≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 34. TB 2024 > 1 Überblick

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2024

1 Überblick

1.1 Datenschutz und Entbürokratisierung: Welche Spielräume lässt die Datenschutz-Grundverordnung dem nationalen Gesetzgeber?

Bürokratieabbau und Deregulierung sind seit jeher Kernanliegen bayerischer Regierungspolitik. Sie sollen nicht nur die Attraktivität des Wirtschaftsstandorts Bayern stärken, sondern auch den Bürgerinnen und Bürgern ebenso wie den Unternehmen mehr Eigenverantwortung ermöglichen. Im Berichtszeitraum hat sich überdies eine Enquete-Kommission des Bayerischen Landtags mit der Frage befasst, wie die öffentliche Verwaltung bürokratieärmer und bürgerfreundlicher gestaltet werden könne. Vor diesem Hintergrund bin ich verschiedentlich gefragt worden, welchen Beitrag das nationale Datenschutzrecht leisten könne, um diese Ziele zu unterstützen.

Bei entsprechenden Fragen klingt nicht selten das Vorverständnis an, Deutschland habe über die europäischen Datenschutzstandards hinaus zusätzliche Anforderungen aufgestellt, die sich negativ auf die Wettbewerbsfähigkeit deutscher Unternehmen und die Effektivität der öffentlichen Verwaltung auswirkten (Stichwort: "Goldplating").

Insofern ist zum einen zu bemerken, dass der Gestaltungsspielraum der nationalen Gesetzgeber - dazu zählen auch die deutschen Landesgesetzgeber - im Datenschutzrecht durchaus begrenzt ist. Das Datenschutzrecht ist in den Mitgliedstaaten zum einen maßgeblich von der Datenschutz-Grundverordnung geprägt. Der Unionsgesetzgeber hat einen übergreifenden Datenschutz-Rechtsrahmen geschaffen, der "unionsweit gleichmäßig und einheitlich" (EG 10 Satz 2 DSGVO) gelten soll. Das Unionsrecht versteht sich mithin gerade nicht als ein Mindeststandard, den die Mitgliedstaaten durch zusätzliche Anforderungen beliebig ausbauen könnten.

Sind den nationalen Gesetzgebern Spielräume eingeräumt, lassen sich diese zum andern nur in Einklang mit nationalem Verfassungsrecht ausfüllen. Dass hier in Deutschland eine in Jahrzehnten gewachsene verfassungsgerichtliche Rechtsprechung für einen Ausgleich der Interessen von Verantwortlichen auf der einen sowie von betroffenen Personen auf der anderen Seite sorgt, wird in der Diskussion gern übersehen.

Ich möchte daher insbesondere die Zusammenhänge von unionalem Datenschutzrecht und nationalem Verfassungsrecht wieder ins Gedächtnis rufen. Immerhin hat der Landesgesetzgeber mit dem 2018 in Kraft getretenen Bayerischen Datenschutzgesetz eine sehr schlanke Regelungslösung gefunden, die sich dieser Zusammenhänge in jeder Hinsicht bewusst ist und in ihrer Grundstruktur seitdem gut bewährt hat. Weder die Fortentwicklung des Datenschutzrechts im Allgemeinen noch der unionsgerichtlichen Rechtsprechung im Besonderen geben Anlass zu Änderungen an diesen Grundstrukturen. Die Notwendigkeit, neue Regelungsthemen - wie etwa nationale Aspekte der KI-Regulierung - legislativ zu bewältigen, erfordert kein Um-, sondern (nur) ein konsequentes Weiterdenken.

1.1.1 Eröffnet die Datenschutz-Grundverordnung den Mitgliedstaaten einen legislativen Gestaltungsspielraum?

Die Datenschutz-Grundverordnung ist ungeachtet ihrer Öffnungsklauseln eine EU-Verordnung, die nach Art. 288 Abs. 2 Vertrag über die Arbeitsweise der Europäischen Union in allen ihren Teilen verbindlich ist und unmittelbar in jedem Mitgliedstaat gilt. Dementsprechend bedürfen ihre Vorschriften grundsätzlich keiner Durchführungsmaßnahmen der Mitgliedstaaten.

