14. Tätigkeitsbericht des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA)

Das BayLDA hat seinen 14. Tätigkeitsbericht 2024 veröffentlicht. 

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen. 

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor. 

Hinweis: Im Folgenden wird in der männlichen Form gesprochen. Wegen dem einfacheren Lesefluss unterscheiden wir nicht. Es sind aber natürlich alle Geschlechter angesprochen. 

Auf den Punkt gebracht: Tätigkeitsbericht des BayLDA

Datenschutz im Jahr 2024 – notwendig, aber nicht mehr selbstverständlich?

• Das Jahr 2024 war für das BayLDA geprägt von einer ambivalenten Entwicklung: Einerseits konnten durch zusätzliche Ressourcen strukturelle Reformen und bedeutende Verfahren (z.B. das europaweite Großverfahren „Worldcoin“) angestoßen werden.
• Andererseits hat sich die gesellschaftliche und politische Wahrnehmung des Datenschutzes gewandelt – Datenschutz wird zunehmend als bürokratisches Hemmnis und Standortnachteil betrachtet. Das BayLDA betont jedoch, dass Datenschutz Voraussetzung für verantwortungsvolle Digitalisierung ist, insbesondere angesichts neuer Technologien wie Künstlicher Intelligenz.
• Die Behörde verstärkte ihre Informations- und Aufklärungsarbeit und sieht 2025 als Jahr wichtiger Weichenstellungen, insbesondere im Hinblick auf neue EU-Digitalgesetze und mögliche Zentralisierung der Datenschutzaufsicht auf Bundesebene

2 Zahlen und Fakten (Seite 11 ff.)

2.3 Speziell neue Beratungen

KI-Beratung

• Das BayLDa hat zum Ziel, Verantwortliche zum Thema KI zu beraten, zu unterstützen, Innovationen zu fördern und auch Rechtssunsicherheiten vorzubeugen.
• Für 2025 ist der Ausbau in Form von Schulungen und Beratungen geplant.
• Zum aktuellen Zeitpunkt ist noch keine zentrale Marktüberwachungsbehörde in Deutschland benannt. Diese Entscheidung wird in der zweiten Jahreshälfte 2025 erwartet.

4 Allgemeines und Betroffenenrechte (Seite 20 ff.)

4.2 Kontrollpflichten bei Auftragsverarbeitern

Im Berichtszeitraum kamen zahlreiche Anfragen zur Kontrollpflicht bei Auftragsverarbeitern bzw. deren Subunternehmern auf.

Welche Kontrollpflichten treffen den Verantwortlichen in „Kettenaufragsverhältnissen“?

• Der EDSA hat hierzu eine Stellungnahme im Oktober 2024 veröffentlicht. In dieser stellt die Behörde klar, dass der Verantwortliche alle Auftragsverarbeiter und Unterauftragsverarbeiter zu kennen hat und diese bei Auskunftsersuchen zu benennen hat.

Inwieweit hat der Verantwortliche die „hinreichenden Garantien“ z.B. TOMs eigenständig zu prüfen? Kann er die Prüfung auch auf die übergeordneten Auftragsverarbeiter delegieren?

• Der Verantwortliche trägt die Verantwortung für die Datenschutzkonformität der gesamten Verarbeitung, auch bei Einschaltung von Unterauftragsverarbeitern.
• Der Umfang und Detailgrad der Prüfung hängen vom Risiko der Verarbeitung ab. Höheres Risiko erfordert intensivere Prüfungen der Garantien und Schutzmaßnahmen.
• Der Verantwortliche kann Prüfungen teilweise an den Hauptauftragsverarbeiter delegieren, muss aber bei Zweifeln selbst nachforschen – abhängig vom Risiko der Verarbeitung.
• Der EDSA stellt auch klar, dass der Verantwortliche das Recht hat, alle Unterauftragsverträge einzusehen.

Wie verhält es sich mit der Prüfung, wenn die Unterauftragnehmer in Drittländer ihren Sitz haben?

• Bei Übermittlungen in Drittländer mit anerkanntem Datenschutzniveau durch die EU-Kommission ist keine weitere Prüfung erforderlich. Eine Übersicht der Länder mit einem Angemessenheitsbeschluss finden Sie hier: Data protection adequacy for non-EU countries
• Bei Übermittlungen in Drittländer ohne anerkanntes Datenschutzniveau sind geeignete Garantien und ein Transfer Impact Assessment (TIA) notwendig.
• Der Verantwortliche hat die Plausibilität des TIA zu prüfen, wenn es von einem Auftragsverarbeiter durchgeführt wird.

Fazit

• Der Verantwortliche kann seine Verantwortung für die Datenschutzkonformität nicht abgeben, auch nicht bei komplexen Auftragsketten.
• Der Umfang der Prüfpflichten variiert je nach Risiko der Verarbeitung, aber der Verantwortliche hat stets nachweisen können, dass er die Garantien der Unterauftragsverarbeiter ausreichend geprüft hat.

