Protokoll: Protokoll der 97. Konferenz vom 3. bis 4. April 2019
TOP 01) Begrüßung und Organisatorisches
Der Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 97. Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Landtagspräsident Hering heißt die Konferenz auf dem Hambacher Schloss willkommen und begrüßt, dass diese einen für die deutsche Demokratiegeschichte so bedeutsamen Ort für ihre Frühjahrskonferenz gewählt habe. Demokratie, Freiheit und Selbstbestimmung seien keine Selbstverständlichkeiten, sondern müssten in jeder Generation neu errungen werden. Dem komme gerade auch in einer digitalen Lebenswelt besondere Bedeutung zu und unabhängige Datenschutzbeauftragten seien dabei unverzichtbar, gerade auch als kompetente Berater der Parlamente. Es gelte im digitalen Wandlungsprozess nicht, eine marktkonforme Demokratie, sondern einen demokratiekonformen Markt zu gestalten. Die neuen und faszinierenden digitalen Nutzungsmöglichkeiten alleine dürften nicht ausschlaggebend sein, stets müsse die informationelle Selbstbestimmung des Einzelnen als ein wesentliches Element einer funktionierenden Demokratie in digitalen Zeiten erhalten bleiben. Er wünscht der Datenschutzkonferenz eine erfolgreiche Tagung.
TOP 02) Tagesordnung und Protokoll
Der Vorsitzende dankt den Teilnehmerinnen und Teilnehmern für die konstruktive und ergebnisreiche Vorkonferenz am 27. und 28. März 2019 in Mainz. Für die nachfolgenden Tagesordnungspunkte wurde auf dieser Einvernehmen hergestellt. Deren Behandlung könne deshalb im verkürzten Verfahren erfolgen.
TOP 3 Informationen zu Umlaufverfahren
TOP 7 Beschluss zum Thema „Facebook Fanpages“
TOP 12 Positionspapier „Biometrische Analyse“
TOP 14.1 Zusammenarbeit mit den spezifischen Aufsichtsbehörden
14.2 Beteiligung der Medienbeauftragten für den Datenschutz
TOP 15 Änderung des Rundfunkgebührenstaatsvertrags
TOP 17 Reaktionen der Aufsichtsbehörden auf die Veröffentlichung personenbezogener Daten von Personen des
öffentlichen Lebens („Doxing“); Orientierungshilfe „Anforderungen an Anbieter von Online-Diensten“
TOP 19 Löschung von Daten als Datenschutzverstoß
TOP 20 Auslegung des Begriffs „Wissenschaftliche Forschung“
im Erwägungsgrund 33 der DS-GVO
TOP 21 Ergänzung zur Positionsbestimmung der DSK zur Anwendbarkeit des TMG
TOP 22.2 AK Organisation & Struktur (AK Verwaltung/Subgroup Compliance, eGovernment & Health)
TOP 23 Zusammenarbeit bei mehreren betroffenen Aufsichtsbehörden
TOP 28 Interoperabilität der EU-Informationssysteme im Bereich polizeilicher und justizieller Zusammenarbeit
TOP 29 Zwischenbericht zum Standard-Datenschutzmodell
TOP 33 Anpassung von Orientierungshilfen an die DS-GVO
TOP 34 Reaktionen auf den aktuellen Facebook-Datenskandal (Klartextpassworte)
Auf Wunsch von Baden-Württemberg wird TOP 7 nicht im verkürzten Verfahren behandelt. Auf Bitte Hamburgs wird TOP 23 ebenfalls nicht im verkürzten Verfahren behandelt.
Mit Ausnahme der TOPs 7 und 23 nimmt die Konferenz die Ergebnisse der Vorkonferenz zu den o.g. Tagesordnungspunkten ohne weitere Aussprache an.
Die Konferenz beschließt einstimmig aufgrund des thematischen Zusammenhangs den Tagesordnungspunkt 34 nach Tagesordnungspunkt 7 und den Tagesordnungspunkt 35 nach Tagesordnungspunkt 9 zu behandeln, der Tagesordnungspunkt 25 wird zudem nach TOP 5 behandelt. Die Konferenz verständigt sich zudem darauf, den von Hamburg nachträglich eingereichten Tagesordnungspunkt 36 (Ausländerzentralregister) nach TOP 10 zu behandeln.
TOP 03) Informationen zu Umlaufverfahren
Der Vorsitz teilt mit, dass das Umlaufverfahren Nr. 2/2019 (Positionierung zu Facebook Fanpages) wieder aufgenommen und am 26.3.19 abgeschlossen wurde. Die Positionierung der DSK zu Facebook Fanpages wurde im Ergebnis einstimmig bei einer Enthaltung (Hessen) beschlossen. Im Übrigen wird auf den mitgeteilten Stand der Umlaufverfahren (Mail vom 25.3.19) verwiesen.
Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz.
TOP 04) Bericht aus dem Europäischen Datenschutzausschuss, EDSA Communication-Meeting
Der Vorsitzende dankt Hamburg und dem BfDI für die Teilnahme an der vergangenen Plenumssitzung und der Bereitschaft an kommenden Plenumssitzungen teilzunehmen. Anschließend berichten der BfDI und Hamburg aus dem EDSA, u.a. zu folgenden Themen:
- Verhältnis der Privacy-Richtlinie und der Datenschutz-Grundverordnung
Hamburg weist die Teilnehmerinnen und Teilnehmer der Konferenz zudem auf das am 17. 05. 2019 in Wien stattfindende EDSA Communication-Meeting hin.
TOP 05) Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden / IMI System, Aktuelle Bundesgesetzgebung
Die Berichte zur Arbeit der ZASt und zur aktuellen Bundesgesetzgebung wurden den Teilnehmerinnen und Teilnehmern bereits vor der 97. DSK schriftlich zugesandt.
Ergänzend berichtet die ZASt zur Diskussion im AK Organisation und Struktur, der sich in seiner ersten Sitzung u.a. mit der Fragestellung, wann ein grenzüberschreitender Fall vorliegt und wie gemeinsame Standpunkte hergestellt werden können, befasst hat.
Zudem stellt die ZASt dar, sich an das EDSA Sekretariat gewandt zu haben, um die Frage zu klären, welche Unterlagen aus der Arbeit des EDSA den spezifischen Aufsichtsbehörden zur Verfügung gestellt werden können. Auf EDSA Sekretariatsebene könne hierzu allerdings keine verbindliche Aussage getroffen werden. Vielmehr sei es erforderlich, die Thematik auf einer Plenumssitzung zu erörtern. Die ZASt empfiehlt daher, sich mit einer Infonote an das Plenum zu wenden, in dem die Situation der spezifischen Aufsichtsbehörden in Deutschland dargestellt und ein Verfahrensvorschlag, welche Dokumente mit spezifischen Aufsichtsbehörden geteilt werden können, unterbreitet wird. Die ZASt unterbreitet der Konferenz das Angebot, in Zusammenarbeit mit dem AK-Grundsatz eine solche Infonote zu erstellen und beim EDSA Sekretariat einzureichen. Idealerweise soll diese bis zur Sitzung des EDSA am 14. und 15. Mai eingereicht werden. Hierdurch könnte das Ergebnis des Plenums ebenfalls am 21.05.2019 beim Treffen mit den spezifischen Aufsichtsbehörden behandelt werden. Erfahrungsgemäß müsse eine solche Infonote ca. 2 Wochen vor Plenumssitzung beim EDSA eingereicht werden um im der nächsten Plenumssitzung behandelt zu werden.
Auf Vorschlag der ZASt fasst die 97. Datenschutzkonferenz deshalb den folgenden Beschluss:
„Die DSK beschließt, den Vorsitz des AK Grundsatz in Fortsetzung seines Arbeitsauftrages mit dem Entwurf einer Infonote zu beauftragen. In dieser Infonote soll die rechtliche Rolle der spezifischen Aufsichtsbehörden erläutert werden und aufgezeigt werden, welche Dokumente des EDSA an die spezifischen Aufsichtsbehörden weitergeleitet werden können. Der Vorsitz des AK Grundsatz stimmt den Entwurf mit den Aufsichtsbehörden des Bundes und der Länder ab und reicht die Infonote anschließend über die ZASt im Sekretariat des EDSA ein.“
Abstimmungsergebnis: [17,0,0] (Zustimmung, Enthaltung, Ablehnung)
TOP 06) Entschließung zu Datenschutzanforderungen an auf Künstliche Intelligenz gestützte Datenverarbeitungen („Hambacher Erklärung“)
Die Konferenz erörtert den Entwurf eingehend und sorgfältig und nimmt an der vorgelegten Version einige Ergänzungen und sprachliche Änderungen vor. Anschließend wird die Hambacher Erklärung als Entschließung der Konferenz einstimmig ohne Enthaltung den Teilnehmerinnen und Teilnehmern beschlossen.
Abstimmungsergebnis: [17,0,0]
TOP 07) Beschluss zum Thema Facebook-Fanpages
Der Vorsitzende trägt vor, dass die Taskforce Fanpages einen überarbeiteten Beschlussentwurf vorgelegt habe hat und das entsprechende Umlaufverfahren zwischenzeitlich zum Abschluss gebracht wurde (Ergebnis: einstimmig bei einer Enthaltung (Hessen) beschlossen; 16/0/1).
In einem anschließenden Meinungsaustausch diskutieren auf Anregung Baden-Württembergs die Teilnehmerinnen und Teilnehmer den weiteren Umgang mit dem Beschluss. Auf der Zwischenkonferenz am 25.6.2019 soll der Punkt erneut beraten werden.
TOP 08) Entschließung zum Thema „Keine Abschaffung der Datenschutzbeauftragten“
Der BfDI stellt den Entschließungsvorschlag vor und stellt dar, dass dieser mit Blick auf eine etwaige Thematisierung im Rahmen des parlamentarischen Verfahrens zum 2. Datenschutzumsetzungs- und Anpassungsgesetz Bedeutung erlangen könne. Niedersachsen informiert darüber, dass die Niedersächsische Landesregierung beschlossen hat, dem Bundesrat eine
„Entschließung zur Änderung datenschutzrechtlicher Bestimmungen“ zuzuleiten. In dem Entschließungsantrag wird insbesondere eine deutliche Entlastung von kleineren und mittleren Unternehmen durch die Anhebung der Mindestanzahl der mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen gefordert.