Als allgemeiner Datenschutz-Rechtsrahmen verzichtet die Datenschutz-Grundverordnung weitgehend auf sektorspezifische Regelungen der Verarbeitung personenbezogener Daten. Um solche speziellen Vorschriften zu ermöglichen, sieht sie zahlreiche Öffnungs- und Spezifizierungsklauseln für besonderes Unionsrecht oder nationales Datenverarbeitungsrecht vor. Allerdings bleibt es dabei, dass die Datenschutz-Grundverordnung eine grundsätzliche Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll. Immerhin erkennt der Europäische Gerichtshof ausdrücklich an, dass die besagten Öffnungs- und Spezifizierungsklauseln den Mitgliedstaaten einen gewissen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen. Auch Erwägungsgrund 10 DSGVO sieht vor, dass die Mitgliedstaaten nationale Bestimmungen, mit denen die Anwendung der Vorschriften der Datenschutz-Grundverordnung genauer festgelegt wird, einführen oder beibehalten können. Allerdings müssen sie von ihrem Ermessen unter den Voraussetzungen und innerhalb der Grenzen der Verordnung Gebrauch machen. Die nationalen Gesetzgeber dürfen mithin nur Rechtsvorschriften erlassen, die nicht gegen Inhalt und Ziele der Datenschutz-Grundverordnung verstoßen.

Der konkrete Gestaltungsspielraum für die Mitgliedstaaten fällt dabei von Vorschrift zu Vorschrift durchaus unterschiedlich aus:

1.1.1.1 Ausnahmefall: Regelungsauftrag mit weitem Gestaltungsspielraum in Art. 85 DSGVO

Vereinzelt richtet die Datenschutz-Grundverordnung konkrete Regelungsaufträge an die Mitgliedstaaten. Namentlich Art. 85 DSGVO sieht vor, dass Mitgliedstaaten durch Rechtsvorschriften das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen haben. Der Wortlaut dieser Vorschrift ermöglicht den Mitgliedstaaten sehr weitgehende Einschränkungen des Datenschutzrechts.

Diesen Regelungsauftrag des Art. 85 DSGVO hat der Freistaat Bayern unter anderem mit Art. 38 Abs. 1 BayDSG erfüllt, der in Bezug auf die Verarbeitung personenbezogener Daten zu journalistischen, künstlerischen oder literarischen Zwecken die Anwendung des Datenschutzrechts im Wesentlichen auf technischorganisatorische Fragen beschränkt.

1.1.1.2 Häufiger Regelfall: Öffnungsklauseln als gelenktes legislatives Ermessen

Wesentlich häufiger sieht die Datenschutz-Grundverordnung Öffnungsklauseln vor, die dem nationalen Gesetzgeber zwar Regelungsoptionen eröffnen, bei denen das Ziel eines einheitlichen Datenschutzniveaus aber regulativ relativ strikt abgesichert wird.

Der wohl wichtigste Anwendungsfall der Öffnungsklauseln ist Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DSGVO. Danach wird die Rechtsgrundlage für den Bereich der Verarbeitung zur Erfüllung von Aufgaben im öffentlichen Interesse im nationalen Recht festgelegt.

Im Freistaat Bayern enthält Art. 4 BayDSG eine allgemeine Rechtsgrundlage für die behördliche Verarbeitung personenbezogener Daten. Sie wird durch Art. 5 BayDSG ergänzt, der Befugnisse speziell für Datenübermittlungen vorsieht. Allerdings können diese Befugnisnormen aus verfassungsrechtlichen Gründen lediglich eine Verarbeitung personenbezogener Daten rechtfertigen, die mit geringfügigen Grundrechtseingriffen verbunden ist. Für weitergehende Verarbeitungen gibt es deshalb auch im bayerischen Recht zahlreiche spezifische Verarbeitungsbefugnisse.

1.1.1.3 Weiterer Regelfall: Spezifizierungsklauseln

Von den Öffnungsklauseln zu unterscheiden sind Spezifizierungsklauseln wie beispielsweise Art. 88 DSGVO. Diese Vorschrift ermöglicht es in Abs. 1 den Mitgliedstaaten, durch Rechtsvorschriften spezifischere Vorschriften zur Gewährleistung des Beschäftigtendatenschutzes vorzusehen. Zugleich legt Art. 88 Abs. 2 DSGVO die Grenzen der von der Datenschutz-Grundverordnung in Kauf genommenen Differenzierung fest.

