Datenschutz ist überall ein heißes Eisen, aber in Bayern ganz besonders. Denn hier trifft die europäische Datenschutz-Grundverordnung auf das Bayerische Datenschutzgesetz, kurz BayDSG.

Das ist vielleicht auf dem Papier trocken, doch wer sich ein bisschen durch die Eigenheiten gräbt, stößt auf überraschende Details, brisante Ausnahmen und jede Menge Fragen rund um Polizei, Justiz und künstliche Intelligenz.

Wo Landesrecht beginnt, endet nicht das EU-Recht

Das BayDSG ist nicht einfach nur ein Trotzakt gegen Brüssel. Es ergänzt die DSGVO dort, wo diese bewusst Spielräume lässt und weil Bayern in Sachen Verwaltung gerne seine eigenen Wege geht, nutzt man diese Öffnungsklauseln mit bayerischer Gründlichkeit.

Der Geltungsbereich ist klar definiert. Das Gesetz gilt für Behörden, Gerichte, Kommunen und andere öffentliche Stellen im Freistaat. Also überall dort, wo der Staat Daten in der Hand hat. Doch anstatt alles blind der DSGVO zu unterwerfen, regelt das BayDSG, wie genau diese Vorgaben in der Praxis umgesetzt werden sollen. Es bringt Ordnung ins öffentliche Datenchaos und soll dabei sicherstellen, dass Verwaltung effizient bleibt, ohne die Grundrechte aus den Augen zu verlieren.

Die letzte größere Überarbeitung fand 2023 statt. Sie zielte darauf ab, das Gesetz auf Kurs mit den aktuellen Entwicklungen auf EU-Ebene zu bringen. Denn das digitale Spielfeld verändert sich schneller als man „Einwilligungserklärung“ sagen kann.

OASIS, Spielerschutz und bayerische Bedenken

Kaum ein Thema zeigt den Spagat zwischen Datenschutz und Regulierung so deutlich wie das Glücksspiel. Seit Inkrafttreten des neuen Glücksspielstaatsvertrags müssen Anbieter an das zentrale Sperrsystem OASIS angeschlossen sein. OASIS ist ein Schutzmechanismus, der eigentlich dafür sorgen soll, gefährdete Spieler zu erkennen und zu sperren.

Doch viele Nutzer empfinden das als digitale Überwachung. Wer sich nicht kontrolliert fühlen will, möchte gezielt ohne OASIS spielen, auch wenn solche Angebote meist außerhalb des rechtlich zulässigen Rahmens liegen. Bayern steht hier zwischen den Stühlen. Einerseits der Wunsch nach effektivem Spielerschutz, andererseits die grundrechtlichen Bedenken rund um Datenschutz, Privatsphäre und Selbstbestimmung.

Wenn Datenschutzrechte bewusst eingeschränkt werden

Jetzt wird es heikel. Denn sobald die Polizei oder Gerichte ins Spiel kommen, gelten ganz andere Regeln. Die DSGVO, sonst das Maß aller Dinge, wird hier kurzerhand zur Nebensache, denn die europäische Richtlinie für Justiz und Inneres (JI-Richtlinie) ist für diesen Bereich zuständig und sie erlaubt den Staaten deutlich mehr Spielraum beim Umgang mit Daten, besonders wenn es um die Sicherheit geht.

Doch was bedeutet das konkret? In Strafverfahren oder bei polizeilichen Ermittlungen darf auf viele der klassischen Datenschutzrechte verzichtet werden. Keine Informationspflicht, keine Auskunft, kein Recht auf Löschung. Wer also glaubt, nach einer Verkehrskontrolle einfach mal bei der Polizei nachfragen zu können, welche Daten dort gespeichert sind, wird enttäuscht. Statt DSGVO regeln hier das Strafprozessrecht, das Ordnungswidrigkeitengesetz und das bayerische Polizeiaufgabengesetz den Umgang mit Informationen.

Letzteres ist besonders spannend, weil es den Einsatz moderner Mittel wie Bodycams, Drohnen oder verdeckter Ermittler ganz offiziell erlaubt, natürlich mit gewissen Hürden. Manchmal braucht es einen richterlichen Beschluss, manchmal reicht eine konkrete Gefahr. Datenschutz gibt es, aber nur so weit, wie es die Ermittlungen nicht stört.

Technologische Entwicklungen stellen Bayern vor neue Herausforderungen

2025 ist kein normales Jahr für Datenschützer. Mit der EU-KI-Verordnung tritt ein neues Monster auf den Plan, das alles noch komplizierter macht. Besonders für Bayern, das seine digitale Verwaltung gerade in großen Schritten modernisiert. Denn was nützt ein schneller Online-Antrag, wenn die dahinterliegende KI plötzlich in verbotene Grauzonen vorstößt?