Es erfolgt ein Meinungsaustausch zum vorgelegten Entschließungsentwurf und über dessen Veröffentlichung.
Die Konferenz beschließt den vorgelegten Entschließungsentwurf zunächst nur inhaltlich:
Abstimmungsergebnis: [16,0,1]
Über die Veröffentlichung soll im Rahmen eines Umlaufverfahrens entschieden werden,, wenn dies aufgrund des Fortgangs des Gesetzgebungsverfahrens zielführend ist.
Hinweis: Das Umlaufverfahren zur Veröffentlichung der Entschließung wurde am 15.04.2019 mit Frist bis 18.04.2019 eingeleitet. Eine Veröffentlichung der Entschließung wurde nach Beendigung des Umlaufverfahrens durch den Vorsitz veranlasst.
TOP 09) Entschließung zur Digitalisierung der Verwaltung ohne einheitliche, verwaltungsübergreifende Personenkennzeichen
Der BfDI erläutert, dass es im Rahmen der geplanten Registermodernisierung zu der Thematik aktuelle politische Entwicklungen gebe. Aufgrund dessen habe sich der BfDI mit dem Bundes-Innenministerium in Verbindung gesetzt. Von dort werde ein Gespräch mit allen Aufsichtsbehörden vorgeschlagen, um die datenschutzrechtlichen Aspekte zu diskutieren.
Ein zum vorliegenden Entschließungsentwurf eingeholtes Meinungsbild zeigt, dass dieser mit Ausnahme zweier Gegenstimmen (Bayern, Baden-Württemberg) auf Zustimmung stößt.
Aus Sicht der Konferenz sollten vor einer Entschließung zunächst jedoch die Ergebnisse des Gesprächs mit dem BMI abgewartet werden.
Auf Vorschlag von Mecklenburg-Vorpommern wird der Tagesordnungspunkt auf die Junikonferenz vertagt.
TOP 10) Positionierung zu Windows 10
Der Vorsitzende führt in die Thematik ein. Mecklenburg Vorpommern stellt dar, das die technische Bewertung von Windows 10 zum jetzigen Zeitpunkt noch nicht so weit fortgeschritten ist, dass eine Entschließung hierzu gefasst werden kann. Zur weiteren Vorgehensweise schlägt Mecklenburg-Vorpommern deshalb vor, den AK-Technik, unter Berücksichtigung der Studie des Bundesamtes für Sicherheit in der Informationstechnik, mit einer Bewertung von Windows 10 und der Erarbeitung von Empfehlungen für dessen Einsatz zu beauftragen. (Der BfDI erklärt hierzu, dass derzeit eine Auswertung der BSI Studie durch den BfDI auf datenschutzrechtliche Gesichtspunkte hin erfolge). Das LDA Bayern als die für Microsoft zuständige Aufsichtsbehörde soll auf der Grundlage der Ergebnisse in einen Dialog mit der Microsoft Deutschland GmbH zu den datenschutzrechtlichen Fragen zum Produkt Windows 10 eintreten mit dem Ziel, offene Punkte und die Möglichkeiten einer datenschutzkonformen Konfiguration bzw. eines datenschutzkonformen Einsatzes der verschiedenen Windows 10-Produkte zu klären.
Die Konferenz beschließt die Erteilung des o.g. Arbeitsauftrages an den AK-Technik:
Abstimmungsergebnis: [17,0,0]
Die Konferenz beschließt weiterhin die Veröffentlichung des dem Auftrag an den AK-Technik zugrunde liegenden Textes:
Abstimmungsergebnis: [10,4,3]
Bayern, Baden-Württemberg, Sachsen-Anhalt und Rheinland-Pfalz stimmen gegen eine Veröffentlichung
TOP 11) Vorkehrungen der Aufsichtsbehörden auf einen etwaigen ungeregelten Austritt Großbritanniens aus der EU
Die datenschutzrechtliche Positionierung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zum Brexit wurde im Umlaufverfahren beschlossen. Die Anmeldung des Tagesordnungspunktes wird deshalb von Berlin zurückgezogen.
TOP 12) Positionspapier „Biometrische Analyse“
Mecklenburg-Vorpommern trägt vor, dass innerhalb der UAG nicht zu allen Einzelaspekten des Papiers ein Konsens erzielt werden konnte.
Die Konferenz stellt ein Meinungsbild über die Kapitel 1 - 5 und Kapitel 7 des erarbeiteten Positionspapiers her:
Abstimmungsergebnis: [17,0,0]
Bezüglich der Punkte des Kapitels 6 bei denen die UAG keine Einigkeit erzielen konnte ergibt sich unter Zugrundelegung des Textes der Mehrheitsauffassung der UAG folgendes Abstimmungsergebnis:
6.1.4 Abstimmungsergebnis: [11,5,1]
6.1.5 Abstimmungsergebnis: [11,5,1]
6.4.5 Abstimmungsergebnis: [13,3,1]
6.4.7 Abstimmungsergebnis: [11,5,1]
6.4.8 Abstimmungsergebnis: [13,3,1]
Das Positionspapier insgesamt (Kapitel 1 bis 7) wird von der Konferenz daraufhin mit folgendem Ergebnis angenommen:
Abstimmungsergebnis: [14,2,1]
Baden-Württemberg und Bayern lehnen ab.
Hamburg enthält sich.
Unter der Voraussetzung, dass die ablehnenden Voten von Baden-Württemberg und Bayern im Positionspapier kenntlich gemacht werden, werden gegen dessen Veröffentlichung keine Bedenken erhoben.
Die Konferenz erteilt der UAG den Auftrag, das Positionspapier um eine Muster-DSFA anhand eines ausgewählten Fallbeispiels zu ergänzen. Sie erteilt der UAG ferner den Auftrag, ihre Arbeit mit Blick auf weitere biometrische Charakteristika (u. a verhaltenstypische Merkmale, medizinische Daten) sowie weitere Sensoren (u. a. akustische Sensoren, Wearables) fortzusetzen, um das Positionspapier im Rahmen einer „zweiten Auflage“ entsprechend zu ergänzen.
Abstimmungsergebnis: [15,0,2]
TOP 13) Vertretung der Datenschutzbeauftragten des Bundes und der Länder im Beirat der Stiftung Datenschutz
Der Vorsitzende stellt die Bitte der Stiftung Datenschutz nach Entsendung von Mitgliedern der Konferenz in den Beirat der Stiftung dar und führt in die Fragestellung ein, ob Vertreter der Datenschutzaufsichtsbehörden auf der Grundlage der aktuellen Satzung dort vertreten sein sollen. Nach dem sich anschließenden Meinungsaustausch beschließt die Konferenz Thüringen und den BfDI zu bitten, die hinsichtlich Struktur und Ausrichtung der Stiftung Datenschutz relevanten Punkte zusammenzustellen, die aus Sicht der Datenschutzaufsichtsbehörden vor der Entscheidung über eine künftige Vertretung von unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Beirat der Stiftung geklärt bzw. erfüllt sein sollten.
Abstimmungsergebnis: [14,0,3]
Von der Bitte der Stiftung, Vertreter der Datenschutzaufsichtsbehörden in den Beirat der Stiftung zu entsenden, nimmt die Konferenz zum jetzigen Zeitpunkt Abstand:
Abstimmungsergebnis: [5,10,2]
Baden-Württemberg und Niedersachsen enthalten sich.
Sachsen weist darauf hin, dass die Haltung der Konferenz, zum jetzigen Zeitpunkt nicht in den Beirat einzutreten, einer fallweisen institutionellen Zusammenarbeit mit der Stiftung Datenschutz nicht entgegenstehe.
Der Vorsitz wird gebeten, das Schreiben des Vorsitzenden des Stiftungsbeirats entsprechend zu beantworten.
TOP 14) 14.1 Zusammenarbeit mit den spezifischen Aufsichtsbehörden
Der Vorsitz stellt dar, dass entsprechend des Auftrags der DSK (Beschluss der Zwischenkonferenz vom 29.1.2019, TOP 6) in Kooperation mit dem BfDI am 21. Mai 2019 ein gemeinsames Treffen mit den spezifischen Aufsichtsbehörden in Mainz stattfinden wird. Alle unabhängigen Datenschutzaufsichtsbehörden sind eingeladen, daran teilzunehmen.
Die Konferenz sieht den Arbeitsauftrag an den AK Grundsatz mit den vorgelegten Papieren als erfüllt an. Nach Aufnahme redaktioneller Änderungen und sprachlicher Anpassungen beschließt die Konferenz die Positionierung der DSK zu Art. 91 DS-GVO mit folgendem Ergebnis:
Abstimmungsergebnis: [17,0,0]
Über die vom AK Grundsatz vorgeschlagenen Ergänzungen des Beschlusses der Sonderkonferenz am 6.6.2018 (TOP 4) soll im Umlaufverfahren mit Fristsetzung bis zum 02.05.2019 abgestimmt werden.
Abstimmungsergebnis: [16,0,1]
Die Konferenz beschließt, das Papier als Beschluss der DSK abzufassen, jedoch ohne den Zusatztext über eine beabsichtigte Registrierung als spezifische Aufsichtsbehörde zur Verwendung auf der Homepage der DSK-Mitglieder.
Abstimmungsergebnis: [16,0,1]
14.2 Beteiligung des Medienbeauftragten für den Datenschutz
Es erfolgt ein Meinungsaustausch zur Beteiligung der Datenschutzbeauftragten der Landesmedienanstalten aufgrund der gesetzlichen Besonderheiten in Bayern, Nordrhein-Westfalen und dem Saarland. Die Medienbeauftragten dieser Bundesländer sollen ebenfalls zum Treffen der spezifischen Aufsichtsbehörden am 21.05.2019 in Mainz eingeladen werden. Die Ergebnisse des Treffens am 21.5.2019 und die weitere Beteiligung der spezifischen Aufsichtsbehörden sollen auf der Zwischenkonferenz am 25.6.2019 besprochen werden.
Zum Status der Mediendatenschutzbeauftragten wird ein Meinungsbild eingeholt.
Danach handelt es sich aus Sicht der Datenschutzkonferenz bei den Mediendatenschutzbeauftragten um spezifische Aufsichtsbehörden, mit denen in regelmäßigem Abstand ein Austausch stattfinden soll. Eine regelmäßige Teilnahme an den Sitzungen der Konferenz ist mit Blick auf deren Status nicht vorgesehen.