4.3 Ein Briefkasten ist keine datenschutzrechtliche Niederlassung

• Ein Unternehmen gibt eine Geschäftsadresse in Zypern an, während ein anderes Unternehmen mit demselben Geschäftsführer in Bayern eingetragen ist.
• Das BayLDA zweifelt an der Zuständigkeit der zypriotischen Aufsichtsbehörde und fordert Belege für die tatsächliche Geschäftstätigkeit in Zypern.
• Nach Ansicht des BayLDA erfordert eine Niederlassung eine feste Einrichtung, von der aus tatsächlich Geschäftstätigkeiten ausgeübt werden. Ein Briefkasten oder Handelsregistereintrag allein reicht nicht aus.
• Bis zum Redaktionsschluss des Berichts lagen keine Belege für Geschäftstätigkeit in Zypern vor. Die Ermittlungen laufen noch weiter. Sollte sich die Geschäftstätigkeit in Bayern bestätigen, ist das BayLDA zuständig. Möglicherweise wird das Kooperationsverfahren mit anderen Aufsichtsbehörden angewendet.

4.5 Verzicht auf Auskunftsanspruch Art. 15 DSGVO

• Ein Arbeitnehmer forderte Auskunft nach Art. 15 DS-GVO von seinem Arbeitgeber. Vor der Beschwerde wurde ein außergerichtlicher Vergleich geschlossen, der alle Ansprüche, einschließlich des Auskunftsanspruchs nach Ansicht des BayLDA, erledigte.
• Daraufhin reichte der Beschwerdeführer Klage beim Verwaltungsgericht Ansbach ein. Das Bayerische Verwaltungsgericht bestätigte, dass ein Vergleich über einen datenschutzrechtlichen Anspruch möglich ist. Der Auskunftsanspruch erlischt, wenn im Vergleich alle Ansprüche als erledigt erklärt werden.
• Die Erklärung der Rechtsanwältin des Arbeitnehmers, dass alle Ansprüche erledigt sind, wurde als Verzicht auf den Auskunftsanspruch gewertet. Weder die DS-GVO noch andere Rechtsvorschriften schließen eine vergleichsweise Einigung über einen datenschutzrechtlichen Anspruch aus.
• Somit kann ein datenschutzrechtlicher Auskunftsanspruch durch einen Vergleich erlöschen. Dies gilt auch, wenn der Vergleich nicht explizit den Auskunftsanspruch erwähnt, aber aus dem Gesamtkontext hervorgeht, dass dieser mitumfasst ist.

4.6 Europaweite Prüfung zur Umsetzung des Auskunftsrechts (CEF 2024)

• Prüfaktion:
  • Es wurde eine europaweite Aktion zur koordinierten Durchsetzung der DS-GVO durch den Europäischen Datenschutzausschuss (EDSA) durchgeführt.
  • Ziel der Aktion war es, den Prozess zur Bearbeitung von Auskunftsanträgen nach Art. 15 DS-GVO bei Verantwortlichen zu prüfen.
• Teilnehmer:
  • 20 Verantwortliche in Bayern wurden geprüft.
  • Insgesamt 1.185 Verantwortliche im gesamten EWR, davon 116 in Deutschland.
• Ergebnisse:
  • Die Mehrheit der Verantwortlichen erhielt weniger als 50 Auskunftsanträge im Jahr 2023.
  • 74% der antwortenden Verantwortlichen erhielten nur null bis zehn Auskunftsanträge.
• Feststellungen:
  • Positive: Die Leitlinien zum Auskunftsrecht sind bekannt und werden größtenteils genutzt.
  • Verbesserungsbedarf: Vollständigkeit der Auskunft, Identifizierung und Authentifizierung, Dauer der Aufbewahrung von Auskünften.
• Empfehlungen:
  • Verantwortliche sollten strukturierte Verfahren zur Bearbeitung von Auskunftsanträgen vorhalten.
  • Die Nutzung spezieller Softwarelösungen zur Erkennung und Fristenkontrolle von Auskunftsersuchen kann bei der Bearbeitung der Anfrage helfen.
  • Keine formalen Anforderungen an Auskunftsersuchen stellen (z.B. schriftlich oder bestimmter Kommunikationskanal).
  • Eine zweistufige Auskunftserteilung ist nicht zulässig; die vollständige Auskunft muss von Anfang an erteilt werden.
  • Eine Identifizierung und Authentifizierung sollten verhältnismäßig und datenschutzkonform erfolgen.
  • Die Aufbewahrungsdauer der Auskünfte sollte klar geregelt und dokumentiert sein. Anmerkung der Datenbeschützerin zur Aufbewahrungsdauer: In der Praxis wird von der regelmäßigen Verjährungsfrist von 3 Jahren Gebrauch gemacht.