Der Europäische Gerichtshof hat klargestellt, dass die Mitgliedstaaten insoweit keinen Gestaltungsspielraum besitzen, von den allgemeinen Vorgaben der Datenschutz-Grundverordnung inhaltlich abzuweichen. Vielmehr dürfen sie lediglich Vorschriften erlassen, die einen zu dem geregelten Bereich passenden Regelungsgehalt haben. Wenn die Mitgliedstaaten die Regelungsoption des Art. 88 DSGVO nutzen wollen, können sie sich zudem nicht darauf beschränken, die allgemeinen Bestimmungen der Datenschutz-Grundverordnung lediglich zu wiederholen. Vielmehr müssen sie dann konkretere Vorgaben zum Schutz der Beschäftigten treffen. Insoweit genügt beispielsweise § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz nicht den Anforderungen einer "spezifischeren" Vorschrift im Sinne des Art. 88 Abs. 1 DSGVO, weil er den Verarbeitungsgrund des Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO letztlich nur paraphrasiert.

Das bayerische Personalaktenrecht ist von dieser Rechtsprechung nicht unmittelbar betroffen, worauf ich bereits an anderer Stelle hingewiesen habe.

1.1.2 Verfassungsrecht: Verarbeitung personenbezogener Daten setzt Verarbeitungsbefugnis voraus

Nutzen der Bundes- oder die Landesgesetzgeber Spielräume, die das Unionsrecht eröffnet, müssen sie auch Bindungen durch nationales Verfassungsrecht berücksichtigen. Dies gilt insbesondere für die Grundrechte des Grundgesetzes, wenn unter Gebrauch der Öffnungsklausel aus Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 Satz 1 Buchst. b DSGVO Rechtsgrundlagen für die Verarbeitung personenbezogener Daten geschaffen werden.

Im Mittelpunkt der Betrachtung steht dabei das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1, Art. 1 Abs. 1 Grundgesetz - GG) als nationales "Gegenstück" des unionalen Datenschutzgrundrechts (Art. 8 Abs. 1 Charta der Grundrechte der Europäischen Union). Eine Verarbeitung personenbezogener Daten durch öffentliche Stellen stellt danach in aller Regel einen Grundrechtseingriff dar, der rechtfertigungsbedürftig ist. "Rechtfertigung" bedeutet in diesem Zusammenhang, dass der Gesetzgeber eine hinreichend bestimmte Befugnis zur Verarbeitung personenbezogener Daten vorsieht und die Verantwortlichen diese Befugnis anwenden. Solche Befugnisse machen eine Verarbeitung davon abhängig, dass bestimmte Voraussetzungen vorliegen. Wie kurz der Gesetzgeber die Behörden dabei "an die Leine legen" kann oder muss, hängt maßgeblich davon ab, wie intensiv die legitimierten Grundrechtseingriffe ausfallen. Dabei sind stets auch Summeneffekte zu berücksichtigen.

So würde es beispielsweise nicht genügen, wenn der Bundesgesetzgeber für die Erfassung von personenbezogenen Meldedaten allein die Aufgaben der Meldebehörden festlegen würde, im Rahmen des Meldewesens ein Register zu führen - die entsprechende Regelung in § 2 Bundesmeldegesetz steht nur an der Spitze eines differenzierten Regelungsprogramms. Verfassungsrechtlich geboten sind hier auch hinreichend bestimmte Verarbeitungsbefugnisse, wie sie in den nachfolgenden Vorschriften des Bundesmeldegesetzes vorgesehen sind. Was die Meldebehörden dürfen und was nicht, ist auf diese Weise klar geregelt. Verarbeitungen von Meldedaten sind vorhersehbar, transparent und leicht zu überprüfen. Damit ist verfassungs- wie unionsrechtlichen Anforderungen gleichermaßen genügt.

Auf Grund der skizzierten verfassungsrechtlichen Vorgaben enthält das deutsche Datenschutzrecht des öffentlichen Sektors durchaus mehr Verarbeitungsregeln als in manchen anderen EU-Mitgliedstaaten. Die Verfassungsordnungen vieler anderer EU-Mitgliedstaaten lassen nämlich eine Aufgabenbeschreibung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten genügen. Es gibt also EU-Mitgliedstaaten, die von Verfassung wegen mit relativ wenigen gesetzlichen Aufgabenbeschreibungen dem Grundsatz der Rechtmäßigkeit genügen und hierzu nicht - wie Deutschland - eine Fülle von Befugnissen schaffen müssen. Bei Gesprächen mit Vertreterinnen und Vertretern anderer EU-Mitgliedstaaten, etwa im Rahmen meiner Funktion als Ländervertreter im Europäischen Datenschutzausschuss (vgl. Abschnitt 10), erfahre ich, dass sie vor dem Hintergrund ihrer Regelungslage die deutsche Diskussion um bürokratische Hemmnisse durch das EU-Datenschutzrecht nur teilweise nachvollziehen können.

