Protokoll

Datum: 29. Januar 2025

Veranstaltung: 1. Zwischenkonferenz der DSK

TOP 1 – Begrüßung und Organisatorisches

Die Vorsitzende eröffnet die 1. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), die in Berlin in Präsenz durchgeführt wird. Sie begrüßt die Teilnehmenden und heißt den Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen in der DSK herzlich willkommen.

Die Vorsitzende stellt den geplanten Ablauf der Konferenz vor und weist auf die Tonaufzeichnung zur Erstellung des Protokolls hin.

Es wird festgestellt, dass bis auf das Saarland alle Mitglieder der DSK vertreten sind.

TOP 2 – Tagesordnung und Protokoll

Die Vorsitzende erläutert die Tagesordnung für die 1. Zwischenkonferenz, die in aktualisierter Form am 22. Januar 2025 versendet wurde.

Die DSK nimmt die Tagesordnung einstimmig an.

[16, 0, 0] [Zustimmungen, Gegenstimmen, Enthaltungen]

Die Vorsitzende verweist auf das Protokoll der 108. Datenschutzkonferenz am 14. und 15. November 2024 in Wiesbaden, das den DSK-Mitgliedern am 17. Januar 2025 übersandt wurde und informiert darüber, dass über die konsolidierte Fassung des Protokolls im Nachgang der 1. Zwischenkonferenz der DSK per Umlaufverfahren abgestimmt werden wird.

TOP 3 – Bericht des Vorsitzes

Die Vorsitzende informiert über die Bewerbung des Leitenden Beamten bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für die Position der EDSA-Vertretung im European Data Innovation Board. Da dieser aus dem Kreis der Aufsichtsbehörden des Bundes und der Länder der einzige Kandidat ist, geht sie davon aus, dass Einvernehmen besteht, die deutsche Stimme für ihn abzugeben.

Die Vorsitzende berichtet über ein Schreiben des Vorsitzenden der Bund-/Länder AG Bundesmeldegesetz vom 21. Januar 2025 zum Verdacht des Verstoßes von Adressvermittlern gegen die Zweckbestimmung gem. § 47 Bundesmeldegesetz und das Informationsgebot des Artikel 14 DSGVO. Nach kurzer Diskussion schlägt Nordrhein-Westfalen vor, das Thema an den Arbeitskreis Werbung und Adresshandel zur weiteren Befassung zu geben.

Die DSK trifft einstimmig folgende Festlegung:

1. Die DSK nimmt das Schreiben des Vorsitzenden der Bund-/Länder AG Bundesmeldegesetz zum Verdacht des Verstoßes gegen die Zweckbestimmung gemäß § 47 Bundesmeldegesetz (BMG) und das Informationsgebot des Artikel 14 DSGVO vom 21. Januar 2025 zur Kenntnis.
2. Die DSK beauftragt den AK Werbung und Adresshandel, die in dem Schreiben geschilderte Thematik zu erörtern und sich bis zur 109. DSK über die Datenverarbeitungen in den jeweiligen Bereichen zu informieren.
3. Die DSK beauftragt den DSK-Vorsitz, den Vorsitzenden der Bund-/Länder AG Bundesmeldegesetz über das unter 1. und 2. von der DSK Festgelegte zu informieren.

Ergebnis:

[16, 0, 0] [Zustimmungen, Gegenstimmen, Enthaltungen]

Die DSK nimmt den Bericht zur Kenntnis.

[Notiz: Im Nachgang der Konferenz wurde Ziffer 2 der Festlegung per Umlaufverfahren dahingehend angepasst, dass der Arbeitsauftrag dem AK Auskunfteien erteilt wurde.]