Abstimmungsergebnis: [12,1,4]
TOP 15) Änderung des Rundfunkgebührenstaatsvertrags / Rundfunkbeitragsstaatsvertrags
Der Vorsitz berichtet über eine von der Staatskanzlei Rheinland-Pfalz ergangene Einladung an den Vorsitz für die mündliche Anhörung zur Änderung des Rundfunkgebührenstaatsvertrags am 29.04.2019 in Berlin. Dieser waren der Änderungsentwurf sowie ein Evaluierungsbericht beigefügt (Tischvorlage). Die Konferenz beschließt, dem AK-Medien den Auftrag zu erteilen, eine datenschutzrechtliche Position zur der Thematik zu erarbeiten und der Konferenz einen Beschlussvorschlag bis zum 15.04.2019 vorzulegen. Dieser soll im Umlaufverfahren mit Fristsetzung bis zum 26.04.2019 beschlossen werden, damit bis zum Anhörungstermin am 29.04.2019 eine abgestimmte Meinung der Konferenz vorliegt. Hierüber stimmt die Konferenz folgendermaßen ab:
Abstimmungsergebnis: [17,0,0]
TOP 16) Konzept zur Evaluierung der DS-GVO
Der Vorsitzende dankt Baden-Württemberg und dem UAK Evaluierung für die bereits geleistete Arbeit. Baden-Württemberg berichtet im Anschluss darüber, dass der eingerichtete UAK Evaluierung zwischenzeitlich aktiv geworden ist und stellt den Zeitplan sowie die derzeit gewählten 13 Schwerpunkte dar. Der LfDI Baden-Württemberg stellt klar, dass die aus der als Anlage übersandten Schwerpunktliste ersichtlichen Unterpunkte keine inhaltlichen Festlegungen, sondern Beispiele zur Veranschaulichung darstellen sollen und diese daher nicht Teil der inhaltlichen Festlegung des Beschlusses der DSK sein sollen. Wie in der Tagesordnungsanmeldung dargestellt, bittet Baden-Württemberg die dort genannten Arbeitskreise bis zum 31.05.2019 zu prüfen, ob zu den jeweiligen Schwerpunktthemen in der vom UAK Evaluation vorgelegten Liste eine inhaltliche Stellungnahme erfolgen soll und eine solche gegebenenfalls bis zu diesem Datum an den UAK-Vorsitz (über gross@lfdi.bwl.de) zu übersenden. Außerdem wird klarstellend erklärt, dass auch alle nicht aufgelisteten Arbeitskreise bei Bedarf zu allen Themen zumelden können. Hierzu fasst die DSK folgenden Beschluss:
Die DSK nimmt den Zeitplan des UAK Evaluierung zustimmend zur Kenntnis und legt die vom UAK vorgeschlagenen Themen als Schwerpunkte ihrer Evaluierung fest und beauftragt die in der Anlage aufgeführten Arbeitskreise bis zum 31. Mai 2019 mit der Prüfung, ob zu den jeweiligen Schwerpunktthemen eine inhaltliche Stellungnahme angezeigt ist
Abstimmungsergebnis: [17,0,0]
Die DSK bittet darüber hinaus den Vorsitz, die spezifischen Aufsichtsbehörden mit einem Schreiben einzuladen, sich am Prozess zur Evaluation der DS-GVO zu beteiligen.
TOP 17) Reaktionen der Datenschutzbeauftragten auf die Veröffentlichung personenbezogener Daten, Orientierungshilfe „Guidelines für Provider“
Die Konferenz beschließt einstimmig die von Mecklenburg-Vorpommern mit Mail vom 01.03.2019 vorgelegte Orientierungshilfe des AK Technik zu den Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung. Die von Thüringen am 28.3.2019 eingebrachten Änderungsvorschläge werden weitgehend übernommen.
Abstimmungsergebnis: [17,0,0]
TOP 18) Interessenvertretung / Personalrat als Verantwortlicher im Sinne des Art. 4 Ziff. 7 DS-GVO
Die Anmeldung des Tagesordnungspunktes wird vom BfDI zurückgezogen.
TOP 19) Löschung von Daten als Datenschutzverstoß
Die Konferenz beschließt, die von Hessen aufgeworfene Frage zur Behandlung an den AK-Grundsatz zu verweisen. Für die Zukunft wird angeregt, vergleichbare Einzelfragen vor einer Behandlung auf Konferenzebene zunächst im zuständigen Arbeitsgremium vorzubereiten.
Abstimmungsergebnis: [17,0,0]
TOP 20) Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO
Die Konferenz beschließt das vom AK Gesundheit und dem AK Wissenschaft vorgelegte Ergebnis mit dem folgenden
Abstimmungsergebnis: [16, 0,1]
TOP 21) Ergänzung zur Positionsbestimmung zur Anwendbarkeit des TMG bei nichtöffentlichen Stellen
Die Konferenz beschließt die vom LDA Bayern am 26.03.2019 versandte Fassung der Orientierungshilfe für Anbieter von Telemedien
Abstimmungsergebnis: [17, 0, 0]
TOP 22) 22.1 Bericht aus dem AK Organisation und Struktur
Hessen berichtet aus den Beratungen des AK Organisation und Struktur zu Zuordnung der Arbeitskreise der Konferenz zu den Subgroups des Europäischen Datenschutzausschusses und den Überlegungen zur Verzahnung der Arbeit der jeweiligen Gremien.Anschließend fasst die Konferenz zu Struktur und Aufgaben der Arbeitskreise folgende Beschlüsse:
- Die DSK stellt fest, dass allein aufgrund der aktuellen Struktur der europäischen Arbeitskreise keine generelle Umstrukturierung der Arbeitskreise der DSK vorgenommen werden soll.
- Die DSK beauftragt den AK Organisation und Struktur in einem gemeinsamen Treffen mit den Vorsitzenden der AKs der DSK daran zu arbeiten, dass die Themen, die im EDSA bzw. dessen Expert Subgroups diskutiert und beschlossen werden, grundsätzlich auch auf Ebene der AKs behandelt werden.
- Die DSK bittet die AKs Verfahrensweisen zu finden, die sicherstellen, dass Punkte, die in den Expert Subgroups behandelt werden, auch in die AKs Eingang finden. Es sollten Arbeitsplanungen erfolgen, die sich auch an der Arbeitsplanung der Expert Subgroups orientieren.
Abstimmungsergebnis gefasst: [17,0,0]
Zum künftigen Aufgabenzuschnitt des Workshops der Aufsichtsbehörden teilt Hessen mit, dass der AOK Organisation und Struktur folgenden Vorschlag für eine Aufgabenbeschreibung des Workshops der Aufsichtsbehörden entwickelt hat: Beim Workshop der Aufsichtsbehörden handelt es sichum ein Treffen auf Sachbearbeitungsebene zum Austausch von Best-Practice-Beispielen und Erfahrungen (z.B. Austausch von Mustern zur Gestaltung von Rechtsbehelfsbelehrungen, zum Umgang mit Querulanten oder „Reichsbürgern“, zum Vorgehen bei Vor-Ort-Überprüfungen, etc.), soweit hierfür kein spezifischer Arbeitskreis oder sonstiges Gremium der Datenschutzkonferenz besteht. Der Workshop soll hierbei nicht als Auffang-Gremium für fachliche Themen verstanden werden, die keinem bestehenden Arbeitskreis oder sonstigen Gremium der Datenschutzkonferenz zugeordnet werden kann.
22.2 AK Verwaltungsmodernisierung und Subgroup Compliance, eGovernment and Health
Die Konferenz fasst folgende von Hessen (Vorsitz AK Organisation & Struktur) eingebrachten nachfolgenden Beschlüsse:
1. Der Vorsitz des AK Verwaltungsmodernisierung geht von Sachsen auf Brandenburg über.
2. Der AK Verwaltungsmodernisierung wird in AK Verwaltung umbenannt.
3. Der neue Ländervertreter der Compliance, eGovernment and Health Expert Subgroup wird von Brandenburg gestellt. Der stellvertretende Ländervertreter wird von Sachsen gestellt.
Abstimmungsergebnis: [17,0,0]
Die Konferenz dankt Sachsen und Brandenburg für die bisher geleistete Arbeit und die Bereitschaft, die neuen Aufgaben zu übernehmen.
TOP 23) Zusammenarbeit bei mehreren betroffenen deutschen Aufsichtsbehörden
Hamburg berichtet zum Tagesordnungspunkt. Die auf der Vorkonferenz problematisierte Ziffer 6 des Beschlussvorschlages wurde zwischenzeitlich von Baden-Württemberg und Hamburg überarbeitet.
Nordrhein-Westfalen und Berlin sind der Auffassung, dass sich die getroffenen Festlegungen ausschließlich auf die praktische Vorgehensweise zur Identifizierung einer Federführung unter den betroffenen Aufsichtsbehörden beziehen. Damit soll nach Auffassung von NRW insbesondere die Kommunikation gegenüber den europäischen Aufsichtsbehörden im Rahmen des Verfahrens der Zusammenarbeit erleichtert, unterschiedliche Auffassungen zur Auslegung von § 19 BDSG jedoch nicht vorweggenommen werden (s. Protokoll zur Sitzung des UAK „Umgang mit Beschwerden nach Art. 77 DS-GVO vom 18.06.2018, dort Ziffer IV.2. und Ziffer 5).
Die Konferenz beschließt:
Der aktualisierte Beschlussvorschlag soll im AK Organisation und Struktur beraten werden. Dabei sollen die im ursprünglichen Beschlussvorschlag genannten Beispiele in Ziffer 6 berücksichtigt werden. Nach der Beratung im AK Organisation & Struktur soll der Konferenz ein Beschlussvorschlag vorgelgt werden:
Abstimmungsergebnis: [15,0,2]
TOP 24) Vereinheitlichung von Publikationsformaten
Bayern (Vorsitz Taskforce Publikationsformate) stellt den Beschlussvorschlag und dessen Aufbau vor. Die Konferenz berät die Vorschläge mit folgendem Ergebnis:
Der Beschlussvorschlag mit Ausnahme der Ziffer 4 wird angenommen:
Abstimmungsergebnis: [13,0,4]
Ziffer 4 des Beschlussvorschlags wird abgelehnt:
Abstimmungsergebnis: [5,9,3]
Damit werden die von der Taskforce vorgelegten Vorschläge zur Vereinheitlichung der Publikationsformate der Konferenz ohne die Ziffer 4 von der Konferenz beschlossen.