5 Datenschutzbeauftragte (DSB) (Seite 35)

5.1 Aktualität der Kontaktdaten von DSB

• Im Berichtszeitraum ergaben sich vereinzelte Beschwerden, da die veröffentlichen Kontaktdaten von den angegebenen Datenschutzbeauftragten (teilweise mehrere Jahre) veraltet sind. Hintergrund der Veröffentlichung ist, dass betroffene Personen den DSB erreichen können.
• Das BayLDA stellt klar, dass Verantwortliche die Kontaktdaten ihrer DSB aktuell halten müssen. Erfolgt ein Wechsel des Datenschtuzbeauftragten oder endet die Zusammenarbeit ist die Aktualisierung erforderlich.
• Veraltete Kontaktdaten stellen einen datenschutzrechtlichen Verstoß dar, wenn personenbezogene Informationen des DSB veröffentlicht sind. Die veralteten personenbezogenen Daten dürfen nicht weiterverarbeitet oder veröffentlicht werden.

5.2 Mitglieder der Geschäftsführung als DSB

• Mehrfach wurden Mitglieder der Geschäftsführung als DSB benannt.
• Art. 38 Abs. 6 DS-GVO erlaubt DSB zwar andere Aufgaben, aber nicht, wenn Interessenskonflikte entstehen. Mitglieder der Geschäftsführung können nicht gleichzeitig DSB sein, da sie sich selbst überwachen müssten.
• Die Benennung eines Geschäftsführers als DSB ist regelmäßig unzulässig. Dies entspricht der Rechtsprechung des EuGH (Urteil vom 2.2.2023, Rs. C-453/21).

6 Finanzwirtschaft (Seite 37 ff.)

6.1 Berichtigung nach Art. 16 DS-GVO bei aufbewahrungspflichtigen Daten mit Veränderungsverbot

• Ein Betroffener forderte die Berichtigung einer fehlerhaften Angabe in einem Geschäftsdokument seiner Bank.
• Die Bank verweigerte die Berichtigung mit Verweis auf gesetzliche Aufbewahrungspflichten und Veränderungsverbot.
• Das BayLDA sah bei der Verarbeitung unrichtiger Daten einen Verstoß gegen Art. 5 Abs. 1 Buchstabe d) DS-GVO. Der Berichtigungsanspruch nach Art. 16 DS-GVO besteht, auch wenn gesetzliche Aufbewahrungspflichten entgegenstehen.
• Als Lösung wurde die Berichtigung durch Hinzuspeicherung eines weiteren Dokuments, das die Unrichtigkeit der Daten im Ursprungsdokument und die korrekten Daten aufzeigt, umgesetzt. Diese Form der Berichtigung erfüllt die gesetzlichen Anforderungen, ohne gegen das Veränderungsverbot zu verstoßen.
• Verantwortliche müssen Berichtigungen vornehmen, auch wenn direkte Änderungen im Ursprungsdokument nicht möglich sind. Eine Hinzuspeicherung eines Berichtigungsdokuments ist eine rechtlich zulässige Lösung nach Ansicht des BayLDA.

7 Werbung (42 f.)

7.1 Anforderungen an eine klaren und deutlichen Hinweis auf die Widerspruchsmöglichkeit bei Bestandskundenwerbung

• Bestandskundenwerbung erlaubt Werbung per E-Mail ohne Einwilligung, wenn bestimmte Bedingungen erfüllt sind (§ 7 Abs. 3 UWG).
• Folgende Bedingungen sind dabei zu beachten:
  • E-Mail-Adresse muss im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhoben worden sein.
  • Werbung darf nur für ähnliche Waren oder Dienstleistungen erfolgen.
  • Kunde darf der Verwendung nicht widersprochen haben.
  • Kunde muss bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich auf das Widerspruchsrecht hingewiesen werden.
• Oftmals wird der Hinweis auf das Widerspruchsrecht nur in den Datenschutzhinweisen gegeben, was nicht ausreicht. Der Hinweis muss klar, deutlich und unmittelbar bei der Erhebung der E-Mail-Adresse erfolgen.
• Auch hat das Landgericht Paderborn entschieden, dass die Hinweise in Datenschutzerklärungen nicht genügen, wenn sie nicht hervorgehoben sind.
• Verantwortliche müssen sicherstellen, dass der Hinweis auf das Widerspruchsrecht klar und deutlich bei der Erhebung der E-Mail-Adresse erfolgt. Ohne Erfüllung aller Bedingungen des § 7 Abs. 3 UWG ist eine Einwilligung für die Versendung von Werbung erforderlich.

Anmerkung der Datenbeschützerin

Wir haben uns mit dem Thema Werbungsversand in einem ausführlichen Blogbeitrag beschäftigt. Diesen können Sie hier einsehen.