TOP 4 – Anstehende Entscheidungen in den EDSA-Expert Subgroups

Die Vorsitzende führt in das Thema ein und betont, dass die Weichenstellungen für wichtige Entscheidungen des EDSA bereits in den Expert Subgroups bzw. in deren Drafting Teams getroffen werden. Um die Positionen der DSK wirksam in den europäischen Entscheidungsprozess einzubringen, sei es daher von großer Bedeutung, dass die DSK bereits im Vorfeld informiert ist, welche wichtigen Weichenstellungen anstehen. Sie berichtet, dass es daher einen entsprechenden Austausch mit den Ländervertreter:innen gegeben habe. Auf dieser Grundlage gibt die Vorsitzende einen kurzen Überblick über die Fragestellungen, die im ersten Halbjahr des Jahres 2025 voraussichtlich in den Expert Subgroups und Drafting Teams verhandeln werden:

• Cross-Regulatory Interplay and Cooperation Expert Subgroup: Wechselwirkungen zwischen den Digitalrechtsakten und der DGVO
• Enforcement Expert Subgroup: strategische Fälle
• Key Provisions Expert Subgroup: Leitlinien zu Pay or Consent und Leitlinien zu Kinderrechten

Bei den Leitlinien zu Pay or Consent besteht Einvernehmen, dass diese abweichend von der allgemeinen Zuordnung des AK Grundsatz zur KEYP inhaltlich federführend vom AK Medien begleitet werden.

• Social Media Expert Subgroup: Leitlinien zum Digital Services Act
• Technology Expert Subgroup: Leitlinien zur Pseudonymisierung, Leitlinien zu Blockchain und Leitlinien zu Telemetriedaten
• Compliance, E-Government and Health Expert Subgroup: Recht auf Löschung

Die Mitglieder der DSK nehmen den Bericht zur Kenntnis. Anschließend tauschen sie sich über die Arbeit in den Expert Subgroups und Drafting Teams aus und erörtern das weitere Vorgehen.

TOP 5 – Bericht aus dem AK DSK 2.0

Rheinland-Pfalz und Bayern LDA berichten über den Stand der Arbeiten im AK DSK 2.0 zur Entwicklung von Verfahrensregelungen, mit denen rechtliche Positionen der deutschen Behörden bei übergreifenden Sachverhalten abgestimmt und beschlossen werden können.

Die DSK trifft folgende Festlegung:

Die DSK nimmt den Bericht des AK DSK 2.0 zur Kenntnis.

Ergebnis:

[16, 0, 0] [Zustimmungen, Gegenstimmen, Enthaltungen]

TOP 6 – Datenschutzpolitische Forderungen an den künftigen Bundesgesetzgeber bzw. an die künftige Bundesregierung

Die Vorsitzende führt in das Thema ein und schlägt vor, ein gemeinsames Forderungspapier an den künftigen Gesetzgeber bzw. an die künftige Bundesregierung zu erstellen.

Die BfDI weist auf ihre eigene Datenschutzpolitische Agenda hin und behält sich vor, diesen Prozess lediglich beobachtend zu begleiten.

Bayern LfD äußert Bedenken im Hinblick auf ein gemeinsames Forderungspapier und teilt mit, sich bezüglich des Vorschlags zu enthalten.

Bayern LDA unterstützt den Vorschlag der Vorsitzenden und schlägt vor, sich auf die wichtigsten drei bis vier Anliegen zu fokussieren und den Titel Forderungen zu verwenden.

Rheinland-Pfalz unterstützt den Vorschlag von Bayern LDA.

Die Vorsitzende schließt die Diskussion ab und fragt ab, wer bis zur nächsten Sitzung des AK DSK 2.0 an der Erstellung eines Entwurfs für ein Forderungspapier mitarbeiten möchte. Bayern LDA, Berlin, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Sachsen, Rheinland-Pfalz sowie die BfDI erklären sich hierzu bereit. Anschließend tauschen sich die Mitglieder der DSK über mögliche Inhalte des Forderungspapiers aus.

TOP 7 – Umsetzungsgesetz zur KI-VO

Rheinland-Pfalz stellt die derzeitigen Planungen für eine DSK-Stellungnahme zum Umsetzungsgesetz zur KI-Verordnung im Rahmen der anstehenden Länder- und Verbändebeteiligung vor. Auf Grundlage des vorliegenden Referentenentwurfs von Anfang Dezember 2024, der umfangreiche Zuständigkeiten für die Aufsicht von KI-Systemen bei der Bundesnetzagentur vorsieht, habe der AK Künstliche Intelligenz bereits mit der Erarbeitung einer Stellungnahme begonnen. Der AK Künstliche Intelligenz werde einen Entwurf per Umlaufverfahren zur Abstimmung stellen, sobald die Länder- und Verbändebeteiligung starte.