Protokollnotiz: Aus Sicht des LfD Bayern ist das Papier zur Vereinheitlichung von Publikationsformaten nur für den nichtöffentlichen Bereich anwendbar.
Die Konferenz dankt der Taskforce für die geleistete Arbeit und erklärt deren Auftrag für erledigt. Das LDA Bayern erklärt sich bereit, halbjährlich eine Übersicht der seitens der Aufsichtsbehörden vorhandenen Publikationen zu erstellen.
Hinweis: Der Vorsitz wird einen Vorschlag unterbreiten, welcher Arbeitskreis mit welchem Thema befasst werden soll.
TOP 25) Anbindung der Aufsichtsbehörden des Bundes und der Länder an das geplante IMI-Modul zur Durchführung der schriftlichen Verfahren des EDSA
Die ZASt erläutert die diesem Tagesordnungspunkt zugrunde liegende Problematik.
Anschließend erfolgt ein Meinungsaustausch zur Einbeziehung der ZASt. Darin wird klargestellt, dass die vorgeschlagene Verfahrensweise ausschließlich Fälle zur Vorbereitung einer schriftlichen Abstimmung im EDSA betrifft und nicht sonstige Verfahren der Aufsichtsbehörden. Die Konferenz beschließt daraufhin:
- Die ZASt wird als Schnittstelle an das neue IMI-Modul für schriftliche Verfahren nach Artikel 24 der Geschäftsordnung des EDSA angeschlossen.
- Die ZASt leitet eingehende schriftliche Verfahren des EDSA unverzüglich an die Aufsichtsbehörden des Bundes und der Länder weiter.
- Die ZASt koordiniert die deutsche Rückmeldung auf das schriftliche Verfahren unter Einbindung der Aufsichtsbehörden des Bundes und der Länder und führt hierfür die Herstellung eines gemeinsamen Standpunktes gemäß § 18 Absatz 1 und 2 BDSG herbei.
Abstimmungsergebnis: [9,8,0]
TOP 26) Herausgabe von IMK Unterlagen an den BfDI
Der BfDI erläutert den Hintergrund des vorgelegten Beschlussvorschlags. Den vom BfDI vorgelegten Beschlussvorschlag nimmt die Konferenz in geänderter Form an:
Abstimmungsergebnis: [17,0,0]
Die Konferenz bittet den Vorsitz einen Brief an den Vorsitz der Innenministerkonferenz (Schleswig-Holstein) zu richten und auf eine Änderung der Herausgabepraxis von IMK-Unterlagen hinzuwirken.
TOP 27) Prüfung von Apps, die Daten an Facebook übermitteln
Hamburg erläutert die Thematik und das Problem, dass über das in vielen Apps verwendete Software-Development Kit von Facebook zahlreiche und häufig sensible Nutzerdaten an Facebook übermittelt werden. In einer Vielzahl solcher Apps finde sich kein Hinweis auf die Übermittlung personenbezogener Daten an Facebook. Hamburg gehe schätzungsweise davon aus, dass bei etwa 30 % der betroffenen Apps kein hinreichender datenschutzrechtlicher Hinweis erfolgt und regt an, dies im Rahmen einer koordinierten Prüfung zu untersuchen.
Die Konferenz beschließt den AK-Medien unter Beteiligung des AK-Technik zu bitten, Prüfszenarien für eine entsprechende Kontrolle von Apps zu entwickeln. Hamburg, das Saarland, Niedersachsen, Mecklenburg-Vorpommern, BfDI, LDA Bayern, Berlin, Hessen und ggf. Rheinland-Pfalz erklären sich bereit, sich an der Entwicklung gemeinsamer Prüfstrategien und Kontrollen zu beteiligen.
Abstimmungsergebnis: [17,0,0]
TOP 28) Interoperabilität der EU-Informationssysteme im Bereich polizeilicher und justizieller Zusammenarbeit
Der Bericht von Schleswig-Holstein (Mail SH vom 19.3.19) wird von der Konferenz zustimmend zur Kenntnis genommen.
Abstimmungsergebnis: [17,0,0].
Die weitere Koordination im Hinblick auf koordinierte Prüfungen soll durch Schleswig-Holstein erfolgen.
TOP 29) Standard-Datenschutzmodell – Zwischenbericht der UAG SDM
Die Konferenz erzielt grundsätzlich Einvernehmen zu dem von Mecklenburg-Vorpommern vorgelegten Bericht zum Sachstand des Standard-Datenschutzmodells. Die UAG SDM wird gebeten, hinsichtlich der Frage der Ableitung des SDM aus der DS-GVO eine einvernehmliche Bewertung zu erstellen. Nach Fertigstellung der Version 2.0 des SDM soll diese der Konferenz zur Beschlussfassung vorgelegt werden.
Abstimmungsergebnis: [16,0,1]
TOP 30) Übersetzungen gemeinsamer Dokumente für den EDSA
Berlin äußert Bedenken dahingehend, ob die Datenschutzaufsichtsbehörden verpflichtet sind, englischsprachige Dokumente an den EDSA zu übermitteln. Es gebe Differenzen zwischen der gesetzlichen Regelung und der Geschäftsordnung des EDSA. Zudem werde gegenwärtig die Geschäftsordnung des Boards überarbeitet. Der BfDI,Berlin und Bayernsind hieran beteiligt. Die Entwicklung auf europäischer Ebene soll deshalb zunächst abgewartet werden.
Berlin beantragt deshalb eine Vertagung des Tagesordnungspunktes.
Abstimmungsergebnis: [17,0,0]
Hinweis: Rheinland-Pfalz hat auf der administrativen Ebene verschiedene Übersetzungsdienstleister angefragt und wird nach Auswahl des geeignetsten Anbieters über dessen Konditionen unterrichten. Die Bemühungen zum Abschluss eines Rahmenvertrags sollen weitergeführt werden.
TOP 31) Terminplanung der DSK 2020 einschließlich Europäischer Datenschutztag 2021
Sachsen als DSK-Vorsitzland im Jahr 2020 stellt die Terminplanung für die Konferenz im Jahr 2020 und den Europäischen Datenschutztag 2021 vor. Folgende Termine sind vorgesehen:
29. Januar 2020 Zwischenkonferenz
17. bis 18. März 2020 Vorkonferenz
24. bis 26. März 2020 99. Datenschutzkonferenz in Dresden
12. Mai 2020 Zwischenkonferenz
16. Juni 2020 Zwischenkonferenz
22. September 2020 Zwischenkonferenz
10. bis 11. November 2020 Vorkonferenz
24. bis 26. November 2020 100. Datenschutzkonferenz in Leipzig
28. Januar 2021 Europäischer Datenschutztag
Die Zwischenkonferenzen (Tagungsort Berlin, Landesvertretung Sachsen) sollen nur stattfinden, wenn hierfür thematisch Bedarf besteht.
Die Konferenz nimmt die Terminübersicht zustimmend zur Kenntnis
TOP 32) Öffentlichkeitsarbeit zum 25.05.2019
Der Vorsitzende unterbreitet der Konferenz den Vorschlag, eine gemeinsame Pressemitteilung zum Jahrestag der Wirksamkeit der Datenschutz-Grundverordnung am 25.5.2019 zu veröffentlichen. Der Vorsitz bietet hierzu an, einen Entwurf einer Pressemitteilung erstellen und im Umlaufverfahren abstimmen. Den Vorschlag nimmt die Konferenz mit folgendem Ergebnis an:
Abstimmungsergebnis: [17,0,0]
TOP 33) Verwaltung/Anpassung von Orientierungshilfen an die DS-GVO
Mit Mail vom 26.03.2019 hat der Vorsitz die Arbeitskreise der DSK gebeten, Rückmeldungen zu vorhandenen Orientierungshilfen und ggf. notwendige Überarbeitungen dieser zuzuleiten. Die Rückmeldungen hierzu werden von Vorsitz zusammengefasst und eine Übersicht der anzupassenden Orientierungshilfen den jeweiligen Häusern zur Verfügung gestellt.
Abstimmungsergebnis: [17,0,0]
TOP 34) Reaktionen auf Facebook-Datenskandal
Der BfDI und Rheinland-Pfalz haben sich bereits zu der Thematik geäußert. Hamburg hat den Fall am 23.3.19 im IMI-System eingestellt. Sachsen-Anhalt teilt mit, dass die irische Aufsichtsbehörde das Verfahren ebenfalls in das IMI-System eingestellt hat.
Die Konferenz beschließt den BfDI als Gemeinsamen Vertreter nach § 17 Abs. 1 BDSG zu bitten, den Fall zur Beratung an den Europäischen Datenschutzausschuss heranzutragen.
Abstimmungsergebnis: [17,0,0]
TOP 35) Entschließung zum Thema Haftung von Unternehmen für Datenschutzverstöße ihrer Beschäftigten
Die Konferenz verabschiedet die Entschließung nach eingehender Beratung.
Abstimmungsergebnis: [15,2,0]
Bayern und Baden-Württemberg stimmen dagegen.
TOP 36) Ausländerzentralregister
Hamburg stellt dar, dass es bei dem Tagesordnungspunkt nicht um eine inhaltliche Positionierung zum Datenaustauschverbesserungsgesetz gehe sondern primär um die Frage, welche Vorgehensweise die DSK beabsichtigt, um Einfluss auf das Gesetzgebungsverfahren auszuüben.
Die Konferenz beschließt nach Beratung, den AK Sicherheit und den AK Verwaltung zu beauftragen, eine Stellungnahme zum Datenaustauschverbesserungsgesetz auf Grundlage der bereits existierenden Stellungnahme des BfDI gegenüber dem Innenausschuss bis zum 02.05.2019 zu erstellen.
Abstimmungsergebnis: [17,0,0]
Darüber hinaus beschließt die Konferenz, dass datenschutzrechtliche Fragestellungen im Zusammenhang mit Ausländerangelegenheiten dem AK Verwaltung zugeordnet werden.
Abstimmungsergebnis: [14,1,2]
Sachsen stimmt dagegen.
Der Vorsitzende schließt die Tagesordnung und dankt den Teilnehmerinnen und Teilnehmern für die konstruktiven Beratungen und die dabei erzielten Ergebnisse.