Die Datenschutz-Grundverordnung verhält sich zu den verfassungsrechtlichen Rahmenbedingungen der Verarbeitung personenbezogener Daten im öffentlichen Interesse neutral. Das Ermessen der nationalen Gesetzgeber wird insoweit lediglich durch die Vorgaben des Art. 6 Abs. 3 Satz 2 bis 4 DSGVO gelenkt.

Im Übrigen sind grundsätzlich alle übrigen Tatbestandsvoraussetzungen des Art. 6 Abs. 1 DSGVO EU-weit einheitlich auszulegen. Entsprechendes dürfte in aller Regel für die Anwendung der Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO gelten. Jedenfalls gilt für die Begrifflichkeiten der Datenschutz-Grundverordnung, dass sie grundsätzlich in der gesamten Union eine autonome und einheitliche Auslegung erhalten, die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung, der mit ihr verfolgten Ziele und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist.

1.1.3 Fazit

Im Ergebnis enthält die Datenschutz-Grundverordnung in der Auslegung des Europäischen Gerichtshofs durchaus Vorschriften, die den nationalen Gesetzgebern einen gewissen Gestaltungsspielraum belassen. Häufig geht es dabei allerdings nur um die Frage des "Ob" einer Regelung. Hinsichtlich des "Wie" einer Verarbeitung personenbezogener Daten unterliegen die Mitgliedstaaten nicht nur Grenzen aus dem Unionsrecht, sondern auch aus dem nationalen Verfassungsrecht. Vor diesem Hintergrund könnte es sich als "Selbstüberforderung" erweisen, wenn ein effektiver Rückbau von Bürokratielasten gerade mit einem Instrument erreicht werden soll, das nur einen sehr punktuellen Zugriff auf die Regelungsmaterie erlaubt.

Reale Gestaltungsmöglichkeiten bestehen dagegen bei einer Weiterentwicklung des europäischen Datenschutzrechts. Einen ersten legislativen Vorschlag zur Änderung der Datenschutz-Grundverordnung hat die Europäische Kommission im Mai 2025 - also nach dem Ende des Berichtszeitraums - veröffentlicht, um die bürokratischen Lasten für kleine und mittlere Unternehmen zu reduzieren. Nach gegenwärtigem Stand werden bayerische öffentliche Stellen von diesen Vorschlägen voraussichtlich nicht unmittelbar profitieren. Unbenommen bleibt den Landesgesetzgebern, ihre Rechte insbesondere aus Art. 23 GG zu nutzen, um "Straffungspotenziale" im unionalen Datenschutzrecht deutlich zu machen und legislative Handlungsimpulse daraus zu generieren.

1.2 Über diesen Tätigkeitsbericht

Der Tätigkeitsbericht zieht eine Bilanz meiner Arbeit aus dem Jahr 2024. Was diese Arbeit ausmacht, hängt wesentlich davon ab, welche Gesetzgebungsvorhaben anstehen, welche Datenschutzfragen bei der Prüfung von Beschwerden und Beratungsanfragen aufkommen, welche Datenpannen sich ereignen, oder welche Entwicklungen der Informationstechnologie Datenschutzrelevanz erlangen. So zeigt auch dieser Tätigkeitsbericht wieder, wie Unionsrecht und nationales Recht in vielfältigen Verwaltungsmaterien Datenschutzüberlegungen veranlassen und wie Verantwortliche, behördliche Datenschutzbeauftragte und insbesondere meine Behörde auf Lösungen hinwirken, die pragmatischen Bedürfnissen, gleichermaßen aber den Bindungen aus der Datenschutz-Grundverordnung, dem Bayerischen Datenschutzgesetz und den bereichsspezifischen Regelungen gerecht werden.

Im Bereich der Allgemeinen Inneren Verwaltung konnte ich die Implementierung der vom Gesetzgeber neu eröffneten Gestaltungsmöglichkeiten beim Streaming von kommunalen Gremiensitzungen sowie von Bürgerversammlungen in einem Papier mit konkreten Hinweisen unterstützen (Beitrag Nr. 3.1). Namen von Personen zu veröffentlichen, die Gemeinden Geld zukommen lassen, kann die Korruptionsprävention nahelegen; manchmal möchte eine Spenderin oder ein Spender aber auch einfach ein gutes Werk tun, ohne dass irgendwer davon erfährt. Wie weit einem solchen Vertraulichkeitsinteresse entsprochen werden kann, habe ich anlässlich der Beratungsanfrage einer Gemeinde untersucht (Beitrag Nr. 3.2). Ferner war ich etwa mit der datenschutzkonformen Einrichtung eines digitalen "Mängelmelde-Tools" befasst (Beitrag Nr. 3.3).

