszwecken durch Universitätsklinika
7.1.1. Datenschutzrechtlicher Gegenstand des Gesetzes
7.1.2. Regulatorischer Rahmen im Einzelnen
7.1.3. Fazit und Ausblick
7.2. Abfrage von Vorerkrankungen und Symptomen von mit dem Erreger SARS-CoV-2 infizierten Personen durch Gesundheitsämter
7.2.1. Sachverhalt
7.2.2. Kommunikation mit den Gesundheitsbehörden
7.2.3. Datenschutzrechtliche Bewertung der Erhebung von Symptomdaten im Lichte der landesrechtlichen Vollzugsvorschriften zum Infektionsschutz
7.2.4. Fazit und Ausblick
7.3. Evaluierungsauftrag im Bayerischen Krebsregistergesetz
7.3.1. Kritikpunkt "eingeschränktes Widerspruchsrecht"
7.3.2. Komplette Löschung von Krebsregisterdaten im Widerspruchsfall
7.4. Corona-Impfstatusabfrage bei Besuch eines Krankenhauses
7.5. Datenschutzrechtliche Verantwortlichkeit in den Bereitschaftspraxen der Kassenärztlichen Vereinigung Bayerns
7.6. Beanstandung nach Datenpanne bei Krankenkasse
7.7. Auftragsverarbeitung bei bayerischen öffentlichen Krankenhäusern
7.7.1. Gestaltungsimpulse bei Auftragsverarbeitungim Krankenhaus
7.7.2. Regelungsrahmen
8. Steuer- und Finanzverwaltung
8.1. Neuregelung der Datenschutzaufsicht im Bereich der Grundsteuer
8.1.1. Bisher: Aufsichtszuständigkeit nach § 32h Abs. 1 Satz 1 Abgabenordnung
8.1.2. Neuregelung nach dem Bayerischen Grundsteuergesetz
8.1.2.1. Verwaltung der Grundsteuer B durch die Finanzämter
8.1.2.2. Verwaltung der Grundsteuer A durch die Finanzämter
8.1.2.3. Verwaltung der Grundsteuer durch die Gemeinden
8.1.3. Vorläufige Bewertung und Ausblick
8.2. Erste praktische Erfahrungen mit dem Bayerischen Grundsteuergesetz
8.2.1. Drei Fallgruppen von Datenschutzbeschwerden
8.2.1.1. Namensverwechslungen
8.2.1.2. Angaben zu Wohnungseigentümergemeinschaften
8.2.1.3. Angabe der Wohnfläche
8.2.2. Vorläufige Bewertung
8.3. Weitergabe von persönlichen Daten durch die Staatliche Lotterie- und Spielbankverwaltung
9. Personalverwaltung
9.1. Verarbeitung von COVID-19-Immunitätsnachweisen im Rahmen der einrichtungsbezogenen Impfpflicht
9.1.1. Die einrichtungsbezogene Impfpflicht im Überblick
9.1.2. Beschwerden und Anfragen zur einrichtungsbezogenen Impfpflicht
9.1.3. Fazit
9.2. Einwilligung im Beschäftigungsverhältnis
9.3. Verdeckte Tonaufzeichnung einer Videokonferenz
9.3.1. Sachverhalt
9.3.2. Rechtliche Würdigung
9.4. Einsatz von Ortungssystemen in Dienstfahrzeugen zur Dienstaufsicht
9.4.1. Sachverhalt
9.4.2. Verarbeitung personenbezogener Ortungsdaten
9.4.3. Rechtmäßigkeit der Überwachung
9.4.3.1. Fehlende Rechtsgrundlage
9.4.3.2. Erforderlichkeit
9.4.4. Fazit
9.5. Zugriff auf den dienstlichen E-Mail-Account eines verstorbenen Professors
9.5.1. Verarbeitung personenbezogener Daten
9.5.2. Rechtsgrundlage der Verarbeitung
9.5.2.1. Berechtigtes Interesse
9.5.2.2. Glaubhafte Darlegung des berechtigten Interesses
9.5.2.3. Kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung
9.5.3. Fazit
9.6. Polizeiärztliche Untersuchung anlässlich einer Versetzung
10. Schulen, Hochschulen, Kultur
10.1. Beratung bei der Änderung schulrechtlicher Vorschriften
10.1.1. Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen
10.1.2. Bayerische Schulordnung
10.1.3. Bekanntmachungen
10.2. Datenverarbeitung bei der elektronischen Fernprüfung an Hochschulen (Videoaufsicht)
10.2.1. Videoaufsicht bei der elektronischen Fernprüfung
10.2.1.1. Rechtsgrundlage
10.2.1.2. § 1 Abs. 2 Satz 2 BayFEV
10.2.1.3. § 4 Abs. 1 Satz 1, § 6 Abs. 1 BayFEV
10.2.1.4. Freiwilligkeit
10.2.2. Übermittlung des Bildes an Mitprüflinge
10.2.2.1. Aufnahmen durch Mitprüflinge möglich
10.2.2.2. Keine gesetzliche Befugnis
10.2.2.3. Keine wirksame Einwilligung
10.3. Öffentliche Theater und Museen: Online-Ticketkauf mit Kundenkonto
11. Zensus
11.1. Zensus 2022
11.1.1. Hintergrund und Vorbereitungen
11.1.2. Durchführung des Zensus 2022
11.2. Mikrozensus
12. Technik und Organisation
12.1. Datenschutzrechtliche Anforderungen für Penetrationstests
12.2. Datenschutz-Folgenabschätzung (DSFA) und Risikoanalyse in der Praxis
12.3. Arbeitsgruppe zu Ethik und Datenschutz bei Künstlicher Intelligenz
12.4. Unzulässige Veröffentlichung von personenbezogenen Daten im Internet
12.4.1. Suchmaschinen und Webarchiv
12.4.2. Praktisches Vorgehen
12.4.3. Portale zur Überprüfung auf Schadsoftware
12.5. Sachstandserhebung zur elektronischen Datenverarbeitung im Zusammenhang mit der COVID-19-Pandemie in den Gesundheitsämtern
12.5.1. Personelle Ausstattung
12.5.2. Einsatz von Privatgeräten
12.5.3. Eingesetzte Software
12.5.4. Kontaktnachverfolgung
12.5.5. Elektronische Kommunikation mit den Bürgerinnen und Bürgern
12.5.6. Datenschutzmanagement
12.5.7. Herausforderungen, Handlungsbedarfe und bestehende Good Practice-Umsetzungen
12.6. Elektronische Kommunikation im Rahmen des COVID-19-Pandemiemanagements
12.7. Software für das Kontaktpersonen- und Fallmanagement
12.7.1. SORMAS
12.7.2. Climedo
12.8. Meldungen von Verletzungen des Schutzes personenbezogener Daten
13. Datenschutzkommission
14. Ländervertreter im EDSA