8 Industrie und Handel (Seite 45)

8.1 Asset Deal / Share Deal – Update

• Definition:
  • Asset Deal: Unternehmenskauf, bei dem einzelne Vermögenswerte (z.B. Kundenstamm, Maschinen) übertragen werden.
  • Share Deal: Verkauf von Geschäftsanteilen, bei dem das Unternehmen unverändert fortgeführt wird.
• Bei laufenden Vertragsbeziehungen ist die Übermittlung personenbezogener Daten im Rahmen einer Vertragsübernahme nach Art. 6 Abs. 1 Buchstabe b) DS-GVO zulässig.
• Bei beendeten Vertragsbeziehungen oder ohne Vertragsübernahme ist eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f) DS-GVO erforderlich.
• Die Verantwortliche sollten betroffene Personen klar und rechtzeitig über die Übernahme und die damit verbundene Datenverarbeitung informieren.
• Die Prozesse und interne Zuständigkeiten zur Bearbeitung von Betroffenenrechten müssen auch nach einem Share Deal etabliert und fortgeführt werden.
• Eine klare Kommunikation und transparente Prozesse sind entscheidend, um Unsicherheiten und Beschwerden zu vermeiden. Die Verantwortlichen müssen sicherstellen, dass die datenschutzrechtlichen Pflichten auch nach einer Übernahme erfüllt werden.

8.3 Weiterleitung von E-Mails und Offenlegung personenbezogener Daten in Online-Portalen

• Beim BayLDA wurden mehrere Beschwerden über die Weiterleitung von E-Mails und die Offenlegung personenbezogener Daten durch die Hausverwaltungen und die Vermieter eingereicht.
• Die datenschutzrechtlichen Vorschriften gelten auch für Mietverhältnisse und Wohnungseigentümergemeinschaften. Jede Weiterleitung und Offenlegung personenbezogener Daten benötigt eine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO.
• Besonderheiten bei Wohnungseigentümergemeinschaften:
  • Eine Offenlegung von Namen und Adressen der Eigentümer ist zulässig, da die Gemeinschaft nicht anonym ist.
  • E-Mail-Adressen dürfen jedoch nur mit Einwilligung offengelegt werden.
  • Die Weiterleitung von Nachrichten sollte datensparsam erfolgen, oft reicht die inhaltliche Information ohne vollständige Weiterleitung.
• Nutzung von Online-Portalen:
  • Hausverwaltungen nutzen oft Online-Portale zur Einsicht in Verwaltungsunterlagen.
  • Datenschutzrechtliche Verantwortlichkeit liegt bei der Hausverwaltung, Softwarehersteller sind als Auftragsverarbeiter einzustufen. Das BayLDA sieht keinen Verstoß, wenn die Hausverwaltung einzelnen Eigentümern die Abrechnungsunterlagen und Einzelabrechnungen darüber zur Verfügung stellt. Voraussetzung hierfür ist, dass die tatsächliche Einsicht verlangt wurde und die zur Verfügungstellung nicht automatisch erfolgt.
• Verantwortliche müssen sorgfältig prüfen, ob eine Rechtsgrundlage für die Weiterleitung und Offenlegung personenbezogener Daten besteht.

9 Beschäftigtendatenschutz (Seite 50 ff.)

9.2 Datenverarbeitung durch den Betriebsrat

• Einige Arbeitgeber reichten Beschwerden und Anfragen beim BayLDA über fehlende Unterstützung durch den Betriebsrat bei der Einhaltung datenschutzrechtlicher Vorschriften ein.
• § 79a BetrVG verpflichtet den Betriebsrat, den Arbeitgeber bei der Einhaltung der datenschutzrechtlichen Vorschriften zu unterstützen. Der Arbeitgeber bleibt Verantwortlicher für die Datenverarbeitung, auch wenn der Betriebsrat die Daten verarbeitet.
• Die Betriebsräte verweigern teilweise die Herausgabe von Daten oder die Unterstützung bei der Beantwortung von Auskunftsersuchen. Meist wird auf die besondere Stellung verwiesen und mit der Verschwiegenheitsverpflichtung seitens des Betriebsrats verwiesen. Dies führt zu Schwierigkeiten für den Arbeitgeber, seinen datenschutzrechtlichen Pflichten nachzukommen.
• Lösungen:
  • Der Betriebsrat kann die Auskunft selbst erteilen oder die Datenschutzbeauftragten einbinden, die zur Verschwiegenheit verpflichtet sind. Der Datenschutzbeauftragte fungiert somit als „neutrale Stelle“ und kann dadurch die Informationen zusammenführen und an die betroffene Person versenden.
  • Arbeitgeber sollten darlegen, welche Schritte sie unternommen haben, um die Unterstützung des Betriebsrats zu erhalten.
• Der Betriebsrat ist zur Unterstützung des Arbeitgebers bei der Einhaltung der Datenschutzvorschriften verpflichtet.
• Eine zivilrechtliche Klärung kann im Einzelfall erforderlich sein, wenn der Betriebsrat die Unterstützung verweigert.

