Pres­se­mit­tei­lung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht vom 28.01.2020

Der Prä­si­dent des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig, stell­te am heu­ti­gen Euro­päi­schen Daten­schutz­tag den letz­ten Tätig­keits­be­richt in sei­ner Amts­zeit vor.

Prä­si­dent Kra­nig stell­te den 75 Sei­ten umfas­sen­den 9. Tätig­keits­be­richt für das ver­gan­ge­ne Jahr 2019 per­sön­lich vor und wies ins­be­son­de­re dar­auf hin, dass die Bela­stung durch den erheb­li­chen Anstieg von Bür­ger­be­schwer­den und Mel­dun­gen über Daten­schutz­ver­let­zun­gen von Unter­neh­men noch­mals deut­lich ange­stie­gen sei. Damit habe sich die Bear­bei­tungs­zeit lei­der zwangs­läu­fig ver­län­gert. Durch die kürz­lich erfolg­te Per­so­nal­auf­stockung gehe er aber davon aus, dass sich die Situa­ti­on im Lau­fe die­ses Jah­res ver­bes­sern werde. 

Im nach­fol­gen­den Abschnitt wer­den die wesent­li­chen Inhal­te der Pres­se­ver­an­stal­tung wiedergegeben: 

1. Tätig­keits­be­richt nur noch digital 
Wir haben wie im letz­ten Jahr dar­auf ver­zich­tet, den Tätig­keits­be­richt als Buch her­aus­zu­ge­ben. Die Reak­tio­nen dar­auf waren zuletzt über­wie­gend posi­tiv aus­ge­fal­len. Durch die Ver­öf­fent­li­chung als digi­ta­les Doku­ment auf der Web­site des BayL­DA kann jeder Inter­es­sier­te kosten­frei nach­le­sen, wel­che The­men für das jewei­li­ge Berichts­jahr beson­de­re Rele­vanz hatten.

2. Sta­ti­stik: Beschwer­den, Bera­tun­gen und Mel­dun­gen von Datenschutzverletzungen 

2.1. Beschwer­den und Kontrollanregungen 
Rück­blickend auf das Jahr 2019 waren wir von der Anzahl der Beschwer­den und Kon­troll­an­re­gun­gen über­rascht: Die­se sind in den letz­ten zwölf Mona­ten noch ein­mal enorm ange­stie­gen. Wie schon im letz­ten Bericht aus­ge­führt, gehen wir davon aus, dass ins­be­son­de­re die zahl­rei­chen Ver­an­stal­tun­gen, Pres­se­be­rich­te und Infor­ma­ti­ons­ma­te­ria­li­en dazu geführt haben, dass vie­len Bür­gern bewuss­ter gewor­den ist, dass sie selbst Betrof­fe­nen­rech­te haben und die­se auch gel­tend machen können. 

Die­se Ent­wick­lung mag daher aus Sicht der Gesell­schaft posi­tiv zu bewer­ten sein, weil spür­bar ein gestei­ger­tes Daten­schutz­be­wusst­sein vor­han­den ist. Für uns als Behör­de wur­de es aber dadurch noch schwie­ri­ger, weil wir mit der Bear­bei­tung der zahl­rei­chen Ein­ga­ben nicht mehr in gewohn­ter Wei­se hin­ter­her­ge­kom­men sind und wir somit unse­ren „Schul­den­berg“ bzw. Arbeits­vor­rat unfrei­wil­lig auf­bau­en mussten. 

2.2. Bera­tung
Im Ver­gleich zum letz­ten Jahr sind die Bera­tungs­an­fra­gen zah­len­mä­ßig stark gesun­ken. Ins­be­son­de­re Ver­ei­ne, klei­ne Hand­werks­be­trie­be u. ä. haben nur noch in rela­tiv weni­gen Fäl­len um Bera­tung gebe­ten. Unse­re gro­ße Infor­ma­ti­ons­wel­le im Jahr 2018 in Ver­bin­dung mit einem gestei­ger­ten Infor­ma­ti­ons­an­ge­bot auf unse­rer Home­page hat wohl dazu geführt, dass gera­de die­se Ver­ant­wort­li­chen aus­rei­chend dar­über infor­miert sind, wie sie mit per­so­nen­be­zo­ge­nen Daten umzu­ge­hen haben. 