Anlagen:
- Teilnehmerliste
- Tagesordnung
- Übersicht der zur Veröffentlichung vorgesehenen Beschlüsse und Entschließungen
TOP 01) Begrüßung und Organisatorisches
Der Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 97. Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Landtagspräsident Hering heißt die Konferenz auf dem Hambacher Schloss willkommen und begrüßt, dass diese einen für die deutsche Demokratiegeschichte so bedeutsamen Ort für ihre Frühjahrskonferenz gewählt habe. Demokratie, Freiheit und Selbstbestimmung seien keine Selbstverständlichkeiten, sondern müssten in jeder Generation neu errungen werden. Dem komme gerade auch in einer digitalen Lebenswelt besondere Bedeutung zu und unabhängige Datenschutzbeauftragten seien dabei unverzichtbar, gerade auch als kompetente Berater der Parlamente. Es gelte im digitalen Wandlungsprozess nicht, eine marktkonforme Demokratie, sondern einen demokratiekonformen Markt zu gestalten. Die neuen und faszinierenden digitalen Nutzungsmöglichkeiten alleine dürften nicht ausschlaggebend sein, stets müsse die informationelle Selbstbestimmung des Einzelnen als ein wesentliches Element einer funktionierenden Demokratie in digitalen Zeiten erhalten bleiben. Er wünscht der Datenschutzkonferenz eine erfolgreiche Tagung.
TOP 02) Tagesordnung und Protokoll
Der Vorsitzende dankt den Teilnehmerinnen und Teilnehmern für die konstruktive und ergebnisreiche Vorkonferenz am 27. und 28. März 2019 in Mainz. Für die nachfolgenden Tagesordnungspunkte wurde auf dieser Einvernehmen hergestellt. Deren Behandlung könne deshalb im verkürzten Verfahren erfolgen.
TOP 3 Informationen zu Umlaufverfahren
TOP 7 Beschluss zum Thema „Facebook Fanpages“
TOP 12 Positionspapier „Biometrische Analyse“
TOP 14.1 Zusammenarbeit mit den spezifischen Aufsichtsbehörden
14.2 Beteiligung der Medienbeauftragten für den Datenschutz
TOP 15 Änderung des Rundfunkgebührenstaatsvertrags
TOP 17 Reaktionen der Aufsichtsbehörden auf die Veröffentlichung personenbezogener Daten von Personen des
öffentlichen Lebens („Doxing“); Orientierungshilfe „Anforderungen an Anbieter von Online-Diensten“
TOP 19 Löschung von Daten als Datenschutzverstoß
TOP 20 Auslegung des Begriffs „Wissenschaftliche Forschung“
im Erwägungsgrund 33 der DS-GVO
TOP 21 Ergänzung zur Positionsbestimmung der DSK zur Anwendbarkeit des TMG
TOP 22.2 AK Organisation & Struktur (AK Verwaltung/Subgroup Compliance, eGovernment & Health)
TOP 23 Zusammenarbeit bei mehreren betroffenen Aufsichtsbehörden
TOP 28 Interoperabilität der EU-Informationssysteme im Bereich polizeilicher und justizieller Zusammenarbeit
TOP 29 Zwischenbericht zum Standard-Datenschutzmodell
TOP 33 Anpassung von Orientierungshilfen an die DS-GVO
TOP 34 Reaktionen auf den aktuellen Facebook-Datenskandal (Klartextpassworte)
Auf Wunsch von Baden-Württemberg wird TOP 7 nicht im verkürzten Verfahren behandelt. Auf Bitte Hamburgs wird TOP 23 ebenfalls nicht im verkürzten Verfahren behandelt.
Mit Ausnahme der TOPs 7 und 23 nimmt die Konferenz die Ergebnisse der Vorkonferenz zu den o.g. Tagesordnungspunkten ohne weitere Aussprache an.
Die Konferenz beschließt einstimmig aufgrund des thematischen Zusammenhangs den Tagesordnungspunkt 34 nach Tagesordnungspunkt 7 und den Tagesordnungspunkt 35 nach Tagesordnungspunkt 9 zu behandeln, der Tagesordnungspunkt 25 wird zudem nach TOP 5 behandelt. Die Konferenz verständigt sich zudem darauf, den von Hamburg nachträglich eingereichten Tagesordnungspunkt 36 (Ausländerzentralregister) nach TOP 10 zu behandeln.
TOP 03) Informationen zu Umlaufverfahren
Der Vorsitz teilt mit, dass das Umlaufverfahren Nr. 2/2019 (Positionierung zu Facebook Fanpages) wieder aufgenommen und am 26.3.19 abgeschlossen wurde. Die Positionierung der DSK zu Facebook Fanpages wurde im Ergebnis einstimmig bei einer Enthaltung (Hessen) beschlossen. Im Übrigen wird auf den mitgeteilten Stand der Umlaufverfahren (Mail vom 25.3.19) verwiesen.
Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz.
TOP 04) Bericht aus dem Europäischen Datenschutzausschuss, EDSA Communication-Meeting
Der Vorsitzende dankt Hamburg und dem BfDI für die Teilnahme an der vergangenen Plenumssitzung und der Bereitschaft an kommenden Plenumssitzungen teilzunehmen. Anschließend berichten der BfDI und Hamburg aus dem EDSA, u.a. zu folgenden Themen:
- Verhältnis der Privacy-Richtlinie und der Datenschutz-Grundverordnung
Hamburg weist die Teilnehmerinnen und Teilnehmer der Konferenz zudem auf das am 17. 05. 2019 in Wien stattfindende EDSA Communication-Meeting hin.
TOP 05) Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden / IMI System, Aktuelle Bundesgesetzgebung
Die Berichte zur Arbeit der ZASt und zur aktuellen Bundesgesetzgebung wurden den Teilnehmerinnen und Teilnehmern bereits vor der 97. DSK schriftlich zugesandt.
Ergänzend berichtet die ZASt zur Diskussion im AK Organisation und Struktur, der sich in seiner ersten Sitzung u.a. mit der Fragestellung, wann ein grenzüberschreitender Fall vorliegt und wie gemeinsame Standpunkte hergestellt werden können, befasst hat.
Zudem stellt die ZASt dar, sich an das EDSA Sekretariat gewandt zu haben, um die Frage zu klären, welche Unterlagen aus der Arbeit des EDSA den spezifischen Aufsichtsbehörden zur Verfügung gestellt werden können. Auf EDSA Sekretariatsebene könne hierzu allerdings keine verbindliche Aussage getroffen werden. Vielmehr sei es erforderlich, die Thematik auf einer Plenumssitzung zu erörtern. Die ZASt empfiehlt daher, sich mit einer Infonote an das Plenum zu wenden, in dem die Situation der spezifischen Aufsichtsbehörden in Deutschland dargestellt und ein Verfahrensvorschlag, welche Dokumente mit spezifischen Aufsichtsbehörden geteilt werden können, unterbreitet wird. Die ZASt unterbreitet der Konferenz das Angebot, in Zusammenarbeit mit dem AK-Grundsatz eine solche Infonote zu erstellen und beim EDSA Sekretariat einzureichen. Idealerweise soll diese bis zur Sitzung des EDSA am 14. und 15. Mai eingereicht werden. Hierdurch könnte das Ergebnis des Plenums ebenfalls am 21.05.2019 beim Treffen mit den spezifischen Aufsichtsbehörden behandelt werden. Erfahrungsgemäß müsse eine solche Infonote ca. 2 Wochen vor Plenumssitzung beim EDSA eingereicht werden um im der nächsten Plenumssitzung behandelt zu werden.
Auf Vorschlag der ZASt fasst die 97. Datenschutzkonferenz deshalb den folgenden Beschluss:
„Die DSK beschließt, den Vorsitz des AK Grundsatz in Fortsetzung seines Arbeitsauftrages mit dem Entwurf einer Infonote zu beauftragen. In dieser Infonote soll die rechtliche Rolle der spezifischen Aufsichtsbehörden erläutert werden und aufgezeigt werden, welche Dokumente des EDSA an die spezifischen Aufsichtsbehörden weitergeleitet werden können. Der Vorsitz des AK Grundsatz stimmt den Entwurf mit den Aufsichtsbehörden des Bundes und der Länder ab und reicht die Infonote anschließend über die ZASt im Sekretariat des EDSA ein.“
Abstimmungsergebnis: [17,0,0] (Zustimmung, Enthaltung, Ablehnung)
TOP 06) Entschließung zu Datenschutzanforderungen an auf Künstliche Intelligenz gestützte Datenverarbeitungen („Hambacher Erklärung“)
Die Konferenz erörtert den Entwurf eingehend und sorgfältig und nimmt an der vorgelegten Version einige Ergänzungen und sprachliche Änderungen vor. Anschließend wird die Hambacher Erklärung als Entschließung der Konferenz einstimmig ohne Enthaltung den Teilnehmerinnen und Teilnehmern beschlossen.
Abstimmungsergebnis: [17,0,0]
TOP 07) Beschluss zum Thema Facebook-Fanpages
Der Vorsitzende trägt vor, dass die Taskforce Fanpages einen überarbeiteten Beschlussentwurf vorgelegt habe hat und das entsprechende Umlaufverfahren zwischenzeitlich zum Abschluss gebracht wurde (Ergebnis: einstimmig bei einer Enthaltung (Hessen) beschlossen; 16/0/1).
In einem anschließenden Meinungsaustausch diskutieren auf Anregung Baden-Württembergs die Teilnehmerinnen und Teilnehmer den weiteren Umgang mit dem Beschluss. Auf der Zwischenkonferenz am 25.6.2019 soll der Punkt erneut beraten werden.
TOP 08) Entschließung zum Thema „Keine Abschaffung der Datenschutzbeauftragten“
Der BfDI stellt den Entschließungsvorschlag vor und stellt dar, dass dieser mit Blick auf eine etwaige Thematisierung im Rahmen des parlamentarischen Verfahrens zum 2. Datenschutzumsetzungs- und Anpassungsgesetz Bedeutung erlangen könne. Niedersachsen informiert darüber, dass die Niedersächsische Landesregierung beschlossen hat, dem Bundesrat eine
„Entschließung zur Änderung datenschutzrechtlicher Bestimmungen“ zuzuleiten. In dem Entschließungsantrag wird insbesondere eine deutliche Entlastung von kleineren und mittleren Unternehmen durch die Anhebung der Mindestanzahl der mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen gefordert.
Es erfolgt ein Meinungsaustausch zum vorgelegten Entschließungsentwurf und über dessen Veröffentlichung.