9.3 Umgang mit der Veröffentlichung von Bildnissen Beschäftigter nach Beendigung des Beschäftigungsverhältnisses

• Oftmals bleiben Bilder und Videos von ehemaligen Beschäftigten auf der Webseite oder in Social-Media-Kanälen nach Beendigung der Zusammenarbeit online. Das BayLDA erreichten Beschwerden über die Veröffentlichung von Fotos und Videos von ehemaligen Beschäftigten.
• Die Veröffentlichungen basieren meist auf Einwilligungen, die für die Dauer des Arbeitsverhältnisses erteilt wurden. Nach Beendigung des Arbeitsverhältnisses ist die weitere Veröffentlichung ohne neue Rechtsgrundlage unzulässig. Das Thema der Einwilligung wird häufig nicht für die Zeit nach dem Arbeitsverhältnis geregelt.
• In einem Fall beim BayLDA verweigerte ein Arbeitgeber die Löschung und berief sich auf vertragliche Regelungen mit dem Mitarbeiter und den hohen Aufwand in die Bilder und den Aufbau der Marke.
• Das BayLDA empfiehlt den Abschluss eines Model-Release-Vertrags, der die Nutzung von Bildmaterialien auch nach Beendigung des Arbeitsverhältnisses regelt. Somit kann die Veröffentlichung der Bilder auch nach der Beendigung auf die vertragliche Vereinbarung nach Art. 6 Abs. 1 lit. b DSGVO gestützt werden.
• Fazit:
  • Bildmaterialien von ehemaligen Beschäftigten sind nach Beendigung des Arbeitsverhältnisses zu löschen, wenn keine neue Rechtsgrundlage besteht.
  • Verantwortliche sollten rechtzeitig klare Vereinbarungen treffen, um rechtliche Unsicherheiten zu vermeiden.

10 Videoüberwachung (Seite 55 f.)

10.1 Videoüberwachung in Nahversorgungs- und Automatenläden

• Das BayLDa prüfte den Einsatz von einer Videoüberwachung in personallosen Nahversorgungs- und Automatenläden zur Dokumentation von Vandalismus und Diebstählen.
• In der Regel besteht ein berechtigtes Interesse nach Art. 6 Abs. 1 Buchstabe f) DSGVO. Folgende Punkte sind im Rahmen der Prüfung zu beachten:
  • Ein konkretes berechtigtes Interesse muss nachgewiesen werden, z.B. durch Vorfälle in der Vergangenheit.
  • Videoüberwachung muss geeignet sein, um das berechtigte Interesse zu erfüllen.
  • Die Erfassungsbereiche, Überwachungszeiten und Speicherdauer müssen auf das notwendige Maß beschränkt sein.
• Die Rechte und Grundfreiheiten der betroffenen Personen dürfen dabei nicht überwiegen.
• Die Erwartungshaltung der betroffenen Personen und die Folgen der Verarbeitung sind dabei ebenfalls zu berücksichtigen.
  • Anmerkung der Datenbeschützerin: Folgende Fragestellung kann hierbei behilflich sein: Kann ich selbst damit rechnen, dass ich beim Einkauf in einem personallosen Nahversorgungs- und Automatenladen gefilmt werde?
• Verantwortliche haben die betroffene Personen über die Videoüberwachung zu informieren. Ein vorgelagertes Hinweisschild und detaillierte Informationen auf der Webseite oder in Form der Informationspflicht sind erforderlich.
• Das BayLDA kam im vorliegenden Fall zum Ergebnis, dass eine Videoüberwachung in personallosen Läden zulässig sein kann, wenn sie den datenschutzrechtlichen Anforderungen entspricht.

Anmerkung der Datenbeschützerin

Wir haben uns mit dem Thema Videoüberwachung intensiv in einem Blogbeitrag beschäftigt. Den Beitrag und die Informationen können Sie hier einsehen.

11 Gesundheit und Soziales (Seite 58 ff.)

11.1 Recht auf kostenfreie Kopie der Patientenakte

• Patienten haben einen Anspruch auf eine kostenfreie Erstkopie ihrer Patientenakte (Art. 15 Abs. 3 DS-GVO).
• In einem EuGH-Urteil vom 26.10.2023 bestätigt dieser den Anspruch und stellt klar, dass nationale Regelungen wie § 630g Abs. 2 Satz 2 BGB diesen Anspruch nicht einschränken können.
• Das BayLDA erreicht einige Beschwerden, da einige Ärzte weiterhin Kosten für die erste Kopie verlangten. Die Ärzte wurden auf die Rechtslage hingewiesen und Verfahren mit einer Verwarnungen abgeschlossen.

