1. |
Überblick |
1.1. |
Eine europäische Datenstrategie |
1.1.1. |
Horizontale Rechtsakte, insbesondere Daten-Governance-Rechtsakt |
1.1.1.1. |
Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen |
1.1.1.2. |
Regeln des Daten-Governance-Rechtsakts insbesondere zu Datenvermittlungsdiensten |
1.1.1.3. |
Weitere horizontale Rechtsakte |
1.1.1.4. |
Insbesondere: Diskussion um eine KI-Verordnung |
1.1.1.5. |
Zwischenfazit |
1.1.2. |
Sektorspezifische gemeinsame Datenräume: Beispiel Gesundheit |
1.2. |
Vertretung der Länderinteressen im Europäischen Datenschutzausschuss (EDSA) |
1.3. |
Über diesen Tätigkeitsbericht |
2. |
Allgemeines Datenschutzrecht |
2.1. |
"Datenschutzreform 2018" - Weiterentwicklung des Informationsangebots des Bayerischen Landesbeauftragten für den Datenschutz |
2.2. |
Versand von Hybridbriefen durch bayerische öffentliche Stellen |
2.2.1. |
Verarbeitung personenbezogener Daten beim Hybridbrief |
2.2.2. |
Normative Übermittlungsregelungen |
2.2.3. |
Informationspflichten |
2.2.4. |
Auftragsverarbeitung und bereichsspezifischeSonderregelungen |
2.2.5. |
Nachweis eines angemessenen Schutzniveaus |
2.2.6. |
Fazit |
2.3. |
Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen |
2.3.1. |
Was sind Web Fonts? |
2.3.2. |
Wie werden Web Fonts in eine Webseite integriert? |
2.3.3. |
Dynamische Einbindung nur mit wirksamer Einwilligung |
2.3.4. |
Einfache Alternative: Lokale Einbindung |
2.4. |
Externe behördliche Datenschutzbeauftragte: Transparenzanforderungen |
3. |
Polizei und Verfassungsschutz |
3.1. |
Verfahrensübergreifende Recherche- und Analyseplattform der Bayerischen Polizei (VeRA) |
3.2. |
Dauer der Bearbeitung von Auskunftsersuchen |
3.3. |
Unsachgemäßer E-Mail-Versand durch die Polizei im Rahmen eines Ermittlungsverfahrens |
3.4. |
Unzulässiges Abfotografieren eines Ausweises mittels eine privaten Smartphones |
3.5. |
Parlamentarische Untersuchungsausschüsse und Löschmoratorien |
3.6. |
Datenschutzrechtliche Prüfung beim Bayerischen Landesamt für Verfassungsschutz |
4. |
Justiz |
4.1. |
Fehlerhafte Einholung von Bankauskünften im strafrechtlichen Ermittlungsverfahren |
4.2. |
Unzulässige Datenübermittlung durch eine Staatsanwaltschaft an ein Jugendamt |
4.3. |
Unzulässige Datenübermittlungen durch Staatsanwaltschaften an Ausländerbehörden |
4.4. |
Nennung personenbezogener Daten in einer Anklageschrift |
4.5. |
Beanstandung eines Notars wegen unzulässiger Einsichtnahme in das Grundbuch |
5. |
Allgemeine Innere Verwaltung |
5.1. |
Datennutzungssatzungen: nur Aufgabenkonkretisierung für unwesentliche Eingriffe zulässig |
5.1.1. |
Erforderlichkeit einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten |
5.1.2. |
Erforderlichkeit einer parlamentsgesetzlichen Ermächtigung für Verarbeitungsbefugnisse in kommunalen Satzungen |
5.1.3. |
Zulässig nur Aufgabenkonkretisierung bei unwesentlichen Eingriffen |
5.2. |
E-Tickets im ÖPNV |
5.2.1. |
Sachverhalt |
5.2.2. |
Zentrale Ergebnisse der Überprüfung |
5.2.2.1. |
Datenspeicherungen im Chip |
5.2.2.2. |
Chipkarte: Aufdruck von Lichtbild sowie Vor- und Nachname |
5.2.2.3. |
Speicherung des Fotos auch nach Aushändigung des E-Tickets |
5.2.2.4. |
Fazit |
5.3. |
Erneut: Datenschutzkonformität von Förderungen |
6. |
