Ihr Slogan

                                                                          Bayerisches Landesamt                                             für Datenschutzaufsicht

Der Datenschutz in Bayern

Der Datenschutz in Bayern im nicht öffentlichen Bereich wird überwacht vom bayerischen Landesamt für Datenschutzaufsicht in Ansbach.

Zuständigkeit des BayLDA


Das BayLDA überwacht die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern, das heißt in den privaten Wirtschaftsunternehmen, bei den freiberuflich Tätigen, in Vereinen und Verbänden sowie im Internet. Auf die Einhaltung der datenschutzrechtlichen Vorschriften bei den Verantwortlichen und Auftragsverarbeitern hat insbesondere der betriebliche Datenschutzbeauftragte selbst hinzuwirken. Das BayLDA steht hierbei zur Unterstützung und Beratung der Datenschutzbeauftragten zur Verfügung, aber auch zur Kontrolle von Datenverarbeitungsverfahren bei Verantwortlichen.

Die zentralen Aufgaben des BayLDA sind in einem kompakten Flyer zusammengefasst, den Sie hier herunterladen können. 

Aufgaben.

Die Beratung der Verantwortlichen und der betrieblichen Datenschutzbeauftragten gemäß Art. 57 DS-GVO stellt einen wichtigen Schwerpunkt unserer Arbeit dar. Komplexe Fallgestaltungen werden uns schriftlich vorgetragen oder in Besprechungen bei uns bzw. in den Unternehmen gezielt erörtert. Vielen Verantwortlichen, Datenschutzbeauftragten oder bevollmächtigten Rechtsanwälten ist dabei ein Leitmotiv des BayLDA bekannt, lieber im Beratungsweg zu unterstützen und damit Datenschutzverstöße zu vermeiden, als repressiv dagegen vorgehen zu müssen. Diesen Beratungsauftrag wollen wir auch mit Hilfe dieser Webseite erfüllen. Darüber hinaus gehören auch Datenschutzkontrollen (zum Teil vor Ort), Mitwirkung bei der Aufarbeitung von Datenschutzverletzungen (z. B. Hacking-Vorfälle) und die Zusammenarbeit mit Verbänden und Kammern zum Handlungsfeld des BayLDA.


Maßnahmen.

Sofern Datenschutzverstöße vorliegen, kann das BayLDA gemäß Art. 58 DS-GVO verschiedene Maßnahmen ergreifen. Einerseits ist es möglich, dass Anordnungen zur Beseitigung festgestellter Verstöße erlassen und Betroffene im Bedarfsfall unterrichtet werden. Bei kritischen Datenverarbeitungsverfahren kann es sogar zu einer Untersagung des Verfahrens kommen. Als Sanktionsmöglichkeit kann das BayLDA Bußgeldverfahren einleiten oder auch Strafanträge bzw. Strafanzeigen stellen.

Rechte.

Als Datenschutzaufsichtsbehörde hat das BayLDA das Recht auf unverzügliche Auskünfte durch die der Kontrolle unterliegenden Stellen.Ebenso verfügt das BayLDA über ein Prüfungs- und Besichtigungsrecht sowie ein Zutrittsrecht zu Geschäftsräumen, ohne das Vor-Ort-Kontrollen in der Praxis nicht durchführbar wären. Im Rahmen von Datenschutzprüfungen kann das BayLDA von seinem Einsichtsrecht in geschäftliche Unterlagen Gebrauch machen.

Meldepflicht.

Nach Art. 37 Abs. 7 DS-GVO haben die Verantwortlichen und Auftragsverarbeiter ihre Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen. Das BayLDA hat dazu ein Online-Meldeportal entwickelt, über das die Verantwortlichen und Auftragsverarbeiter ihre Datenschutzbeauftragten mitteilen und eine automatische Eingangsbestätigung dafür generieren können. über dieses Portal können auch spätere Änderungen an den gemeldeten Daten gepflegt werden. Wer das Portal nutzt muss eine Sanktion nach Art. 83 Abs. 1 lit. a DS-GVO wegen unterlassener Mitteilung in keinem Fall befürchten.