11.2 Auskunftsanspruch eines Elternteils gegenüber dem gerichtlich bestellten Verfahrensbeistand seiner Kinder

• Ein Elternteil forderte Auskunft nach Art. 15 DS-GVO vom gerichtlich bestellten Verfahrensbeistand seiner Kinder.
• Der Verfahrensbeistand verweigerte die Auskunft mit Verweis auf die Interessen der Kinder.
• Verfahrensbeistände sind verpflichtet, die Interessen der Kinder zu vertreten und deren informationelle Selbstbestimmung zu schützen. Eine Auskunftserteilung an Elternteile könnte das Vertrauensverhältnis zwischen Verfahrensbeistand und Kind gefährden. Der Verfahrensbeistand kann die Auskunftserteilung nach § 29 Abs. 1 Satz 2 Alt. 2 BDSG verweigern.
• Die Elternteile haben nur Anspruch auf Auskunft über ihre eigenen Stammdaten, nicht über die personenbezogenen Daten der Kinder.
• Der Schutz der Interessen und der informationellen Selbstbestimmung der Kinder hat somit Vorrang. Die Verfahrensbeistände dürfen personenbezogene Daten der Kinder gegenüber Elternteilen nicht offenlegen.

11.3 Löschungsrechte nach Identitätsdiebstahl

• Beim BayLDA kamen Beschwerden von Personen, die Opfer eines Identitätsdiebstahls wurden, bei dem unbekannte Personen Verträge unter ihrem Namen abschlossen. Die betroffene Personen verlangten die Löschung der Daten.
• Das BayLDA stellt klar, dass Betroffene keinen sofortigen Löschanspruch bei Identitätsdiebstahl haben. Die Löschung ist erst nach Klärung der Vertragsbeziehung möglich oder wenn der Verantwortliche die Forderung nicht weiter verfolgt. Ob eine Vertragsbeziehung zustandgekommen ist, ist auf dem zivilrechtlichem Weg zu klären.

12 Datenschutz im Internet

12.1 Veröffentlichungen im Internet

• Es kamen Beschwerden über rechtswidrige Veröffentlichungen personenbezogener Daten im Internet an, oft in persönlichen Auseinandersetzungen. Oft herrschte ein Unmut gegenüber den Personen bei der Behörde oder des Unternehmens z.B. namentlich benannte Sachbearbeiter einer Behörde.
• Diese Veröffentlichung personenbezogener Daten erfordert eine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO. Auch wenn die Angelegenheit einer privaten Natur entsprang, so unterliegt die Veröffentlichung der Daten im Internet nicht mehr dem Haushaltsprinzip. Im Internet kann der Adressatenkreis nicht eingeschränkt werden.
• Grundsätzlich sind die Veröffentlichungen im Internet oft nicht erforderlich, um den beabsichtigten Zweck zu erreichen.
• Somit ist die Drei-Stufen-Prüfung für das berechtigte Interesse, Erforderlichkeit der Verarbeitung, Abwägung der Interessen erforderlich.
• Das BayLDA kommt zum Ergebnis, dass die Veröffentlichungen personenbezogener Daten im Internet in der Regel rechtswidrig sind.
• Verantwortliche sollten alternative, weniger invasive Mittel wählen, um ihre Interessen zu wahren.

12.2 Rechtswidrige Veröffentlichungen von Inhalten auf Online-Plattformen

• Das BayLDA erreichten ebenfalls Beschwerden über rechtswidrige Veröffentlichungen von Fotos und anderen Inhalten auf Online-Plattformen.
• Problematisch war vor allem, dass die Verantwortlichen für die Veröffentlichung oft nicht ermittelbar sind, da Plattformen die Identität der Nutzer nicht ausreichend prüfen.
• Das BayLDA verwies in diesen Fällen auf den Digital Services Act (DSA). Dieser verpflichtet Hostingdienste und Online-Plattformen, Meldeverfahren für rechtswidrige Inhalte bereitzustellen.
• Empfehlungen des BayLDA:
  • Betroffene sollten rechtswidrige Inhalte dem Plattformbetreiber melden.
  • Bei Nichtbeachtung durch den Plattformbetreiber kann der Digital Services Coordinator (in Deutschland die Bundesnetzagentur) eingeschaltet werden.
  • Meldeverfahren nach dem DSA bieten eine effektive Möglichkeit zur Entfernung rechtswidriger Inhalte.
  • Plattformbetreiber sind verpflichtet, Meldungen zu prüfen und Maßnahmen zu ergreifen.