Die Konferenz beschließt den vorgelegten Entschließungsentwurf zunächst nur inhaltlich:
Abstimmungsergebnis: [16,0,1]
Über die Veröffentlichung soll im Rahmen eines Umlaufverfahrens entschieden werden,, wenn dies aufgrund des Fortgangs des Gesetzgebungsverfahrens zielführend ist.
Hinweis: Das Umlaufverfahren zur Veröffentlichung der Entschließung wurde am 15.04.2019 mit Frist bis 18.04.2019 eingeleitet. Eine Veröffentlichung der Entschließung wurde nach Beendigung des Umlaufverfahrens durch den Vorsitz veranlasst.
TOP 09) Entschließung zur Digitalisierung der Verwaltung ohne einheitliche, verwaltungsübergreifende Personenkennzeichen
Der BfDI erläutert, dass es im Rahmen der geplanten Registermodernisierung zu der Thematik aktuelle politische Entwicklungen gebe. Aufgrund dessen habe sich der BfDI mit dem Bundes-Innenministerium in Verbindung gesetzt. Von dort werde ein Gespräch mit allen Aufsichtsbehörden vorgeschlagen, um die datenschutzrechtlichen Aspekte zu diskutieren.
Ein zum vorliegenden Entschließungsentwurf eingeholtes Meinungsbild zeigt, dass dieser mit Ausnahme zweier Gegenstimmen (Bayern, Baden-Württemberg) auf Zustimmung stößt.
Aus Sicht der Konferenz sollten vor einer Entschließung zunächst jedoch die Ergebnisse des Gesprächs mit dem BMI abgewartet werden.
Auf Vorschlag von Mecklenburg-Vorpommern wird der Tagesordnungspunkt auf die Junikonferenz vertagt.
TOP 10) Positionierung zu Windows 10
Der Vorsitzende führt in die Thematik ein. Mecklenburg Vorpommern stellt dar, das die technische Bewertung von Windows 10 zum jetzigen Zeitpunkt noch nicht so weit fortgeschritten ist, dass eine Entschließung hierzu gefasst werden kann. Zur weiteren Vorgehensweise schlägt Mecklenburg-Vorpommern deshalb vor, den AK-Technik, unter Berücksichtigung der Studie des Bundesamtes für Sicherheit in der Informationstechnik, mit einer Bewertung von Windows 10 und der Erarbeitung von Empfehlungen für dessen Einsatz zu beauftragen. (Der BfDI erklärt hierzu, dass derzeit eine Auswertung der BSI Studie durch den BfDI auf datenschutzrechtliche Gesichtspunkte hin erfolge). Das LDA Bayern als die für Microsoft zuständige Aufsichtsbehörde soll auf der Grundlage der Ergebnisse in einen Dialog mit der Microsoft Deutschland GmbH zu den datenschutzrechtlichen Fragen zum Produkt Windows 10 eintreten mit dem Ziel, offene Punkte und die Möglichkeiten einer datenschutzkonformen Konfiguration bzw. eines datenschutzkonformen Einsatzes der verschiedenen Windows 10-Produkte zu klären.
Die Konferenz beschließt die Erteilung des o.g. Arbeitsauftrages an den AK-Technik:
Abstimmungsergebnis: [17,0,0]
Die Konferenz beschließt weiterhin die Veröffentlichung des dem Auftrag an den AK-Technik zugrunde liegenden Textes:
Abstimmungsergebnis: [10,4,3]
Bayern, Baden-Württemberg, Sachsen-Anhalt und Rheinland-Pfalz stimmen gegen eine Veröffentlichung
TOP 11) Vorkehrungen der Aufsichtsbehörden auf einen etwaigen ungeregelten Austritt Großbritanniens aus der EU
Die datenschutzrechtliche Positionierung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zum Brexit wurde im Umlaufverfahren beschlossen. Die Anmeldung des Tagesordnungspunktes wird deshalb von Berlin zurückgezogen.
TOP 12) Positionspapier „Biometrische Analyse“
Mecklenburg-Vorpommern trägt vor, dass innerhalb der UAG nicht zu allen Einzelaspekten des Papiers ein Konsens erzielt werden konnte.
Die Konferenz stellt ein Meinungsbild über die Kapitel 1 - 5 und Kapitel 7 des erarbeiteten Positionspapiers her:
Abstimmungsergebnis: [17,0,0]
Bezüglich der Punkte des Kapitels 6 bei denen die UAG keine Einigkeit erzielen konnte ergibt sich unter Zugrundelegung des Textes der Mehrheitsauffassung der UAG folgendes Abstimmungsergebnis:
6.1.4 Abstimmungsergebnis: [11,5,1]
6.1.5 Abstimmungsergebnis: [11,5,1]
6.4.5 Abstimmungsergebnis: [13,3,1]
6.4.7 Abstimmungsergebnis: [11,5,1]
6.4.8 Abstimmungsergebnis: [13,3,1]
Das Positionspapier insgesamt (Kapitel 1 bis 7) wird von der Konferenz daraufhin mit folgendem Ergebnis angenommen:
Abstimmungsergebnis: [14,2,1]
Baden-Württemberg und Bayern lehnen ab.
Hamburg enthält sich.
Unter der Voraussetzung, dass die ablehnenden Voten von Baden-Württemberg und Bayern im Positionspapier kenntlich gemacht werden, werden gegen dessen Veröffentlichung keine Bedenken erhoben.
Die Konferenz erteilt der UAG den Auftrag, das Positionspapier um eine Muster-DSFA anhand eines ausgewählten Fallbeispiels zu ergänzen. Sie erteilt der UAG ferner den Auftrag, ihre Arbeit mit Blick auf weitere biometrische Charakteristika (u. a verhaltenstypische Merkmale, medizinische Daten) sowie weitere Sensoren (u. a. akustische Sensoren, Wearables) fortzusetzen, um das Positionspapier im Rahmen einer „zweiten Auflage“ entsprechend zu ergänzen.
Abstimmungsergebnis: [15,0,2]
TOP 13) Vertretung der Datenschutzbeauftragten des Bundes und der Länder im Beirat der Stiftung Datenschutz
Der Vorsitzende stellt die Bitte der Stiftung Datenschutz nach Entsendung von Mitgliedern der Konferenz in den Beirat der Stiftung dar und führt in die Fragestellung ein, ob Vertreter der Datenschutzaufsichtsbehörden auf der Grundlage der aktuellen Satzung dort vertreten sein sollen. Nach dem sich anschließenden Meinungsaustausch beschließt die Konferenz Thüringen und den BfDI zu bitten, die hinsichtlich Struktur und Ausrichtung der Stiftung Datenschutz relevanten Punkte zusammenzustellen, die aus Sicht der Datenschutzaufsichtsbehörden vor der Entscheidung über eine künftige Vertretung von unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Beirat der Stiftung geklärt bzw. erfüllt sein sollten.
Abstimmungsergebnis: [14,0,3]
Von der Bitte der Stiftung, Vertreter der Datenschutzaufsichtsbehörden in den Beirat der Stiftung zu entsenden, nimmt die Konferenz zum jetzigen Zeitpunkt Abstand:
Abstimmungsergebnis: [5,10,2]
Baden-Württemberg und Niedersachsen enthalten sich.
Sachsen weist darauf hin, dass die Haltung der Konferenz, zum jetzigen Zeitpunkt nicht in den Beirat einzutreten, einer fallweisen institutionellen Zusammenarbeit mit der Stiftung Datenschutz nicht entgegenstehe.
Der Vorsitz wird gebeten, das Schreiben des Vorsitzenden des Stiftungsbeirats entsprechend zu beantworten.
TOP 14) 14.1 Zusammenarbeit mit den spezifischen Aufsichtsbehörden
Der Vorsitz stellt dar, dass entsprechend des Auftrags der DSK (Beschluss der Zwischenkonferenz vom 29.1.2019, TOP 6) in Kooperation mit dem BfDI am 21. Mai 2019 ein gemeinsames Treffen mit den spezifischen Aufsichtsbehörden in Mainz stattfinden wird. Alle unabhängigen Datenschutzaufsichtsbehörden sind eingeladen, daran teilzunehmen.
Die Konferenz sieht den Arbeitsauftrag an den AK Grundsatz mit den vorgelegten Papieren als erfüllt an. Nach Aufnahme redaktioneller Änderungen und sprachlicher Anpassungen beschließt die Konferenz die Positionierung der DSK zu Art. 91 DS-GVO mit folgendem Ergebnis:
Abstimmungsergebnis: [17,0,0]
Über die vom AK Grundsatz vorgeschlagenen Ergänzungen des Beschlusses der Sonderkonferenz am 6.6.2018 (TOP 4) soll im Umlaufverfahren mit Fristsetzung bis zum 02.05.2019 abgestimmt werden.
Abstimmungsergebnis: [16,0,1]
Die Konferenz beschließt, das Papier als Beschluss der DSK abzufassen, jedoch ohne den Zusatztext über eine beabsichtigte Registrierung als spezifische Aufsichtsbehörde zur Verwendung auf der Homepage der DSK-Mitglieder.
Abstimmungsergebnis: [16,0,1]
14.2 Beteiligung des Medienbeauftragten für den Datenschutz
Es erfolgt ein Meinungsaustausch zur Beteiligung der Datenschutzbeauftragten der Landesmedienanstalten aufgrund der gesetzlichen Besonderheiten in Bayern, Nordrhein-Westfalen und dem Saarland. Die Medienbeauftragten dieser Bundesländer sollen ebenfalls zum Treffen der spezifischen Aufsichtsbehörden am 21.05.2019 in Mainz eingeladen werden. Die Ergebnisse des Treffens am 21.5.2019 und die weitere Beteiligung der spezifischen Aufsichtsbehörden sollen auf der Zwischenkonferenz am 25.6.2019 besprochen werden.
Zum Status der Mediendatenschutzbeauftragten wird ein Meinungsbild eingeholt.
Danach handelt es sich aus Sicht der Datenschutzkonferenz bei den Mediendatenschutzbeauftragten um spezifische Aufsichtsbehörden, mit denen in regelmäßigem Abstand ein Austausch stattfinden soll. Eine regelmäßige Teilnahme an den Sitzungen der Konferenz ist mit Blick auf deren Status nicht vorgesehen.
