Bayerische GemeindeZeitung

Fachthemazurück

(GZ-12-2020)
gz fachthema

► Bayerischer Datenschutzbericht 2019:
 

Im Zeichen der Konsolidierung
 

Die Umsetzung der Datenschutz-Grundverordnung sowie klassische datenschutzrechtliche Fragen und Probleme aus dem Behördenalltag stehen im Mittelpunkt des Tätigkeitsberichts 2019, den der bayerische Landesbeauftragte für Datenschutz, Thomas Petri, jüngst vorstellte. Seinen Ausführungen zufolge stand das vergangene Jahr im Zeichen einer Konsolidierung und Differenzierung: Alte Datenschutzprobleme stellten sich vor dem Hintergrund des gewandelten Rechtsrahmens neu, bisher unbekannte Probleme traten hinzu.

Einen ersten Schwerpunkt des Tätigkeitsberichts bilden die grundsätzlichen Themen wie etwa die Identifizierung betroffener Personen bei der Geltendmachung von Betroffenenrechten. Hier waren Petri zufolge Empfehlungen zu formulieren, die es Bürgerinnen und Bürgern nicht unnötig erschweren, Rechte etwa auf Auskunft oder auf Berichtigung gegenüber einem Verantwortlichen geltend zu machen, zugleich aber gewährleisten, dass nicht - gerade beim Recht auf Auskunft - schützenswerte Daten an nichtberechtigte Dritte gelangen.

Beim Beitrag zu Beschäftigtenfotos für Marketingmaßnahmen öffentlicher Stellen geht es u.a. um die in der Datenschutzliteratur viel diskutierte Frage des Verhältnisses von (Kunst-)Urheberrecht und Datenschutzrecht. Einer Nutzung von Beschäftigtenfotos steht Petri in diesem Zusammenhang kritisch gegenüber.

Der Tätigkeitsbericht bildet zahlreiche Probleme zwischen Bürgern und Behörden im Datenschutz ab. Dabei geht es einmal mehr auch um das Polizeiaufgabengesetz. So war ein 78-jähriger Mann als möglicher pädophiler Gefährder in Polizei-Datenbanken gelandet, nachdem er auf einem Spielplatz eine Hüpfburg für seinen Enkel fotografiert hatte und besorgte Eltern die Polizei alarmierten.

Sein beschlagnahmtes Smartphone erhielt der Rentner erst nach einem Monat wieder zurück. „Mit seinem Einverständnis wurde eine Videosequenz von dem Telefon gelöscht, obwohl weder rechtlich problematische Daten noch Aufnahmen der besagten Kinder von der Hüpfburg darauf erkennbar waren“, schreibt der Landesdatenschutzbeauftragte.

Obwohl das für Sexualdelikte zuständige Kommissariat „zu dem Schluss kam, dass keine Hinweise auf eine sexuelle Motivation des Rentners vorlagen, zog der Vorfall auf Landes- und sogar auf Bundesebene zahlreiche Speicherungen zur ‚polizeilichen Gefahrenabwehr‘ nach sich“, berichtet Petri. Erst auf Intervention des Datenschutzbeauftragten seien die Akten des Mannes, darunter auch ein DNA-Test sowie Finger- und Handflächenabdrücke, wieder von der Polizei gelöscht worden.

Datenschutzfragen der Kommunalpraxis stellen einen weiteren Schwerpunkt des Tätigkeitsberichts dar. Systematisch beleuchtete Bayerns oberster Datenschützer die datenschutzrechtlichen Hintergründe der Behandlung von Bausachen im Gemeinderat – in der Hoffnung, dass dies vielerorts die Sensibilität schärft und zu einer datenschutzgerechten Vorbereitung und Durchführung der Gremiensitzungen verhilft.

Bei der Nutzung von Videotechnik in Bürgerversammlungen spricht sich Petri für eine restriktive Handhabung aus. Nach seinen Worten „eröffnet die fortschreitende Digitalisierung immer neue Möglichkeiten für Information und Partizipation.