12.3 Update Webtracking nach TDDDG (vormals TTDSG)

• Wie bereits in den vorherigen Jahren wird auch in diesmal wieder auf das Thema Webtracking auf Webseiten und Apps eingegangen. Die Rechtmäßigkeit des Webtrackings richtet sich nach DSGVO und ePrivacy-Richtlinie. Das BayLDA bedauert, dass die EU-Kommission die bisherigen Anstrengungen zur Verabschiedung einer ePrivacy-Verordnung aufgegeben hat, was zu fortbestehenden Rechtsunsicherheiten führt.
• Die gesetzliche Regelung zum Umgang mit Trackingtools wird im TDDDG (vormals TDDSG) geregelt. § 25 TDDDG regelt das Speichern und den Zugriff auf Informationen auf Endeinrichtungen von Endnutzern. Grundsätzlich bedarf es einer Einwilligung für Webtracking, außer in den begrenzten Ausnahmen des § 25 Abs. 2 TDDDG.
• Die Datenschutzkonferenz hat aufgrund der Gesetzesänderung auch die Orientierungshilfe der Aufsichtsbehörden für Telemedienanbieter überarbeitet. Zudem hat der EDSA die Leitlinien „Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive“ erlassen. Diese werden in der Orientierungshilfe mit benannt.
• Fazit:
  • Der Einsatz von Webtracking erfordert in der Regel eine Einwilligung nach § 25 TDDDG.
  • Verantwortliche müssen sicherstellen, dass sie die Einwilligungspflicht erfüllen und die Leitlinien beachtet werden.

13 Internationaler Datenverkehr (Seite 69 ff.)

13.1 Update 2024 zum EU-U.S. Data Privacy Framework

• Im Jahr 2024 fand die erste turnusmäßige Überprüfung des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework (DPF) durch die Europäische Kommission statt. Das DPF trat am 10. Juli 2023 in Kraft und bietet Rechtssicherheit für Datenübermittlungen in die USA.
• Der EDSA berichtet, dass US-amerikanische Behörden alle im DPF vorgesehenen Strukturen und Verfahren etabliert haben. Es ist zwar aktuell noch zu früh für endgültige Aussagen über das praktische Funktionieren des DPF; die nächste Überprüfung erfolgt wieder in drei Jahren.
• Zudem wird die schnelle Implementierung des Zertifizierungsverfahrens durch die US-Seite positiv hervorgehoben.
• Dennoch ergeht die Forderung nach mehr stichprobenartigen Kontrollen durch US-Behörden, da bisher wenige Beschwerden aus der EU vorliegen.
• Das DPF bietet derzeit Rechtssicherheit für Datenübermittlungen in die USA, solange die Zertifizierung besteht.
• Die Europäische Kommission muss die Entwicklungen in den USA weiter verfolgen, insbesondere nach dem Regierungswechsel 2025.

Anmerkung der Datenbeschützerin

Das DPF steht aktuell auf der Kippe. Die zuständigen Mitglieder des Privacy and Civil Liberties Oversight Board haben ihre Entlassungsbriefe erhalten. Zudem hat das „Committee on Civil Liberties, Justice and Home Affairs“ einen Brief an die EU-Kommission gesandt mit der Bitte um Prüfung, ob das US-Datenschutzniveau überhaupt noch gewährleistet werden kann.

Zum Zeitpunkt des Beitrags liegt weder eine Tendenz noch ein Ergebnis vor. Wir halten Sie natürlich in unseren Blogbeiträgen oder über unseren Newsletter auf dem Laufenden.

15 Cybersicherheitslage (Seite 76 ff.)

• Die Cybersicherheitslage für kleine und mittlere Unternehmen (KMU) hat sich 2024 deutlich verschlechtert.
• KMU sind Hauptziele für Cyberkriminelle aufgrund schwächerer Sicherheitsmaßnahmen und wertvoller Daten.
• Hauptbedrohungen:
  • Ransomware: Bleibt eine ernsthafte Bedrohung, trotz internationaler Verhaftungen. Ransomware-as-a-Service (RaaS) senkt die Einstiegshürde für Angreifer.
  • Daten- und Identitätsdiebstahl: Zunahme gezielter Angriffe mit moderner Malware und Keyloggern. Besonders lukrativ sind Angriffe auf geschäftlich genutzte E-Mail-Konten.
  • Cybercrime-as-a-Service: Professionalisierung der Untergrundwirtschaft. Access Broker, die sich auf den Handel mit kompromittierten Zugangsdaten spezialisiert haben, verzeichnen Umsatzanstiege. Exploit-Marktplätze, auf denen Zero-Day-Schwachstellen gehandelt werden, haben sich laut verschiedenen Berichten zu einem zentralen Element der cyberkriminellen Infrastruktur entwickelt.
• Praxisbericht: Ablauf von Angriffen auf KMU:
  • Erste Infektion: Häufig durch Phishing-E-Mails mit schädlichen Links oder Anhängen. Unsichere Remote-Zugänge bleiben ein zentraler Angriffsvektor.
  • Verbreitung im Netzwerk: Nutzung legitimer Tools wie Fernwartungstools oder PowerShell-Skripte zur lateralen Bewegung im Netzwerk.
  • Exfiltration und Verschlüsselung: Angreifer verbleiben durchschnittlich bis zu 12 Tage unentdeckt im Netzwerk, bevor sie mit der Verschlüsselung beginnen. Darknet-Marktplätze fungieren als Handelsplattformen für gestohlene Daten.
• Fazit:
  • Cybersicherheitslage für KMU hat sich weiter verschlechtert.
  • Ransomware, Phishing und Datendiebstahl sind die prägenden Bedrohungen.
  • Professionalisierung der Angreifer erfordert wirksame Schutzmaßnahmen auf technischer, organisatorischer und personeller Ebene.
  • BayLDA intensiviert Cyberpräventionstätigkeiten mit dem Projekt „Cyberfestung“ und bietet KMU Möglichkeiten zur Verbesserung ihres Cybersicherheitsniveaus.