Die Verordnung unterscheidet zwischen akzeptablen, risikobehafteten und verbotenen KI-Anwendungen. Letztere sind zum Beispiel Systeme zur biometrischen Echtzeitüberwachung im öffentlichen Raum. Das klingt für Strafverfolger zwar verlockend, ist aber aus Sicht der Grundrechte brandgefährlich.

Behörden in Bayern stehen deshalb vor der Aufgabe, diese neuen Vorgaben zu kennen sowie technisch und organisatorisch umzusetzen. Das geht über ein paar neue Schulungen weit hinaus. Highlights wie „AI-Literacy“ oder „Risikobewertung“ werden zur Pflichtlektüre in der Verwaltungsetage. Ohne entsprechendes Know-how drohen Verstöße und die werden ab 2025 mit aller Härte geahndet.

Um diese Anforderungen zu stemmen, bastelt Bayern an einem zentralen IT-Dienstleister für Kommunen. Ziel ist eine Plattform, die datenschutzkonform ist und gleichzeitig modernste Technologien nutzen kann. Klingt nach Zukunftsmusik, ist aber längst auf der Agenda.

Zwei Aufsichtsbehörden, zwei Aufgaben

Wer denkt, dass Datenschutz in Bayern von einer einzigen Stelle überwacht wird, irrt gewaltig. Der Freistaat setzt auf ein zweigleisiges Modell.

Für Behörden und staatliche Einrichtungen ist der Bayerische Landesbeauftragte für den Datenschutz zuständig. Eine eher ruhige Instanz mit beratender Funktion, aber durchaus klarer Stimme, wenn etwas aus dem Ruder läuft. Der Landesbeauftragte ist der Anwalt der Grundrechte in der Verwaltung, auch wenn seine Machtmittel eher subtil daherkommen.

Anders das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Diese Behörde kümmert sich um den nicht-öffentlichen Bereich, also um Unternehmen, Vereine, Freiberufler und alle anderen, die mit personenbezogenen Daten jonglieren. Hier geht es auch mal um saftige Bußgelder. Besonders im Fokus stehen IT-Sicherheitsmaßnahmen, Cloud-Nutzung und der Umgang mit Kundendaten.

Eine Initiative des BayLDA verdient besondere Erwähnung: die „Checkliste Cyberfestung“. Damit können Unternehmen prüfen, ob ihre digitalen Schutzwälle stark genug sind, um den immer raffinierteren Cyberangriffen standzuhalten. Denn Datenschutz ohne IT-Sicherheit ist wie ein Tresor ohne Tür.

Wie Bundespolitik bayerischen Datenschutz beeinflusst

Aber auch Bayern kann sich nicht völlig von Berlin abkoppeln. Die großen Datenschutzreformen werden auf Bundesebene angeschoben, oder eben nicht. Denn seit dem letzten Koalitionswechsel läuft nicht alles wie geplant. Einige Initiativen liegen auf Eis, andere dümpeln vor sich hin, während auf europäischer Ebene längst Nägel mit Köpfen gemacht werden.

Für Bayern bedeutet das warten, beobachten, improvisieren. Denn solange keine klaren Vorgaben kommen, bleibt vieles Auslegungssache. Das sorgt für Unsicherheit, vor allem bei Behörden, die ohnehin schon mit den Umstellungen auf KI und digitale Prozesse genug zu tun haben.

Dabei wären klare Leitlinien längst überfällig. Denn wer heute eine KI im Bürgerbüro einsetzen will, steht vor einem Wust aus Regeln, Ausnahmen und Fragezeichen und das BayDSG kann nicht alles auffangen, was Berlin offenlässt.

Ein föderaler Sonderweg mit europäischen Grenzen

Datenschutz in Bayern ist weder Chaos noch Selbstzweck. Es ist ein durchdachtes System, das versucht, europäische Vorgaben sinnvoll mit landesspezifischen Anforderungen zu verknüpfen. Dass es dabei Reibungspunkte gibt, ist kein Zufall, sondern eine Folge des föderalen Systems. Wer auf bayerischem Boden mit Daten arbeitet, muss sich auf einige Extras einstellen. Das ist nicht immer bequem, aber in der Sache oft konsequent.

Gleichzeitig zeigt sich, dass kein Landesgesetz an Brüssel vorbei kommt. Die DSGVO bleibt der Rahmen und die KI-Verordnung dürfte diese Grenzen noch enger ziehen. Bayern wird auch künftig eigene Wege gehen wollen. Die Frage ist nur, wie weit diese Wege noch führen, wenn Europa das Tempo vorgibt.

Weiteres in der Rubrik Sonstiges und auf den Seiten München online – Unser Newsletter, München online – Unser Newsletter und Sonstiges in und um München.