Einen Schwerpunkt bei der Beratung der Polizei bildete die Begleitung eines Gesetzgebungsverfahren, das die Voraussetzungen für den Einsatz einer verfahrensübergreifenden Recherche- und Analyseplattform betraf. Meine ausführliche, in Anbetracht meines gesetzlichen Auftrags zum Grundrechtsschutz unvermeidlich kritische Stellungnahme fand im Ergebnis leider wenig Gehör (Beitrag Nr. 2.1). Aus dem Polizeialltag beschäftigten mich auch im Berichtsjahr Speicherungen für Bürgerinnen und Bürger ungünstiger Informationen in den zahlreichen polizeilichen Dateien. Gleich drei Beiträge befassen sich mit Facetten dieses Themas (Beiträge Nr. 2.3 bis 2.5). Außerdem habe ich beispielsweise die Transparenz beim Einsatz von Polizeidrohnen sowie die Einhaltung datenschutzrechtlicher Vorgaben bei Observationen kontrolliert (Beiträge Nr. 2.2 und 2.8). Was die Justiz betrifft, möchte ich eine Beanstandung hervorheben, die ich gegenüber einer Staatsanwaltschaft ausgesprochen habe. Dabei ging es um eine ungesetzliche, für die betroffene Person zumindest potenziell folgenschwere Mitteilung aus einem dort geführten Verfahren (Beitrag Nr. 2.10).

Auch aus den vielfältigen Datenschutzproblemen im Sozial- und Gesundheitsbereich kann der Tätigkeitsbericht nur einige wenige aufgreifen. So gab mir eine Beschwerde Anlass, die Wirkung datenschutzrechtlicher Vorgaben auf die behördliche Sachverhaltsermittlung näher zu analysieren. Insgesamt bin ich hier zu der Einschätzung gelangt, dass diese Vorgaben zwar einer gelegentlich zu beobachtenden "Überaufklärung" entgegenwirken, eine gründliche und kritische Sachverhaltsermittlung aber nicht hindern, wenn sie an den entscheidungserheblichen Normen orientiert bleibt (Beitrag Nr. 4.1). Einige Beratungsanfragen erreichten mich im Zusammenhang mit der Mitteilungsverordnung, in der es um Datentransfers von öffentlichen Stellen zu den Finanzämtern geht. Meine Erkenntnisse aus der Beschäftigung mit dieser recht spröden Materie habe ich in einem mehrteiligen Beitrag zusammengestellt (Beitrag Nr. 4.3). Ein unscheinbares, jedoch nicht ganz triviales Problem war die datenschutzrechtliche Verantwortlichkeit beim Wirken der ehrenamtlichen Pharmazieräte (Beitrag Nr. 4.7). Einrichtungen kritischer Infrastruktur sind mitunter darauf angewiesen, sicherheitssensible Bereiche mit Videotechnik zu überwachen. Die einschlägige gesetzliche Regelung lässt dies nur bei Nachweis einer Gefahrsituation zu. Dieser Nachweis kann am einfachsten mit einer Vorfallsdokumentation geführt werden. Einer bei mir anfragenden öffentliche Stelle konnte ich gleichwohl einen Weg aufzeigen, wie sie den Nachweis auch auf andere Art seriös führen kann (Beitrag Nr. 4.8).

Der Personaldatenschutz ist sehr detailliert und weithin landesrechtlich geregelt. Auf einem kontinuierlichen Strom von Beschwerden und Beratungsanfragen fließen mir hier immer wieder neue Datenschutzprobleme zu. So war ich gleich in zwei Fällen mit Datenerhebungen bei der Berufung von Professoren an bayerischen öffentlichen Hochschulen befasst. Einwände hatte ich gegen die Beschaffung von Informationen über eingestellte Straf- oder Disziplinarverfahren (Beitrag Nr. 5.1), während ich dem Verlangen einer Hochschule nach der frühzeitigen Vorlage einstellungsrelevanter Urkunden - auch auf Grund von Besonderheiten des Berufungsverfahrens - nicht entgegengetreten bin (Beitrag Nr. 5.2). Weniger speziell war die Frage, was bei einer Veröffentlichung von Beschäftigtendaten im Internet zu beachten ist. Die gesetzlichen Regelungen bieten hier eine Balance von Transparenz- und Vertraulichkeitsinteresse und sind gar nicht schwer anzuwenden (Beitrag Nr. 5.4).