Abstimmungsergebnis: [12,1,4]
TOP 15) Änderung des Rundfunkgebührenstaatsvertrags / Rundfunkbeitragsstaatsvertrags
Der Vorsitz berichtet über eine von der Staatskanzlei Rheinland-Pfalz ergangene Einladung an den Vorsitz für die mündliche Anhörung zur Änderung des Rundfunkgebührenstaatsvertrags am 29.04.2019 in Berlin. Dieser waren der Änderungsentwurf sowie ein Evaluierungsbericht beigefügt (Tischvorlage). Die Konferenz beschließt, dem AK-Medien den Auftrag zu erteilen, eine datenschutzrechtliche Position zur der Thematik zu erarbeiten und der Konferenz einen Beschlussvorschlag bis zum 15.04.2019 vorzulegen. Dieser soll im Umlaufverfahren mit Fristsetzung bis zum 26.04.2019 beschlossen werden, damit bis zum Anhörungstermin am 29.04.2019 eine abgestimmte Meinung der Konferenz vorliegt. Hierüber stimmt die Konferenz folgendermaßen ab:
Abstimmungsergebnis: [17,0,0]
TOP 16) Konzept zur Evaluierung der DS-GVO
Der Vorsitzende dankt Baden-Württemberg und dem UAK Evaluierung für die bereits geleistete Arbeit. Baden-Württemberg berichtet im Anschluss darüber, dass der eingerichtete UAK Evaluierung zwischenzeitlich aktiv geworden ist und stellt den Zeitplan sowie die derzeit gewählten 13 Schwerpunkte dar. Der LfDI Baden-Württemberg stellt klar, dass die aus der als Anlage übersandten Schwerpunktliste ersichtlichen Unterpunkte keine inhaltlichen Festlegungen, sondern Beispiele zur Veranschaulichung darstellen sollen und diese daher nicht Teil der inhaltlichen Festlegung des Beschlusses der DSK sein sollen. Wie in der Tagesordnungsanmeldung dargestellt, bittet Baden-Württemberg die dort genannten Arbeitskreise bis zum 31.05.2019 zu prüfen, ob zu den jeweiligen Schwerpunktthemen in der vom UAK Evaluation vorgelegten Liste eine inhaltliche Stellungnahme erfolgen soll und eine solche gegebenenfalls bis zu diesem Datum an den UAK-Vorsitz (über gross@lfdi.bwl.de) zu übersenden. Außerdem wird klarstellend erklärt, dass auch alle nicht aufgelisteten Arbeitskreise bei Bedarf zu allen Themen zumelden können. Hierzu fasst die DSK folgenden Beschluss:
Die DSK nimmt den Zeitplan des UAK Evaluierung zustimmend zur Kenntnis und legt die vom UAK vorgeschlagenen Themen als Schwerpunkte ihrer Evaluierung fest und beauftragt die in der Anlage aufgeführten Arbeitskreise bis zum 31. Mai 2019 mit der Prüfung, ob zu den jeweiligen Schwerpunktthemen eine inhaltliche Stellungnahme angezeigt ist
Abstimmungsergebnis: [17,0,0]
Die DSK bittet darüber hinaus den Vorsitz, die spezifischen Aufsichtsbehörden mit einem Schreiben einzuladen, sich am Prozess zur Evaluation der DS-GVO zu beteiligen.
TOP 17) Reaktionen der Datenschutzbeauftragten auf die Veröffentlichung personenbezogener Daten, Orientierungshilfe „Guidelines für Provider“
Die Konferenz beschließt einstimmig die von Mecklenburg-Vorpommern mit Mail vom 01.03.2019 vorgelegte Orientierungshilfe des AK Technik zu den Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung. Die von Thüringen am 28.3.2019 eingebrachten Änderungsvorschläge werden weitgehend übernommen.
Abstimmungsergebnis: [17,0,0]
TOP 18) Interessenvertretung / Personalrat als Verantwortlicher im Sinne des Art. 4 Ziff. 7 DS-GVO
Die Anmeldung des Tagesordnungspunktes wird vom BfDI zurückgezogen.
TOP 19) Löschung von Daten als Datenschutzverstoß
Die Konferenz beschließt, die von Hessen aufgeworfene Frage zur Behandlung an den AK-Grundsatz zu verweisen. Für die Zukunft wird angeregt, vergleichbare Einzelfragen vor einer Behandlung auf Konferenzebene zunächst im zuständigen Arbeitsgremium vorzubereiten.
Abstimmungsergebnis: [17,0,0]
TOP 20) Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO
Die Konferenz beschließt das vom AK Gesundheit und dem AK Wissenschaft vorgelegte Ergebnis mit dem folgenden
Abstimmungsergebnis: [16, 0,1]
TOP 21) Ergänzung zur Positionsbestimmung zur Anwendbarkeit des TMG bei nichtöffentlichen Stellen
Die Konferenz beschließt die vom LDA Bayern am 26.03.2019 versandte Fassung der Orientierungshilfe für Anbieter von Telemedien
Abstimmungsergebnis: [17, 0, 0]
TOP 22) 22.1 Bericht aus dem AK Organisation und Struktur
Hessen berichtet aus den Beratungen des AK Organisation und Struktur zu Zuordnung der Arbeitskreise der Konferenz zu den Subgroups des Europäischen Datenschutzausschusses und den Überlegungen zur Verzahnung der Arbeit der jeweiligen Gremien.Anschließend fasst die Konferenz zu Struktur und Aufgaben der Arbeitskreise folgende Beschlüsse:
- Die DSK stellt fest, dass allein aufgrund der aktuellen Struktur der europäischen Arbeitskreise keine generelle Umstrukturierung der Arbeitskreise der DSK vorgenommen werden soll.
- Die DSK beauftragt den AK Organisation und Struktur in einem gemeinsamen Treffen mit den Vorsitzenden der AKs der DSK daran zu arbeiten, dass die Themen, die im EDSA bzw. dessen Expert Subgroups diskutiert und beschlossen werden, grundsätzlich auch auf Ebene der AKs behandelt werden.
- Die DSK bittet die AKs Verfahrensweisen zu finden, die sicherstellen, dass Punkte, die in den Expert Subgroups behandelt werden, auch in die AKs Eingang finden. Es sollten Arbeitsplanungen erfolgen, die sich auch an der Arbeitsplanung der Expert Subgroups orientieren.
Abstimmungsergebnis gefasst: [17,0,0]
Zum künftigen Aufgabenzuschnitt des Workshops der Aufsichtsbehörden teilt Hessen mit, dass der AOK Organisation und Struktur folgenden Vorschlag für eine Aufgabenbeschreibung des Workshops der Aufsichtsbehörden entwickelt hat: Beim Workshop der Aufsichtsbehörden handelt es sichum ein Treffen auf Sachbearbeitungsebene zum Austausch von Best-Practice-Beispielen und Erfahrungen (z.B. Austausch von Mustern zur Gestaltung von Rechtsbehelfsbelehrungen, zum Umgang mit Querulanten oder „Reichsbürgern“, zum Vorgehen bei Vor-Ort-Überprüfungen, etc.), soweit hierfür kein spezifischer Arbeitskreis oder sonstiges Gremium der Datenschutzkonferenz besteht. Der Workshop soll hierbei nicht als Auffang-Gremium für fachliche Themen verstanden werden, die keinem bestehenden Arbeitskreis oder sonstigen Gremium der Datenschutzkonferenz zugeordnet werden kann.
22.2 AK Verwaltungsmodernisierung und Subgroup Compliance, eGovernment and Health
Die Konferenz fasst folgende von Hessen (Vorsitz AK Organisation & Struktur) eingebrachten nachfolgenden Beschlüsse:
1. Der Vorsitz des AK Verwaltungsmodernisierung geht von Sachsen auf Brandenburg über.
2. Der AK Verwaltungsmodernisierung wird in AK Verwaltung umbenannt.
3. Der neue Ländervertreter der Compliance, eGovernment and Health Expert Subgroup wird von Brandenburg gestellt. Der stellvertretende Ländervertreter wird von Sachsen gestellt.
Abstimmungsergebnis: [17,0,0]
Die Konferenz dankt Sachsen und Brandenburg für die bisher geleistete Arbeit und die Bereitschaft, die neuen Aufgaben zu übernehmen.
TOP 23) Zusammenarbeit bei mehreren betroffenen deutschen Aufsichtsbehörden
Hamburg berichtet zum Tagesordnungspunkt. Die auf der Vorkonferenz problematisierte Ziffer 6 des Beschlussvorschlages wurde zwischenzeitlich von Baden-Württemberg und Hamburg überarbeitet.
Nordrhein-Westfalen und Berlin sind der Auffassung, dass sich die getroffenen Festlegungen ausschließlich auf die praktische Vorgehensweise zur Identifizierung einer Federführung unter den betroffenen Aufsichtsbehörden beziehen. Damit soll nach Auffassung von NRW insbesondere die Kommunikation gegenüber den europäischen Aufsichtsbehörden im Rahmen des Verfahrens der Zusammenarbeit erleichtert, unterschiedliche Auffassungen zur Auslegung von § 19 BDSG jedoch nicht vorweggenommen werden (s. Protokoll zur Sitzung des UAK „Umgang mit Beschwerden nach Art. 77 DS-GVO vom 18.06.2018, dort Ziffer IV.2. und Ziffer 5).
Die Konferenz beschließt:
Der aktualisierte Beschlussvorschlag soll im AK Organisation und Struktur beraten werden. Dabei sollen die im ursprünglichen Beschlussvorschlag genannten Beispiele in Ziffer 6 berücksichtigt werden. Nach der Beratung im AK Organisation & Struktur soll der Konferenz ein Beschlussvorschlag vorgelgt werden:
Abstimmungsergebnis: [15,0,2]
TOP 24) Vereinheitlichung von Publikationsformaten
Bayern (Vorsitz Taskforce Publikationsformate) stellt den Beschlussvorschlag und dessen Aufbau vor. Die Konferenz berät die Vorschläge mit folgendem Ergebnis:
Der Beschlussvorschlag mit Ausnahme der Ziffer 4 wird angenommen:
Abstimmungsergebnis: [13,0,4]
Ziffer 4 des Beschlussvorschlags wird abgelehnt:
Abstimmungsergebnis: [5,9,3]
Damit werden die von der Taskforce vorgelegten Vorschläge zur Vereinheitlichung der Publikationsformate der Konferenz ohne die Ziffer 4 von der Konferenz beschlossen.