Bera­tung ist uns nach wie vor sehr wich­tig, da wir damit zur Rechts­si­cher­heit bei­tra­gen kön­nen und zudem erfah­ren, wel­che Fra­ge­stel­lun­gen Ver­ant­wort­li­che in der Pra­xis haben. Im Ergeb­nis hat sich die Bera­tungs­last für uns aber nicht, wie man es allein auf­grund der Zah­len anneh­men könn­te, auf etwa ein Drit­tel redu­ziert. Statt­des­sen ist die Kom­ple­xi­tät und Schwie­rig­keit der Anfra­gen mitt­ler­wei­le deut­lich gestiegen. 

Dadurch hat auch die Bear­bei­tungs­zeit gelit­ten. In vie­len Fäl­len ist es uns nicht gelun­gen, Beschwer­de­füh­rern inner­halb der gesetz­li­chen Frist von drei Mona­ten eine Infor­ma­ti­on über den Sach­stand bzw. Aus­gang des Ver­fah­rens zu ertei­len. In Ein­zel­fäl­len haben Beschwer­de­füh­rer des­halb eine Untä­tig­keits­kla­ge beim Ver­wal­tungs­recht Ans­bach erhoben. 

2.3. Mel­dung von Datenschutzverletzungen 
Wie zuletzt von uns pro­gno­sti­ziert, sind die Mel­dun­gen von Daten­schutz­ver­let­zun­gen noch­mals deut­lich ange­stie­gen. Selbst wenn vie­le der Mel­dun­gen den so genann­ten Fehl­ver­sand betref­fen (z. B. Arzt schickt Arzt­brief an fal­schen Emp­fän­ger), haben sich gra­vie­ren­de Sicher­heits­vor­fäl­le in den ande­ren Berei­chen wie Cybercrime oder Ver­schlüs­se­lungs­tro­ja­ner gehäuft. Hier nahm der Auf­wand der Auf­ar­bei­tung sol­cher Vor­fäl­le, ins­be­son­de­re ange­mes­sen zu reagie­ren und auch zu bera­ten, damit künf­tig wei­te­re Schä­den nicht mehr pas­sie­ren, für uns enorm zu. 

Vor dem Hin­ter­grund einer über­re­gio­na­len Bedro­hungs­la­ge aus dem Cyber­raum, die sich auch in den Mel­dun­gen von Daten­schutz­ver­let­zun­gen spie­geln, hat die Baye­ri­sche Staats­re­gie­rung beschlos­sen, zum 1. Janu­ar 2020 die „Cyber­ab­wehr Bay­ern“ ins Leben zu rufen. Dabei han­delt es sich um eine aus­schließ­lich behör­den­in­ter­ne Infor­ma­ti­ons- und Koope­ra­ti­ons­platt­form für alle baye­ri­schen Lan­des­be­hör­den mit Cyber­si­cher­heits­auf­ga­ben. Wir haben uns ent­schie­den, an die­ser Platt­form teil­zu­neh­men, an der das Cyber­Al­li­anz-Zen­trum (CAZ) im Baye­ri­schen Lan­des­amt für Ver­fas­sungs­schutz, die Zen­tra­le Ansprech­stel­le Cybercrime (ZAC) im Baye­ri­schen Lan­des­kri­mi­nal­amt, die Zen­tral­stel­le Cybercrime der Gene­ral­staats­an­walt­schaft Bam­berg (ZCB), das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (LSI) und der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz (LfD) mitwirken. 

3. Per­so­nel­le Entwicklung
Im Berichts­zeit­raum haben wir durch den Haus­halts­ge­setz­ge­ber im enge­ren Sin­ne, den Baye­ri­schen Land­tag, im Rah­men des Nach­trags­haus­halts kei­ne neu­en Stel­len erhal­ten. Wir haben aber durch den Baye­ri­schen Staats­mi­ni­ster des Innern, für Inte­gra­ti­on und Sport, im Zuge einer Haus­halts­um­schich­tung nach Art. 6 des Baye­ri­schen Haus­halts­ge­set­zes im März 2019 die Zusa­ge für Haus­halts­mit­tel bekom­men, mit denen wir neun Stel­len in der 2. und 3. Qua­li­fi­ka­ti­ons­ebe­ne nicht nur für das Jahr 2019, son­dern auf Dau­er schaf­fen konnten. 