E-Government und öffentliche Register |
6.1. |
Erneut: Transparenz bei der Beauftragung staatlicher Rechenzentren |
6.1.1. |
Wirksamer Vertrag über Auftragsverarbeitung erforderlich |
6.1.2. |
Beachtung der "Rollenverteilung" nach der Datenschutz-Grundverordnung |
6.1.3. |
Bestimmtheit der Verarbeitungsdauer |
6.2. |
Melderegisterauskunft durch die Meldebehörde: zulässig nur aus dem örtlichem Melderegister |
6.2.1. |
Unterschied örtliches Melderegister und zentraler Meldedatenbestand |
6.2.2. |
Unterschied einfache und erweiterte Melderegisterauskunft |
6.2.3. |
Auskunft über bei der Meldebehörde nie gemeldete Personen ist keine öffentliche Aufgabe |
6.3. |
Ausländerzentralregister: unzulässiger automatisierter Abruf durch Meldebehörde |
6.3.1. |
Fehlende Befugnis zum automatisierten Datenabruf aus dem AZR |
6.3.2. |
Datenverarbeitung als solche aber materiell-rechtlich zulässig |
6.4. |
Schengener Informationssystem, Visa-Informationssystem und Eurodac: datenschutzrechtliche Prüfung des Einsatzes |
7. |
Soziales und Gesundheit |
7.1. |
Nutzung von Gesundheits- und Patientendaten zu Forschungszwecken durch Universitätsklinika |
7.1.1. |
Datenschutzrechtlicher Gegenstand des Gesetzes |
7.1.2. |
Regulatorischer Rahmen im Einzelnen |
7.1.3. |
Fazit und Ausblick |
7.2. |
Abfrage von Vorerkrankungen und Symptomen von mit dem Erreger SARS-CoV-2 infizierten Personen durch Gesundheitsämter |
7.2.1. |
Sachverhalt |
7.2.2. |
Kommunikation mit den Gesundheitsbehörden |
7.2.3. |
Datenschutzrechtliche Bewertung der Erhebung von Symptomdaten im Lichte der landesrechtlichen Vollzugsvorschriften zum Infektionsschutz |
7.2.4. |
Fazit und Ausblick |
7.3. |
Evaluierungsauftrag im Bayerischen Krebsregistergesetz |
7.3.1. |
Kritikpunkt "eingeschränktes Widerspruchsrecht" |
7.3.2. |
Komplette Löschung von Krebsregisterdaten im Widerspruchsfall |
7.4. |
Corona-Impfstatusabfrage bei Besuch eines Krankenhauses |
7.5. |
Datenschutzrechtliche Verantwortlichkeit in den Bereitschaftspraxen der Kassenärztlichen Vereinigung Bayerns |
7.6. |
Beanstandung nach Datenpanne bei Krankenkasse |
7.7. |
Auftragsverarbeitung bei bayerischen öffentlichen Krankenhäusern |
7.7.1. |
Gestaltungsimpulse bei Auftragsverarbeitungim Krankenhaus |
7.7.2. |
Regelungsrahmen |
8. |
Steuer- und Finanzverwaltung |
8.1. |
Neuregelung der Datenschutzaufsicht im Bereich der Grundsteuer |
8.1.1. |
Bisher: Aufsichtszuständigkeit nach § 32h Abs. 1 Satz 1 Abgabenordnung |
8.1.2. |
Neuregelung nach dem Bayerischen Grundsteuergesetz |
8.1.2.1. |
Verwaltung der Grundsteuer B durch die Finanzämter |
8.1.2.2. |
Verwaltung der Grundsteuer A durch die Finanzämter |
8.1.2.3. |
Verwaltung der Grundsteuer durch die Gemeinden |
8.1.3. |
Vorläufige Bewertung und Ausblick |
8.2. |
Erste praktische Erfahrungen mit dem Bayerischen Grundsteuergesetz |
8.2.1. |
Drei Fallgruppen von Datenschutzbeschwerden |
8.2.1.1. |
Namensverwechslungen |
8.2.1.2. |
Angaben zu Wohnungseigentümergemeinschaften |
8.2.1.3. |
Angabe der Wohnfläche |
8.2.2. |
Vorläufige Bewertung |
8.3. |
Weitergabe von persönlichen Daten durch die Staatliche Lotterie- und Spielbankverwaltung |
9. |
Personalverwaltung |
9.1. |
Verarbeitung von COVID-19-Immunitätsnachweisen im Rahmen der einrichtungsbezogenen Impfpflicht |