Die Vorsitzende weist darauf hin, dass es aller Voraussicht nach nur eine kurze Kommentierungsfrist geben werde. Anschließend diskutieren die Mitglieder der DSK mögliche verfassungs- und europarechtliche Problematiken, die durch die im Referentenentwurf vorgesehenen Regelungen entstehen und welche Folgen diese für die Datenschutzaufsichtsbehörden haben könnten.

Die DSK trifft folgende Festlegung:

Die DSK beauftragt den AK Künstliche Intelligenz, eine Stellungnahme zu dem Entwurf eines Durchführungs- und Umsetzungsgesetzes zur Verordnung (EU) 2024/1689 zu erarbeiten. Die genauen Fristen werden im wöchentlichen DSK Jour fixe abgestimmt.

Ergebnis:

[16, 0, 0] [Zustimmungen, Gegenstimmen, Enthaltungen]

TOP 8 – Operationalisierung der EDSA-Leitlinien zur Pseudonymisierung und Anonymisierung

Die Vorsitzende führt in das Thema ein und erläutert den Stand der Leitlinien zur Anonymisierung und Pseudonymisierung. Im Januar 2025 habe der EDSA die Leitlinien zur Pseudonymisierung verabschiedet. Die Annahme der Leitlinien zur Anonymisierung sei für Sommer 2025 geplant. Aufgrund des hohen Abstraktionsgrads der beiden Papiere und der Bedeutung der jeweiligen Techniken auch für die Umsetzung der EU-Digitalrechtsakte erscheine es erforderlich, eine Operationalisierung der Vorgaben im Hinblick auf ihre Anwendung in konkreten Fallgestaltungen vorzunehmen. Diese sollen in einem entsprechenden DSK-Papier festgehalten werden.

Berlin erläutert die hohe Relevanz des Themas und die zahlreichen Forderungen aus der Praxis nach einer konkreten Hilfestellung. Sodann stellt Berlin sein Konzept zur Erarbeitung des DSK-Papiers vor und erläutert insbesondere, wie die übergreifende Projektgruppe und die einzelnen Kleingruppen für die Erstellung der Fallbeispiele zusammenarbeiten sowie wie die Arbeitskreise der DSK einbezogen werden sollen.

BfDI und Hessen unterstützen das Vorhaben ausdrücklich.

Hessen weist darauf hin, dass die Leitlinien zur Anonymisierung und ihre geplante Operationalisierung sich nur mit der Anonymisierung von personenbezogenen Daten befassen, nicht aber mit der Verarbeitung von anonymen Daten. Dies soll im Vorwort der Operationalisierung klargestellt werden. Die Anregung von Hessen wird in den Konzeptentwurf aufgenommen.

Niedersachsen begrüßt das Vorhaben grundsätzlich, hat aber im Hinblick auf den zu erwartenden Aufwand und Nutzen nicht genügend eigene Ressourcen, um sich beteiligen zu können und wird sich daher enthalten.

Nordrhein-Westfalen und Bremen begrüßen das Vorhaben ebenfalls, werden sich aber nicht beteiligen können und daher enthalten.

Interesse an einer Mitarbeit in den Kleingruppen bekunden die BfDI, Baden-Württemberg, Bayern LDA, Berlin, Hamburg, Hessen, Mecklenburg-Vorpommern und Schleswig-Holstein.

Sachsen teilt mit, dass es eine Beteiligung zunächst intern klären müsse.