Die Per­so­nal­ent­wick­lung der letz­ten Jah­re sieht wie folgt aus:
– Bis 31.12.2016: 16 Planstellen
– Bis 31.12.2017: 20 Planstellen
– Bis 31.12.2018: 24 Planstellen
– Bis 31.12.2019: 33 Plan­stel­len (davon 31 besetzt)

4. Buß­geld­ver­fah­ren
Nach wie vor errei­chen uns vie­le Fäl­le, die den Ein­satz von Dash-Cams, Video­über­wa­chung des öffent­li­chen Raums durch Pri­va­te oder Ver­öf­fent­li­chun­gen per­so­nen­be­zo­ge­ner Daten im Inter­net ohne Ein­wil­li­gung der Betrof­fe­nen – v. a. auf Social-Media Platt­for­men wie Face­book, Insta­gram und Whats­App – betref­fen. Ins­ge­samt haben wir ca. 100 Buß­geld­ver­fah­ren abge­schlos­sen, eines davon mit einem Buß­geld­be­scheid nach der DS-GVO. Dar­über hin­aus befin­den sich der­zeit eini­ge Ver­fah­ren bereits im Sta­di­um der Anhö­rung und wer­den in abseh­ba­rer Zeit in den Erlass eines Buß­geld­be­schei­des münden. 

Sofern die Rechts­la­ge nicht klar ist, haben wir in aller Regel zunächst im auf­sicht­li­che Ver­fah­ren eine Klä­rung her­bei­ge­führt, bevor ein Buß­geld­ver­fah­ren ein­ge­lei­tet wur­de. Wir wol­len nicht, dass Ver­ant­wort­li­che erst­mals in einem Buß­geld­ver­fah­ren unse­re Rechts­auf­fas­sung zur Kennt­nis neh­men kön­nen. Dies soll­te vor­ab ent­we­der im Rah­men einer Bera­tung oder eines auf­sicht­li­chen Ver­fah­rens erfolgt sein. Aus die­sem Grund und, weil wir noch eine erheb­li­che Anzahl von Ver­fah­ren nach dem alten Recht abwickeln muss­ten, sind die Buß­geld­ver­fah­ren erst in den letz­ten Mona­ten des Jah­res 2019 rich­tig angelaufen.

5. Rele­van­te Einzelthemen
Im Tätig­keits­be­richt sind fer­ner aus den ver­schie­den­sten Lebens­be­rei­chen ein­zel­ne Fäl­le mit unse­rer Ent­schei­dung dar­ge­stellt, wie z. B. Inter­net, Steu­er­be­ra­tung, Ver­si­che­rungs­wirt­schaft, Wer­bung, Han­del und Dienst­lei­stung, Beschäf­tig­ten­da­ten­schutz, Gesund­heit und Sozia­les, Ver­ei­ne, Ver­bän­de, Woh­nungs­wirt­schaft, Video­über­wa­chung usw. 

6. Sinn und Zweck des Tätigkeitsberichts 
Die Auf­sichts­be­hör­den sind ver­pflich­tet, in fest­ge­leg­ten Abstän­den einen Bericht über ihre Tätig­keit zu erstel­len. Unser Ansatz dabei ist, zunächst durch eine sta­ti­sti­sche Auf­be­rei­tung Trans­pa­renz in unse­re Arbeit zu brin­gen. Erfah­rungs­ge­mäß wer­den Tätig­keits­be­rich­te über­wie­gend von Daten­schutz­be­auf­trag­ten gele­sen, die sich dar­über ori­en­tie­ren wol­len, wel­che Rechts­auf­fas­sung „ihre“ Auf­sichts­be­hör­de zu bestimm­ten The­men ver­tritt. Wir hof­fen aber auch, dass Bür­ger, die kei­ne Sach­ver­stän­di­gen für Daten­schutz sind, mit unse­rem Tätig­keits­be­richt etwas anfan­gen kön­nen. Wir haben uns des­halb bemüht, die Tex­te so zu for­mu­lie­ren, dass sie all­ge­mein ver­ständ­lich sind, aber durch Anga­be der ent­spre­chen­den Rechts­grund­la­gen auch für Daten­schutz­ex­per­ten als Ori­en­tie­rung die­nen.7. Fund­stel­le des Tätigkeitsberichts 
Der Tätig­keits­be­richt für das Jahr 2019 ist unter fol­gen­dem Link erreich­bar: www​.lda​.bay​ern​.de/​d​e​/​t​a​e​t​i​g​k​e​i​t​s​b​e​r​i​c​h​t​e​.​h​tml