Ende Oktober 2025 wurde der 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) veröffentlicht. Er umfasst den Berichtszeitraum vom 1. Januar bis 31. Dezember 2024. Wie jedes Jahr beleuchtet der Bericht eine Vielzahl aktueller datenschutzrechtlicher Themen von hoher Relevanz, darunter auch Fälle von Datenschutzverletzungen.
Während wir in unserem Blog regelmäßig über Datenpannen berichten, widmet sich dieser Beitrag speziell dem Fehlversand von behördlichen Schreiben. Der Tätigkeitsbericht hebt in diesem Zusammenhang insbesondere eine Häufung von Meldungen aus Finanzämtern hervor, die u. a. auf fehlerhafte Adressierungen, fehlerhafte Zusammenstellungen von Unterlagen oder Probleme bei der Kuvertierung zurückzuführen sind.
Im folgenden Beitrag werden neben den erforderlichen Maßnahmen für Verantwortliche auch mögliche Ausnahmen von der Meldepflicht sowie praktische Hinweise zur ordnungsgemäßen Durchführung von Meldungen nach einer Datenschutzverletzung dargestellt.
Welche Maßnahmen sollten vom Verantwortlichen getroffen werden, um einen Fehlversand zu verhindern?
Der BayLfD stützt sich im Zusammenhang mit Maßnahmen zur Verhinderung des Fehlversandes insbesondere auf Art. 24 Abs. 1 DSGVO sowie Art. 32 Abs. 1 DSGVO. Dabei rückt er neben der Implementierung geeigneter technischer und organisatorischer Maßnahmen (TOM) vor allem deren regelmäßige Überprüfung und Aktualisierung in den Mittelpunkt. Zwar lassen sich Fehlversendungen durch solche Maßnahmen nicht vollständig ausschließen, entscheidend ist jedoch, dass der Verantwortliche überhaupt die nötigen TOM ergriffen hat, diese regelmäßig überprüft und infolgedessen bei Bedarf auch anpasst und aktualisiert.
Im Falle des „klassischen“ Beispiels der Namensgleichheit, die in Finanzämtern keineswegs selten vorkommt, ist es umso bedeutsamer, zuverlässige Maßnahmen zu ergreifen und insbesondere die internen Prozesse so zu gestalten, dass Fehladressierungen wirksam vermieden werden.
Welche Fälle sind von der Meldepflicht ausgenommen?
Hilfestellung für die Risikoabschätzung bietet hierbei die Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“. Als Beispiel nennt der Tätigkeitsbericht einen Zurechnungsfortschreibungsbescheid, bei dem ein Risiko für die Rechte der betroffenen Person verneint werden kann, sofern der unberechtigte Empfänger das Schreiben ungeöffnet an die Behörde zurücksendet. Gleichwohl ist zu berücksichtigen, dass gerade bei Schreiben der Finanzämter aufgrund ihres finanziellen Bezugs Risiken entstehen können. Dies gilt insbesondere dann, wenn zwischen den betroffenen Personen ein Bekanntschafts- oder Verwandtschaftsverhältnis besteht und der Verlust der Vertraulichkeit aufgrund der damit verbundenen zusätzlichen Belastung ein Risiko begründet.
Hinweise zur Durchführung der Meldung
Aufgrund des festgestellten unzureichenden Informationsgehalts vieler eingegangener Meldungen greift der BayLfD den Hinweis zur Prüfung von Meldungen auf und appelliert an Verantwortliche, Meldungen bereits im Vorfeld anhand folgender Kriterien zu überprüfen:
- Ist die inhaltliche Darstellung ausreichend?
- Ist die Risikobewertung nachvollziehbar?
- Sind die bereits ergriffenen Maßnahmen ausreichend?
- Ist eine Informierung der betroffenen Personen nötig oder bereits erfolgt?
- Wurde die Meldefrist eingehalten?
Mit Blick auf die Zuständigkeiten bei Meldungen aus Finanzämtern stellt der Tätigkeitsbericht abschließend klar, dass die Aufsicht des BayLfD diejenigen Bereiche umfasst, die von der landesrechtlich geregelten Verwaltung der Grundsteuer bis hin zu staatlichen Finanzbehörden außerhalb ihrer steuerverwaltenden Tätigkeit reichen. Für die Verarbeitung personenbezogener Daten im Anwendungsbereich der Abgabenordnung ist hingegen die Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) zuständig. Wird eine Meldung irrtümlich an die nicht zuständige Aufsichtsbehörde gerichtet, erfolgt zwar eine Weiterleitung, dennoch wird ausdrücklich empfohlen, bereits vorab sorgfältig zu prüfen, welche Aufsichtsbehörde im konkreten Fall zuständig ist.
Zusammenfassung
Der BayLfD unterstreicht erneut die zentrale Bedeutung angemessener TOM gemäß Art. 24 und Art. 32 DSGVO. Verantwortliche müssen diese Maßnahmen nicht nur implementieren, sondern auch regelmäßig überprüfen und bei Bedarf aktualisieren, um Fehlversendungen und ähnliche Datenschutzvorfälle wirksam zu verhindern. Eine Meldung an die Aufsichtsbehörde kann nur ausnahmsweise entfallen, wenn voraussichtlich kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Voraussetzung dafür ist eine sorgfältige, nachvollziehbare Risikobewertung, bei der vor allem die besonderen Risiken finanzbezogener Schreiben berücksichtigt werden. Darüber hinaus kritisiert der Landesbeauftragte die häufig unzureichende Qualität eingereichter Meldungen. Er empfiehlt daher, dass Verantwortliche vor der Einreichung prüfen, ob die inhaltliche Darstellung vollständig ist, die Risikobewertung nachvollziehbar, die bereits getroffenen Maßnahmen ausreichend, die Betroffenen ggf. informiert und die gesetzliche Meldefrist eingehalten wurde.