Sonstige datenschutzrechtliche Zuständigkeit in Bayern                                                           



1. Öffentlicher Bereich in Bayern                                                                                                                                                                                                                        


2. Religionsgemneinschaften        -                                                                                                                                 Öffentlicher Rundfunk               -    Die Datenschutzbeauftragte beim Bayerischen Rundfunk                                                                                                                                                                                        Privater Rundfunk                     -    Der Datenschutzbeauftragte der Bayerischen Landeszentralen für neue Medien                                                                                                                                                      Presse                                       -    Der Presserat      S

Sobald der öffentliche Bereich verlassen wird, besteht keine Zuständigkeit des BayLDA. Nachfolgend sind die Institutionen aufgeführt, die in diesen Fällen über eine entsprechende Zuständigkeit verfügen.

Der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri


Die evangelische Kirche   Die katholische Kirche                             

Kleine Unternehmen und Vereine

Handreichung zur DS-GVO-Umsetzung

In der folgenden Übersicht werden für kleine Unternehmen und Vereine die wesentlichen Anforderungen exemplarisch          zusammengestellt - ohne Anspruch auf Vollständigkeit. Zu beachten ist daher, dass jeder Verantwortliche pauschal alle diese Anforderungen erfüllen muss und sich auch der Umfang, wie die einzelnen Anforderungen konkret berücksichtigt werden müssen, fallbezogen unterscheidet. In diesen Mustern wird deshalb der vereinfachte Regelfall angenommen. Erläuterungen zu den Anforderungen befinden sich im weitern Verlauf.

Verein                                                          

Anforderungen für Vereine                                                                                                                                                                                               Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc.                                                                                                        

Muster 1: Verein                                                                                                                                                                                                                          

Hinweis:  Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ist ein  sog. Verantwortlicher. Dieser ist insb. dafür verantwortlich, dass er die Anforderungen der DS-GVO einhält. In der folgenden Übersicht werden die wesentlichen Anforderungen exemplarisch zusammengestellt – ohne Anspruch auf Vollständigkeit. Zu beachten ist daher, dass nicht jeder Verantwortliche pauschal alle diese Anforderungen erfüllen muss und sich auch der Umfang, wie die einzelnen Anforderungen konkret berücksichtigt werden müssen, fallbezogen unterscheidet. In diesem Muster wird deshalb der vereinfachte Regelfall angenommen. Erläuterungen zu den jeweiligen Anforderungen sind am Ende dieses Papiers zu finden.          

Kurzbeschreibung des Vereins

Ein kleiner Sportverein hat 200 Mitglieder, einen ersten Vorstand, einen Kassier sowie einen Schriftführer (Vorstand im Sinne des BGB) sowie fünf Personen, die nach der sog. Übungsleiterpauschale bezahlt werden. Die Mitgliederverwaltung erfolgt durch den Schriftführer selbst. Die Verwaltung der Mitgliedsbeiträge erfolgt dagegen durch den Kassier. Der Verein betreibt zudem eine kleine Webseite, die bei einem Dienstleister gehostet ist, mit Mitgliederfotos.                                                                                                                       

Wesentliche Verarbeitungstätigkeiten sind z. B.:                         

• Lohnabrechung (über einen externen Dienstleister nstleister)                                                                                                                                                    • Mitgliederverwaltung                                                                                                                                                                                                                             • Betrieb der Webseite des Sportvereins (über Hosting-Paket eines externen Dienstleisters)                                                                                                       • Veröffentlichung von Mitgliederfotos auf der eigenen Webseite                                                                                                                                                      • Beitragsverwaltung                                                                                                                  

Wesentliche DS-GVO-Anforderungen für den Verein                                                                                                                                                                                                       

A  Datenschutzbeauftragter (DSB)                                                                                                                                               

Muss ein DSB vom Verein benannt werden?                                                                                                                                                                                         ☐ ja                                                                                                                                                                                                                                                                  ☒ nein (weniger als 10 Personen im regelmäßigen Umgang mit personenbezogenen Daten)                                                                                                                                                                                                                                                         