Auch viele bayerische Kommunen wollen neue Formate für sich nutzen. Allerdings dürfen bei allem Verständnis für die Chancen der Digitalisierung die hiermit verbundenen datenschutzrechtlichen Risiken nicht ausgeblendet werden. Aus gutem Grund ist nicht alles, was technisch möglich ist auch (datenschutz-)rechtlich erlaubt. Dies gilt auch für den im Berichtszeitraum an mich herangetragenen Wunsch, Bürgerversammlungen live ins Internet zu übertragen, damit interessierte Bürger diese ortsungebunden verfolgen können.“

IT-Outsourcing

Noch nicht abgeschlossen sind die Diskussionen zum IT-Outsourcing im kommunalen Bereich. Petri zufolge variiert die Spannbreite des IT-Outsourcings im kommunalen Bereich erheblich. Neben vergleichsweise unproblematischen Anfragen zu Erstellung und Betrieb von kommunalen Homepages durch externe Anbieter sowie der Videoüberwachung kommunaler Einrichtungen durch Externe habe er auch von Fällen einer vollständigen Auslagerung der kommunalen Informationstechnologie erfahren.

Die Praxis vieler bayerischer Kommunen, Bürgerdaten an externe Dienstleister auszulagern, ist aus Sicht des Landesdatenschutzbeauftragten bedenklich. Darauf weise exemplarisch ein pressewirksamer Fall hin, in dem von einem Landratsamt geleaste Festplatten nach Rückgabe an den Leasinggeber dort unter Missachtung technischer Standards entsorgt und dabei personenbezogene Daten von Bürgern offenbart wurden. Petri:

„Um der eigenen Verantwortung gerecht zu werden, muss eine Kommune nicht nur Dienstleister sorgfältig und streng auswählen, vielmehr muss sie auch im Fall einer Auslagerung Fachwissen vorhalten und bereit sein, sich mit IT-Vorgängen auseinanderzusetzen.“

Da sich viele Kommunen aufgrund der voranschreitenden Digitalisierung mit dem Thema IT-Outsourcing beschäftigen, hat Petri einen Abstimmungsprozess zu Grenzen und Voraussetzungen des IT-Outsourcings im kommunalen Bereich angestoßen. Hieran nehmen im Rahmen einer Arbeitsgruppe neben ihm auch das Bayerische Innenministerium, der Bayerische Kommunale Prüfungsverband, das Bayerische Landesamt für Sicherheit in der Informationstechnik, der Bayerische Städtetag und der Bayerische Gemeindetag teil.

Ziel ist es, einen abgestimmten Anforderungskatalog zu erarbeiten, der den Kommunen bei der Entscheidung hilft, ob und inwieweit ein IT-Outsourcing im Einzelfall zulässig ist. Dieser Anforderungskatalog, der fachgesetzliche, datenschutz- und haushaltsrechtliche sowie technischorganisatorische Kriterien enthalten soll, wird derzeit von der Arbeitsgruppe abgestimmt.

Technische Fragen

Ein dritter Schwerpunkt des Tätigkeitsberichts liegt bei technischen und organisatorischen Fragen, wobei ein grundsätzlicher Beitrag zum Thema „Künstliche Intelligenz“ im Zentrum steht. Versucht wird, über zahlreiche Facetten dieses komplexen Themas zu informieren und den Entwicklungsstand in Bayern sowie datenschutzrechtliche Handlungsbedarfe aufzuzeigen. Darüber hinaus berichtet der Datenschützer über seine Arbeit auf dem Themenfeld „Datenschutz-Folgenabschätzung“ und gibt insbesondere bayerischen Behörden praktische Hinweise zur Prävention gegen das Eindringen von Schadsoftware in IT-Systeme oder zur Überwachung von Auftragsverarbeitern bei Fernzugriffen.

Was das laufende Jahr anbelangt, ist für Petri die Corona-Krise der thematische Schwerpunkt der Datenschützer. Sowohl der Umgang mit Videokonferenzen als auch die geplante Einführung einer App zur Aufspürung von Infektionsketten seien gute Beispiele, wie die Pandemie den Datenschutz beeinträchtige.

Bei der App wäre es datenschutzrechtlich bedenklich, wenn die Informationen nicht freiwillig „gespendet“ würden, stellte Petri fest. Bei Videokonferenzen von Mitarbeitern im Homeoffice gebe es immer wieder Fälle, bei denen unbeabsichtigt Daten weitergegeben würden. Das beginne bereits damit, dass nicht in allen technischen Systemen sichergestellt werden könne, dass auch Unbefugte an Konferenzen teilnehmen könnten. Fragwürdig seien auch bei Prüfungen in Videoformaten Vorgaben, dass Prüflinge ihre Wohnung abfilmen sollten, um teilnehmen zu dürfen.

DK

 

GemeindeZeitung

Fachthema

AppStore

TwitterfacebookinstagramYouTube

Google Play

© Bayerische GemeindeZeitung

Powered by mmp