9.1.1. |
Die einrichtungsbezogene Impfpflicht im Überblick |
9.1.2. |
Beschwerden und Anfragen zur einrichtungsbezogenen Impfpflicht |
9.1.3. |
Fazit |
9.2. |
Einwilligung im Beschäftigungsverhältnis |
9.3. |
Verdeckte Tonaufzeichnung einer Videokonferenz |
9.3.1. |
Sachverhalt |
9.3.2. |
Rechtliche Würdigung |
9.4. |
Einsatz von Ortungssystemen in Dienstfahrzeugen zur Dienstaufsicht |
9.4.1. |
Sachverhalt |
9.4.2. |
Verarbeitung personenbezogener Ortungsdaten |
9.4.3. |
Rechtmäßigkeit der Überwachung |
9.4.3.1. |
Fehlende Rechtsgrundlage |
9.4.3.2. |
Erforderlichkeit |
9.4.4. |
Fazit |
9.5. |
Zugriff auf den dienstlichen E-Mail-Account eines verstorbenen Professors |
9.5.1. |
Verarbeitung personenbezogener Daten |
9.5.2. |
Rechtsgrundlage der Verarbeitung |
9.5.2.1. |
Berechtigtes Interesse |
9.5.2.2. |
Glaubhafte Darlegung des berechtigten Interesses |
9.5.2.3. |
Kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung |
9.5.3. |
Fazit |
9.6. |
Polizeiärztliche Untersuchung anlässlich einer Versetzung |
10. |
Schulen, Hochschulen, Kultur |
10.1. |
Beratung bei der Änderung schulrechtlicher Vorschriften |
10.1.1. |
Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen |
10.1.2. |
Bayerische Schulordnung |
10.1.3. |
Bekanntmachungen |
10.2. |
Datenverarbeitung bei der elektronischen Fernprüfung an Hochschulen (Videoaufsicht) |
10.2.1. |
Videoaufsicht bei der elektronischen Fernprüfung |
10.2.1.1. |
Rechtsgrundlage |
10.2.1.2. |
§ 1 Abs. 2 Satz 2 BayFEV |
10.2.1.3. |
§ 4 Abs. 1 Satz 1, § 6 Abs. 1 BayFEV |
10.2.1.4. |
Freiwilligkeit |
10.2.2. |
Übermittlung des Bildes an Mitprüflinge |
10.2.2.1. |
Aufnahmen durch Mitprüflinge möglich |
10.2.2.2. |
Keine gesetzliche Befugnis |
10.2.2.3. |
Keine wirksame Einwilligung |
10.3. |
Öffentliche Theater und Museen: Online-Ticketkauf mit Kundenkonto |
11. |
Zensus |
11.1. |
Zensus 2022 |
11.1.1. |
Hintergrund und Vorbereitungen |
11.1.2. |
Durchführung des Zensus 2022 |
11.2. |
Mikrozensus |
12. |
Technik und Organisation |
12.1. |
Datenschutzrechtliche Anforderungen für Penetrationstests |
12.2. |
Datenschutz-Folgenabschätzung (DSFA) und Risikoanalyse in der Praxis |
12.3. |
Arbeitsgruppe zu Ethik und Datenschutz bei Künstlicher Intelligenz |
12.4. |
Unzulässige Veröffentlichung von personenbezogenen Daten im Internet |
12.4.1. |
Suchmaschinen und Webarchiv |
12.4.2. |
Praktisches Vorgehen |
12.4.3. |
Portale zur Überprüfung auf Schadsoftware |
12.5. |
Sachstandserhebung zur elektronischen Datenverarbeitung im Zusammenhang mit der COVID-19-Pandemie in den Gesundheitsämtern |
12.5.1. |
Personelle Ausstattung |
12.5.2. |
Einsatz von Privatgeräten |
12.5.3. |
Eingesetzte Software |
12.5.4. |
Kontaktnachverfolgung |
12.5.5. |
Elektronische Kommunikation mit den Bürgerinnen und Bürgern |
12.5.6. |
Datenschutzmanagement |
12.5.7. |
Herausforderungen, Handlungsbedarfe und bestehende Good Practice-Umsetzungen |
12.6. |
Elektronische Kommunikation im Rahmen des COVID-19-Pandemiemanagements |
12.7. |
Software für das Kontaktpersonen- und Fallmanagement |
12.7.1. |
SORMAS |
12.7.2. |
Climedo |
12.8. |
Meldungen von Verletzungen des Schutzes personenbezogener Daten |
13. |
Datenschutzkommission |
14. |
Ländervertreter im EDSA |