B  Verzeichnis von Verarbeitungstätigkeiten                                                                                                                                                                                              Ist ein solches Verzeichnis erforderlich?                                                                                                                                                                                             ☒ ja (wegen der regelmäßigen Verarbeitung  personenbezogener Daten)                                                                                                                                      ☐ nein                                                                                                                                                                                                              

C  Datenschutz-Verpflichtung von Beschäftigten                                                                                                                                                                                         Ist eine solche Verpflichtung durchzuführen?                                                                                                                                                                                           ☒ ja (da alle Mitarbeiter mit  personenbezogenen Daten umgehen)                                                                                                                                        ☐ nein

D Information- und Auskunftspflichten                                                                                                                                                                                      Bestehen irgendwelche Informationspflichten?                                                                                                                                                                                             ☒ ja (insb. in der Vereinssatzung sowie auf  der Webseite in der Datenschutzerklärung)                                                                                                                  ☐ nein 

E Löschen von Daten                                                                                                                                                                                                                                   Gibt es eine Anforderung zur Datenlöschung?                                                                                                                                                                                                    ☒ ja (aber erst nach Ablauf gesetzlicher  Aufbewahrungspflichten)                                                                                                                                                   ☐ nein                                                                                                                                                                                                              

F Sicherheit                                                                                                                                                                                                                                           Müssen die Daten besonders gesichert werden?                                                                                                                                                                             ☐ ja                                                                                                                                                                                                                                                                 ☒ nein (etablierte Standardmaßnahmen sind  ausreichend, um die Daten effektiv zu schützen) 

G Auftragsverarbeitung                                                                                                                                                                                                                                        Ist ein Vertrag zur Auftragsverarbeitung notwendig?                                                                                                                                                                                   ☒ ja (sowohl mit dem Hosting-Anbieter als auch  mit dem externen Lohnabrechner)                                                                                                                 ☐ nein                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           H Datenschutzverletzungen                                                                                                                                                                                        Müssen bestimmte Vorfälle gemeldet werden?                                                                                                                                          ☒ ja (aber nur bei relevanten Risiken – eine einfache Online-Meldung beim BayLDA ist möglich)                                                        ☐ nein 

 
I  Datenschutz-Folgeabschätzung (DSFA)                                                                                                                                             Muss eine DSFA vom Verein durchgeführt werden?                                                                                                                                   ☐ ja                                                                                                                                                                                                                  ☒ nein (da kein hohes Risiko bei der Datenverarbeitung im Verein besteht)
 
J  Videoüberwachung (VÜ)                                                                                                                                                                          Besteht eine Ausschilderungspflicht bezüglich VÜ?                                                                                                                                          ☐ ja                                                                                                                                                                                                                     ☒ nein (da keine Videoüberwachung im Verein  durchgeführt wird)


KfzWerkstatt

Anforderngen für Werkstätten                                                                                                                                            Anforderungen der Datenschutz-Grundverordnung                                                                                                                                                                                                                                    

Muster 2: Kfz-Werkstatt                                                                                                                                                                                                                                          

Hinweis:                                                                                                                                                                                                                                                       Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ist ein sog. Verantwortlicher. Dieser ist insb. dafür verantwortlich, dass er die Anforderungen der DS-GVO einhält. In der folgenden Übersicht werden die wesentlichen Anforderungen exemplarisch zusammengestellt – ohne Anspruch auf Vollständigkeit. Zu beachten ist daher, dass nicht jeder Verantwortliche pau- schal alle diese Anforderungen erfüllen muss und sich auch der Umfang, wie die einzelnen Anforderungen konkret berücksichtigt werden müssen, fallbezogen unterscheidet. In diesem Muster wird deshalb der vereinfachte Regelfall angenommen. Erläuterungen zu den jeweiligen Anforderungen sind auf der Rückseite dieses Papiers zu finden.


Kurzbeschreibung der Kfz-Werkstatt

Die Kfz-Werkstatt hat 20 Beschäftigte. Neben den Mitarbeiterdaten verarbeitet sie hauptsächlich Kunden- und Fahr- zeugdaten, die im Rahmen von Kfz-Dienstleistungen anfallen (z .B. Kundendienst, TÜV-Untersuchung, Reparaturen). Bei Reparaturaufträgen lesen die Mechatroniker über die OBD-Schnittstelle den Fehlerspeicher der Fahrzeuge aus. Buchhaltung und Lohnabrechnung für die eigenen Mitarbeiter macht ein Steuerberater.