16 Künstliche Intelligenz (Seite 80 ff.)

16.1 KI datenschutzkonform einsetzen

• Im Berichtszeitraum kamen zunehmende Anfragen zum datenschutzkonformen Einsatz von KI-Modellen und zur Verordnung über Künstliche Intelligenz (KI-VO) beim BayLDA an.
• Der EDSA hat im Dezember 2024 eine Stellungnahme veröffentlicht, in welcher folgende Punkte geklärt werden:
  • Anonymität von KI-Modellen: Nicht automatisch gegeben, nur weil Daten technisch organisiert sind. Anonymität muss durch Dokumentation nachgewiesen werden.
  • Rechtsgrundlage: Verarbeitung personenbezogener Daten in KI-Modellen erfordert eine Rechtsgrundlage nach Art. 6 DS-GVO, oft berechtigtes Interesse (Art. 6 Abs. 1 Buchstabe f) DS-GVO).
  • Rechtswidriges Training: KI-Modelle, die mit rechtswidrig verarbeiteten Daten trainiert wurden, können nicht datenschutzkonform eingesetzt werden. Verantwortliche müssen die Rechtmäßigkeit der Verarbeitung nachweisen.
• Empfehlungen:
  • Verantwortliche sollten die Rechtmäßigkeit ihrer Verarbeitungstätigkeiten dokumentieren und nachweisen können.
  • Es ist immer eine Einzelfallbetrachtung durchzuführen, um die datenschutzrechtliche Konformität sicherzustellen.
• Fazit:
  • Der datenschutzkonforme Einsatz von KI erfordert sorgfältige Prüfung und Dokumentation der Datenverarbeitung.
  • Die Verantwortlichen haben sicherzustellen, dass KI-Modelle rechtmäßig trainiert und eingesetzt werden.

17 Bußgelder (Seite 83 ff.)

• 2024 war das Jahr mit der höchsten Zahl an verhängten Bußgeldern seit Geltungsbeginn der DSGVO. Es wurde die Zunahme an Fällen bemerkt, die von den Fachbereichen an die Zentrale Bußgeldstelle abgegeben wurden.
• Es wurden Bußgelder gegen Unternehmen, Freiberufler und Privatpersonen in einer niedrigen sechsstelligen Höhe verhängt. Dadurch erging auch eine höhere Anzahl an Einsprüchen gegen die Bußgeldentscheidungen, was zu mehr gerichtlichen Entscheidungen führte.
• Positiv wird die Zusammenarbeit mit der Staatsanwaltschaft und den Polizeibehörden hervorgehoben.
• Beispiele für Bußgelder:
  • Seniorenheim: Sorgloser Umgang mit Arbeitsunfähigkeitsbescheinigungen und ärztlichen Bescheinigungen über die Erkrankung minderjähriger Kinder. Es war üblich, dass die Krankmeldungen in dem Stationszimmer an die Pinnwand gehängt wurde, um die Stationsleitung über die Abwesenheit zu informieren. Anschließend wurden die Meldungen in einem Ordner in einem Schrank außerhalb des Stationszimmers abgeheftet. Der Schrank war auch für andere Beschäftigte zugänglich. Somit lag ein Verstoß gegen Art. 32 DS-GVO vor.
  • Rezensionen im Internet: Unternehmen veröffentlichten personenbezogene Daten von Kunden (vollständiger Name, Adresse und andere Informationen) in Antworten auf eine Rezensionen. Das Unternehmen wollte sich somit gegen eine aus deren Sicht ungerechtfertigte Bewertung wehren.
  • Ortungsgeräte: Unrechtmäßiger Einsatz von Ortungsgeräten zur Überwachung von Personen. Bei vielen Vorgängen konnte jedoch nicht ermittelt werden, wer das GPS-Gerät angebracht hat.
  • Fahndungsaufrufe: Private Stellen (meist 24/7 Automaten-Betreiber) veröffentlichten Videoaufzeichnungen zur Identifizierung von Personen wegen Diebstahls oder Sachbeschädigung. Das BayLDA hält die Form der „öffentlichen Fahndungsaufrufe“ für unrechtmäßig. Die Behörde sanktioniert diese konsequent mit Geldbußen.

Quelle

14. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht: 14. Tätigkeitsbericht 2024