Meine Datenschutzarbeit bei den bayerischen öffentlichen Schulen profitiert weiterhin von einer bereits über zwei Jahrzehnte aufgebauten Wissensbasis, die - in den Tätigkeitsberichten sowie ergänzenden Papieren dokumentiert - den Beteiligten ein hohes Maß an Handlungssicherheit vermittelt. Häufig sind daher Detailfragen zu klären, wie auch die aktuellen Beiträge in diesem Themenfeld zeigen. Hervorheben möchte ich eine Beschwerde, die den Umgang einer Schulleitung mit einem Auskunftsantrag betraf. Der Fall macht auf selten exemplarische Weise deutlich, wie einfallsreich öffentliche Stellen Auskunftsansprüche mitunter zu blockieren suchen und wie wenig tragfähig viele der vorgebrachten Hinderungsgründe bei näherer Betrachtung sind (Beitrag Nr. 6.2).

Im technisch-organisatorischen Datenschutz ist von massiven Hackerangriffen auf bayerische öffentliche Stellen zu berichten. Leider haben es IT-Verantwortliche den Hackern mitunter zu leicht gemacht, weil sie etwa ein wirksames Patch-Management versäumt haben. In diesem Kontext habe ich einige förmliche Beanstandungen ausgesprochen (Beitrag Nr. 8.6). Weiterhin erläutere ich - auch für Bürgerinnen und Bürger - Maßnahmen gegen Phishing-Angriffe sowie gegen eine unerwünschte Nutzung internetverfügbarer Fotos für das Training Künstlicher Intelligenz (Beiträge Nr. 8.3 und 8.1). In der analogen Welt waren etwa der Postversand von Datenträgern oder - wieder einmal - der Fehlversand von behördlichen Schreiben Gegenstände meiner Tätigkeit (Beitrag Nr. 8.5 und 8.2).

Soweit sich meine Kontrolltätigkeit schließlich auf den informationsfreiheitsrechtlichen Zugangsanspruch aus Art. 39 BayDSG bezieht, konnte ich einen größeren Fall abschließen, den ich bereits im letzten Tätigkeitsbericht geschildert habe. Ein Verein, der bei einer Vielzahl von Kommunen bestimmte Informationen angefragt hatte, gelangte mit meiner Unterstützung am Ende in der ganz überwiegenden Zahl der Fälle zum Ziel. In nicht wenigen Rathäusern wurde viel zu viel Zeit darin investiert, einen Anspruch nicht zu erfüllen, dessen Voraussetzungen recht offensichtlich gegeben waren (Beitrag Nr. 7.1). Einem Bürger, der Zugang zu einem "Abschleppkatalog" begehrte, konnte ich leider nicht weiterhelfen (Beitrag Nr. 7.3).

Einen besonderen Dank möchte ich in diesem Jahr den Mitarbeiterinnen und Mitarbeitern meiner Geschäftsstelle aussprechen. Von ihnen wird die Datenschutzarbeit geleistet, aus der dieser Tätigkeitsbericht eine Essenz zieht.

Neben dem Stammpersonal der Dienststelle, zu dem insbesondere die Referatsleitungen sowie die Servicekräfte zählen, sind hier die Referentinnen und Referenten zu nennen, meist junge Juristinnen und Juristen, die für eine gewisse Zeit aus den Staatsministerien, nachgeordneten Behörden oder der Justiz entsandt werden und bei mir vertiefte Datenschutzkompetenz erwerben. Sie erarbeiten die meisten Beratungsschreiben in Gesetzgebungsverfahren und bei konkreten Datenschutzproblemen bayerischer öffentlicher Stellen, Entscheidungen in Datenschutz-Beschwerdeverfahren samt dem nicht selten umfangreichen vorbereitenden Schriftverkehr, führen Vor-Ort-Prüfungen durch, halten Vorträge oder nehmen an Gremiensitzungen auf nationaler wie unionaler Ebene teil. All das sind fordernde, mitunter auch zeitlich gedrängt zu erledigende Aufgaben.