Wesentliche Verarbeitungstätigkeiten sind z. B.:

  • Lohnabrechnung (über einen Steuerberater)

  • Personalverwaltung

  • Betrieb der Firmenwebseite (über Hosting-Paket eines Dienstleisters)

  • Digitale Auftragsverwaltung inkl. Kundenstamm und Fahrzeugdaten

  • IT-Support (über externen Dienstleister)

  • Auswerten von Fahrzeugdaten


    Wesentliche DS-GVO-Anforderungen für die Kfz-Werkstatt

    A Datenschutzbeauftragter (DSB)

    Muss die Kfz-Werkstatt einen DSB benennen?

    ☐ ja
    ☒ nein (weniger als 10 Personen im regelmäßigen

    Umgang mit personenbezogenen Daten)

    B Verzeichnis von Verarbeitungstätigkeiten

    Ist ein solches Verzeichnis erforderlich?

    ☒ ja (wegen der regelmäßigen Verarbeitung personenbezogener Daten)

    ☐ nein
    C Datenschutz-Verpflichtung von Beschäftigten

    Ist eine solche Verpflichtung durchzuführen?

    ☒ ja (da alle Mitarbeiter mit personenbezogenen Daten umgehen)

    ☐ nein
    D Information- und Auskunftspflichten

    Bestehen irgendwelche Informationspflichten?

    ☒ ja (insb. zu Kundendaten sowie auf der Webseite in der Datenschutzerklärung)

    ☐ nein
    E Löschen von Daten

    Gibt es eine Anforderung zur Datenlöschung?

    ☒ ja (aber erst nach Ablauf gesetzlicher Aufbewahrungspflichten)

    ☐ nein

    Sicherheit

    Müssen die Daten besonders gesichert werden?

    ☐ ja
    ☒ nein (etablierte Standardmaßnahmen sind ausrei-

    chend, um die Daten effektiv zu schützen)

    Auftragsverarbeitung

    Ist ein Vertrag zur Auftragsverarbeitung notwendig?

    ☒ ja (mit dem Hosting-Anbieter sowie dem IT- Support-Dienstleister)

    ☐ nein

    Datenschutzverletzungen

    Müssen bestimmte Vorfälle gemeldet werden?

    ☒ ja (aber nur bei relevanten Risiken – eine einfache Online-Meldung beim BayLDA ist möglich)

    ☐ nein

    Datenschutz-Folgeabschätzung (DSFA)

    Muss die Kfz-Werkstatt eine DSFA durchführen?

    ☐ ja
    ☒ nein (da kein hohes Risiko bei der Daten-

    verarbeitung besteht)

    Videoüberwachung

    Besteht eine Ausschilderungspflicht bezüglich VÜ?

    ☐ ja
    ☒ nein (da keine Videoüberwachung



    durchgeführt wird)





    F

    G

    H

    I

    J


    Sicherheit

    Müssen die Daten besonders gesichert werden?

    ☐ ja
    ☒ nein (etablierte Standardmaßnahmen sind ausrei-

    chend, um die Daten effektiv zu schützen)

    Auftragsverarbeitung

    Ist ein Vertrag zur Auftragsverarbeitung notwendig?

    ☒ ja (mit dem Hosting-Anbieter sowie dem IT- Support-Dienstleister)

    ☐ nein

    Datenschutzverletzungen

    Müssen bestimmte Vorfälle gemeldet werden?

    ☒ ja (aber nur bei relevanten Risiken – eine einfache Online-Meldung beim BayLDA ist möglich)

    ☐ nein

    Datenschutz-Folgeabschätzung (DSFA)

    Muss die Kfz-Werkstatt eine DSFA durchführen?

    ☐ ja
    ☒ nein (da kein hohes Risiko bei der Daten-

    verarbeitung besteht)

    Videoüberwachung

    Besteht eine Ausschilderungspflicht bezüglich VÜ?

    ☐ ja
    ☒ nein (da keine Videoüberwachung durchgeführt wird)








 Download

 A