Protokollnotiz: Aus Sicht des LfD Bayern ist das Papier zur Vereinheitlichung von Publikationsformaten nur für den nichtöffentlichen Bereich anwendbar.
Die Konferenz dankt der Taskforce für die geleistete Arbeit und erklärt deren Auftrag für erledigt. Das LDA Bayern erklärt sich bereit, halbjährlich eine Übersicht der seitens der Aufsichtsbehörden vorhandenen Publikationen zu erstellen.
Hinweis: Der Vorsitz wird einen Vorschlag unterbreiten, welcher Arbeitskreis mit welchem Thema befasst werden soll.
TOP 25) Anbindung der Aufsichtsbehörden des Bundes und der Länder an das geplante IMI-Modul zur Durchführung der schriftlichen Verfahren des EDSA
Die ZASt erläutert die diesem Tagesordnungspunkt zugrunde liegende Problematik.
Anschließend erfolgt ein Meinungsaustausch zur Einbeziehung der ZASt. Darin wird klargestellt, dass die vorgeschlagene Verfahrensweise ausschließlich Fälle zur Vorbereitung einer schriftlichen Abstimmung im EDSA betrifft und nicht sonstige Verfahren der Aufsichtsbehörden. Die Konferenz beschließt daraufhin:
- Die ZASt wird als Schnittstelle an das neue IMI-Modul für schriftliche Verfahren nach Artikel 24 der Geschäftsordnung des EDSA angeschlossen.
- Die ZASt leitet eingehende schriftliche Verfahren des EDSA unverzüglich an die Aufsichtsbehörden des Bundes und der Länder weiter.
- Die ZASt koordiniert die deutsche Rückmeldung auf das schriftliche Verfahren unter Einbindung der Aufsichtsbehörden des Bundes und der Länder und führt hierfür die Herstellung eines gemeinsamen Standpunktes gemäß § 18 Absatz 1 und 2 BDSG herbei.
Abstimmungsergebnis: [9,8,0]
TOP 26) Herausgabe von IMK Unterlagen an den BfDI
Der BfDI erläutert den Hintergrund des vorgelegten Beschlussvorschlags. Den vom BfDI vorgelegten Beschlussvorschlag nimmt die Konferenz in geänderter Form an:
Abstimmungsergebnis: [17,0,0]
Die Konferenz bittet den Vorsitz einen Brief an den Vorsitz der Innenministerkonferenz (Schleswig-Holstein) zu richten und auf eine Änderung der Herausgabepraxis von IMK-Unterlagen hinzuwirken.
TOP 27) Prüfung von Apps, die Daten an Facebook übermitteln
Hamburg erläutert die Thematik und das Problem, dass über das in vielen Apps verwendete Software-Development Kit von Facebook zahlreiche und häufig sensible Nutzerdaten an Facebook übermittelt werden. In einer Vielzahl solcher Apps finde sich kein Hinweis auf die Übermittlung personenbezogener Daten an Facebook. Hamburg gehe schätzungsweise davon aus, dass bei etwa 30 % der betroffenen Apps kein hinreichender datenschutzrechtlicher Hinweis erfolgt und regt an, dies im Rahmen einer koordinierten Prüfung zu untersuchen.
Die Konferenz beschließt den AK-Medien unter Beteiligung des AK-Technik zu bitten, Prüfszenarien für eine entsprechende Kontrolle von Apps zu entwickeln. Hamburg, das Saarland, Niedersachsen, Mecklenburg-Vorpommern, BfDI, LDA Bayern, Berlin, Hessen und ggf. Rheinland-Pfalz erklären sich bereit, sich an der Entwicklung gemeinsamer Prüfstrategien und Kontrollen zu beteiligen.
Abstimmungsergebnis: [17,0,0]
TOP 28) Interoperabilität der EU-Informationssysteme im Bereich polizeilicher und justizieller Zusammenarbeit
Der Bericht von Schleswig-Holstein (Mail SH vom 19.3.19) wird von der Konferenz zustimmend zur Kenntnis genommen.
Abstimmungsergebnis: [17,0,0].
Die weitere Koordination im Hinblick auf koordinierte Prüfungen soll durch Schleswig-Holstein erfolgen.
TOP 29) Standard-Datenschutzmodell – Zwischenbericht der UAG SDM
Die Konferenz erzielt grundsätzlich Einvernehmen zu dem von Mecklenburg-Vorpommern vorgelegten Bericht zum Sachstand des Standard-Datenschutzmodells. Die UAG SDM wird gebeten, hinsichtlich der Frage der Ableitung des SDM aus der DS-GVO eine einvernehmliche Bewertung zu erstellen. Nach Fertigstellung der Version 2.0 des SDM soll diese der Konferenz zur Beschlussfassung vorgelegt werden.
Abstimmungsergebnis: [16,0,1]
TOP 30) Übersetzungen gemeinsamer Dokumente für den EDSA
Berlin äußert Bedenken dahingehend, ob die Datenschutzaufsichtsbehörden verpflichtet sind, englischsprachige Dokumente an den EDSA zu übermitteln. Es gebe Differenzen zwischen der gesetzlichen Regelung und der Geschäftsordnung des EDSA. Zudem werde gegenwärtig die Geschäftsordnung des Boards überarbeitet. Der BfDI,Berlin und Bayernsind hieran beteiligt. Die Entwicklung auf europäischer Ebene soll deshalb zunächst abgewartet werden.
Berlin beantragt deshalb eine Vertagung des Tagesordnungspunktes.
Abstimmungsergebnis: [17,0,0]
Hinweis: Rheinland-Pfalz hat auf der administrativen Ebene verschiedene Übersetzungsdienstleister angefragt und wird nach Auswahl des geeignetsten Anbieters über dessen Konditionen unterrichten. Die Bemühungen zum Abschluss eines Rahmenvertrags sollen weitergeführt werden.
TOP 31) Terminplanung der DSK 2020 einschließlich Europäischer Datenschutztag 2021
Sachsen als DSK-Vorsitzland im Jahr 2020 stellt die Terminplanung für die Konferenz im Jahr 2020 und den Europäischen Datenschutztag 2021 vor. Folgende Termine sind vorgesehen:
29. Januar 2020 Zwischenkonferenz
17. bis 18. März 2020 Vorkonferenz
24. bis 26. März 2020 99. Datenschutzkonferenz in Dresden
12. Mai 2020 Zwischenkonferenz
16. Juni 2020 Zwischenkonferenz
22. September 2020 Zwischenkonferenz
10. bis 11. November 2020 Vorkonferenz
24. bis 26. November 2020 100. Datenschutzkonferenz in Leipzig
28. Januar 2021 Europäischer Datenschutztag
Die Zwischenkonferenzen (Tagungsort Berlin, Landesvertretung Sachsen) sollen nur stattfinden, wenn hierfür thematisch Bedarf besteht.
Die Konferenz nimmt die Terminübersicht zustimmend zur Kenntnis
TOP 32) Öffentlichkeitsarbeit zum 25.05.2019
Der Vorsitzende unterbreitet der Konferenz den Vorschlag, eine gemeinsame Pressemitteilung zum Jahrestag der Wirksamkeit der Datenschutz-Grundverordnung am 25.5.2019 zu veröffentlichen. Der Vorsitz bietet hierzu an, einen Entwurf einer Pressemitteilung erstellen und im Umlaufverfahren abstimmen. Den Vorschlag nimmt die Konferenz mit folgendem Ergebnis an:
Abstimmungsergebnis: [17,0,0]
TOP 33) Verwaltung/Anpassung von Orientierungshilfen an die DS-GVO
Mit Mail vom 26.03.2019 hat der Vorsitz die Arbeitskreise der DSK gebeten, Rückmeldungen zu vorhandenen Orientierungshilfen und ggf. notwendige Überarbeitungen dieser zuzuleiten. Die Rückmeldungen hierzu werden von Vorsitz zusammengefasst und eine Übersicht der anzupassenden Orientierungshilfen den jeweiligen Häusern zur Verfügung gestellt.
Abstimmungsergebnis: [17,0,0]
TOP 34) Reaktionen auf Facebook-Datenskandal
Der BfDI und Rheinland-Pfalz haben sich bereits zu der Thematik geäußert. Hamburg hat den Fall am 23.3.19 im IMI-System eingestellt. Sachsen-Anhalt teilt mit, dass die irische Aufsichtsbehörde das Verfahren ebenfalls in das IMI-System eingestellt hat.
Die Konferenz beschließt den BfDI als Gemeinsamen Vertreter nach § 17 Abs. 1 BDSG zu bitten, den Fall zur Beratung an den Europäischen Datenschutzausschuss heranzutragen.
Abstimmungsergebnis: [17,0,0]
TOP 35) Entschließung zum Thema Haftung von Unternehmen für Datenschutzverstöße ihrer Beschäftigten
Die Konferenz verabschiedet die Entschließung nach eingehender Beratung.
Abstimmungsergebnis: [15,2,0]
Bayern und Baden-Württemberg stimmen dagegen.
TOP 36) Ausländerzentralregister
Hamburg stellt dar, dass es bei dem Tagesordnungspunkt nicht um eine inhaltliche Positionierung zum Datenaustauschverbesserungsgesetz gehe sondern primär um die Frage, welche Vorgehensweise die DSK beabsichtigt, um Einfluss auf das Gesetzgebungsverfahren auszuüben.
Die Konferenz beschließt nach Beratung, den AK Sicherheit und den AK Verwaltung zu beauftragen, eine Stellungnahme zum Datenaustauschverbesserungsgesetz auf Grundlage der bereits existierenden Stellungnahme des BfDI gegenüber dem Innenausschuss bis zum 02.05.2019 zu erstellen.
Abstimmungsergebnis: [17,0,0]
Darüber hinaus beschließt die Konferenz, dass datenschutzrechtliche Fragestellungen im Zusammenhang mit Ausländerangelegenheiten dem AK Verwaltung zugeordnet werden.
Abstimmungsergebnis: [14,1,2]
Sachsen stimmt dagegen.
Der Vorsitzende schließt die Tagesordnung und dankt den Teilnehmerinnen und Teilnehmern für die konstruktiven Beratungen und die dabei erzielten Ergebnisse.
Anlagen:
- Teilnehmerliste
- Tagesordnung
- Übersicht der zur Veröffentlichung vorgesehenen Beschlüsse und Entschließungen