So werden die Voraussetzungen geschaffen, dass die Referentinnen und Referenten im Datenschutz handlungssicher zu ihren "Heimatbehörden" zurückkehren können. Sie dürfen dort im Idealfall ihre Expertise einbringen, Geschäftsprozesse von vornherein datenschutzgerecht zu steuern - damit Zeit, Geld oder Nerven kostende Probleme mit "dem Datenschutz" bereits gelöst werden, bevor sie entstehen können. Meine "Ehemaligen" können aber auch als Multiplikatoren wirken, die Funktion von behördlichen Datenschutzbeauftragten, von IT-Sicherheits- oder KI-Beauftragten übernehmen. Viele Ressorts der Bayerischen Staatsregierung haben diese Mehrwerte längst erkannt; mit einigen haben sich im Lauf der Zeit verlässliche "Entsende-Kooperationen" herausgebildet, von denen meine Behörde, das "Partnerministerium", aber auch sein nachgeordneter Bereich kontinuierlich profitieren. Gleichwohl böte eine Ausdehnung der engeren Zusammenarbeit auf weitere Teile der bayerischen Staatsverwaltung zusätzlichen Gewinn.

1.3 Neue Beiträge im digitalen Informationsangebot des Landesbeauftragten

Die Erläuterung des datenschutzrechtlichen Handlungsrahmens in einem breit gefächerten Informationsangebot für Verantwortliche des bayerischen öffentlichen Sektors ist mir seit jeher ein besonderes Anliegen. Daher freue ich mich sehr, dass im Jahr 2024 zwei neue Orientierungshilfen erscheinen konnten. Die beiden in der Erstellung aufwändigen Papiere dienen weniger einer "Grundsensibilisierung" oder dem ersten Überblick, sondern sollen bayerischen öffentlichen Stellen dabei helfen, auch schwierige Fragestellungen auf dem jeweiligen Themengebiet fachlich seriös in den Griff zu bekommen.

  • Die Orientierungshilfe "Gemeinsame Verantwortlichkeit" spiegelt die durch Digitalisierung und Globalisierung zunehmende Kooperation bei Datenumgängen wider. Sie soll durch die Vermittlung des nötigen Hintergrundwissens die Handlungssicherheit für bayerische öffentliche Stellen bei gemeinsam mit anderen Verantwortlichen durchgeführten Datenverarbeitungen erhöhen. Auf 71 Seiten behandelt die Orientierungshilfe nicht nur Voraussetzungen und Rechtsfolgen der gemeinsamen Verantwortlichkeit, sondern gibt auch ausführliche Hinweise zur Abgrenzung von anderen in der Datenschutz-Grundverordnung vorgesehenen Rollen sowie zur Gestaltung einschlägiger Vereinbarungen.
  • Demgegenüber erläutert die Orientierungshilfe "Daten-Governance-Rechtsakt" die seit Herbst 2023 vor dem Hintergrund einer beabsichtigten Erhöhung der Datenverfügbarkeit unionsweit geltenden Mechanismen für die Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen. Sie befasst sich zudem mit den erstmals in dieser Form gesetzlich formulierten Rahmenbedingungen für Datenvermittlungsdienste und Datenaltruismus sowie mit Drittlandtransfers nicht personenbezogener Daten.

In der Reihe der "Aktuellen Kurz-Informationen" habe ich im Berichtsjahr die Nummern 53 bis 56 bereitgestellt. Hervorzuheben ist hier der Beitrag "Widerspruchsrechte der Versicherten bei der elektronischen Patientenakte", der insbesondere Patientinnen und Patienten die vielfältigen Möglichkeiten des "Zugriffsmanagements" beim eigenen Datenbestand nahebringen soll.

Von meinem zweisprachigen (deutsch/englisch) Newsletter "Privacy in Bavaria" konnte ich 2024 acht Ausgaben veröffentlichen. Für das kommende Jahr sind neue Publikationen, auch Überarbeitungen bereits vorhandener Papiere geplant. Verantwortliche des bayerischen öffentlichen Sektors, ihre behördlichen Datenschutzbeauftragten und alle anderen am Datenschutz Interessierten erfahren auf meinem Mastodon-Kanal https://social.bund.de/@BayLfD (externer Link) tagesaktuell, was es an Neuem gibt.

  1. Beschluss des Bayerischen Landtags zur Einsetzung einer Enquete-Kommission im Bayerischen Landtag „Potenziale in Gesellschaft, Wirtschaft und Verwaltung entfesseln – Das Leben leichter machen, Bürokratie abbauen, den Staat neu denken“, LT-Drs. 19/2909. [Zurück]
  2. Ständige Rechtsprechung, vgl. Europäischer Gerichtshof, Urteil vom 15. Juni 2021, C-645/19, Rn. 109; Urteil vom 30. März 2023, C-34/21, Rn. 77. [Zurück]
  3. Vgl. Art. 4 Nr. 7 Halbsatz 2, Art. 4 Nr. 8, Art. 6 Abs. 3 Satz 1 Buchst. a und b, Art. 9 Abs. 2 Buchst. a, b, g, h, i, j, Abs. 3, Art. 10 Satz 1, Art. 14 Abs. 5 Buchst. d, Art. 17 Abs. 2 Buchst.  e, Art. 28 Abs. 3 Satz 1, Abs. 4, Art. 29, Art. 35 Abs. 10, Art. 49 Abs. 5, Art. 80 Abs. 2, Art. 86, Art. 89 Abs. 2, Abs. 3 sowie Art. 90 DSGVO. [Zurück]
  4. Vgl. zum Beispiel Europäischer Gerichtshof, Urteil vom 28. April 2022, C-319/20, Rn. 57. [Zurück]
  5. Europäischer Gerichtshof, Urteil vom 3. April 2025, C-710/23, Rn. 40; Urteil vom 30. März 2023, C-34/21, Rn. 59; Urteil vom 28. April 2022, C-319/20, Rn. 60 ff. [Zurück]
  6. Bayerischer Verwaltungsgerichtshof, Beschluss vom 15. Februar 2024, 4 CE 23.2267, Rn. 19 f. [Zurück]
  7. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, Rn. 73. [Zurück]
  8. Vgl. Europäischer Gerichtshof, Urteil vom 30. März 2023, C-34/21, Rn. 61. [Zurück]
  9. Bayerischer Landesbeauftragter für den Datenschutz, Bayerisches Personalaktenrecht und unionales Datenschutzrecht, Aktuelle Kurz-Information 49, Stand 7/2023, Internet: https://www.datenschutz-bayern.de, Rubrik „Infothek“. [Zurück]
  10. Hier nicht vertiefen kann ich die Frage, welche Spielräume Öffnungsklauseln ermöglichen, die wie etwa Art. 23 Abs. 1 DSGVO Beschränkungen oder wie Art. 9 Abs. 2 DSGVO Ausnahmen von Verarbeitungsverboten zulassen. Es sei nur angemerkt, dass sie als Ausnahme von der Regel eng auszulegen sind; vgl. exemplarisch in Bezug auf Art. 23 Abs. 1 DSGVO etwa Europäischer Gerichtshof, Urteil vom 26. Oktober 2023, C-307/22, Rn. 53 ff., und in Bezug auf Art. 9 Abs. 2 DSGVO Europäischer Gerichtshof, Urteil vom 4. Oktober 2024, C-446/21, Rn. 76, jeweils mit weiteren Nachweisen. [Zurück]
  11. Vgl. Europäischer Gerichtshof, Urteil vom 19. Dezember 2024, C-65/23, Rn. 37; Urteil vom 14. Dezember 2023, C-340/21, Rn. 23 mit weiteren Nachweisen. [Zurück]
  12. Vgl. Europäische Kommission, Vorschlag vom 21. Mai 2025 für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnungen (EU) 2016/679, (EU) 2016/1036, (EU) 2016/1037, (EU) 2017/1129, (EU) 2023/1542 und (EU) 2024/573 hinsichtlich der Ausweitung bestimmter für kleine und mittlere Unternehmen verfügbarer Abhilfemaßnahmen auf kleine Midcap-Unternehmen sowie hinsichtlich weiterer Vereinfachungsmaßnahmen, COM (2025) 501. [Zurück]
  13. Bayerischer Landesbeauftragter für den Datenschutz, Gemeinsame Verantwortlichkeit, Stand 6/2025, Internet: https://www.datenschutz-bayern.de, Rubrik „Infothek“. [Zurück]
  14. Bayerischer Landesbeauftragter für den Datenschutz, Daten-Governance-Rechtsakt. Auf dem Weg zu einem europäischen Binnenmarkt für Daten, Stand 5/2025, Internet: https://www.datenschutz-bayern.de, Rubrik „Infothek“. [Zurück]
  15. Bayerischer Landesbeauftragter für den Datenschutz, Widerspruchsrechte der Versicherten bei der elektronischen Patientenakte, Aktuelle Kurz-Information 56, Stand 3/2025, Internet: https://www.datenschutz-bayern.de, Rubrik „Infothek“. [Zurück]