Die DSK trifft folgende Festlegung:

1. Die DSK stimmt dem Vorschlag zur Erarbeitung des Operationalisierungspapiers zu den EDSA-Leitlinien zu Pseudonymisierung und Anonymisierung grundsätzlich zu.
2. Die DSK setzt eine arbeitskreis- und aufsichtsbehördenübergreifende Projektgruppe unter Leitung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) zur Erarbeitung des Operationalisierungspapiers ein. Die Projektgruppe koordiniert die Beteiligung der jeweiligen Arbeitskreise und die Arbeit in den Kleingruppen.
3. Im Rahmen der im Vorschlag vorgesehenen Feinabstimmung wird der Zeitplan präzisiert, insbesondere in Bezug auf die fortlaufende Beteiligung der DSK.

Ergebnis:

[13, 0, 3] [Zustimmungen, Gegenstimmen, Enthaltungen]

TOP 9 – Aufsicht über KI-Systeme in der öffentlichen Verwaltung

Hamburg stellt die Ergebnisse der Umfrage zur Frage vor, mit welchen KI-bezogenen Verfahren öffentlicher Stellen die Mitglieder der DSK aktuell jeweils befasst sind oder zumindest Kenntnis von ihnen haben. Hamburg berichtet, dass der Großteil der Einsatzbereiche im Kontext Bildung und Polizei liege und viele KI-Systeme auf den bekannten großen US-amerikanischen KI-Modellen beruhten. Viele Mitglieder der DSK seien in die Projekte gut eingebunden. Hamburg regt an, die sich daraus ergebenden Fragen zu diskutieren und eine gemeinsame Position dazu zu formulieren, wie in diesem Jahr weiter mit diesem Thema umgegangen werden solle.

Die Vorsitzende bedankt sich für die Vorstellung der Ergebnisse und schlägt vor, die wichtigsten Fragen direkt zu besprechen und für weitere Bewertungen den AK Künstliche Intelligenz zu beauftragen. Anschließend diskutieren die Mitglieder der DSK insbesondere die Frage, welche Aufsichtsbehörde für die Bewertung des Personenbezugs in einem KI-System bzw. einem KI-Modell zuständig ist und ob systemseitige Maßnahmen in einem KI-System Mängel an der Rechtmäßigkeit des KI-Modells kompensieren können.

Die DSK trifft folgende Festlegung:

1. Die DSK geht nach erster Erörterung davon aus, dass die für den datenschutzrechtlich Verantwortlichen zuständige Behörde dafür zuständig ist, die Datenverarbeitungen in dem KI-System und die Rechtmäßigkeit des Systems unter Berücksichtigung des eingesetzten Modells insgesamt zu prüfen und zu bewerten. Dabei geht die DSK als Arbeitsthese davon aus, dass die systemseitig eingesetzten Maßnahmen im Rahmen einer Risikobewertung für die Rechtmäßigkeit der Datenverarbeitung im KI-System insgesamt von entscheidender Bedeutung sein können, ggf. aufgrund der Besonderheiten von KI-Systemen so entscheidend, dass diese eine etwaige Rechtswidrigkeit des Trainings oder fehlende Anonymität des eingesetzten KI-Models kompensieren könnten.
2. Die DSK bittet den AK Künstliche Intelligenz, sich mit diesen Thesen unter Einbeziehung der zu TOP 9 formulierten Fragen zu befassen und hierzu eine Bewertung bis zur 2. Zwischenkonferenz 2025 vorzulegen und dabei nach Möglichkeit einzelne risikominimierende Maßnahmen zu beschreiben und zu bewerten.
3. Zusätzlich bittet die DSK den AK Künstliche Intelligenz, bis zur 2. Zwischenkonferenz 2025 die Frage aufzubereiten, wie sich eine RAG Komponente in einem KI-System auswirkt.

Ergebnis:

[16, 0, 0] [Zustimmungen, Gegenstimmen, Enthaltungen]

TOP 10 – Verfahren OpenAI

Rheinland-Pfalz fasst das bisherige Vorgehen der Datenschutzaufsichtsbehörden gegenüber OpenAI zusammen und verweist dabei auch auf die jüngste Entscheidung der italienischen Aufsichtsbehörde. Rheinland-Pfalz berichtet, dass seit Kurzem die Antworten auf den letzten Fragekatalog vorliegen. In Anbetracht der Kürze seit Eingang der Antworten sei jedoch noch keine Auswertung erfolgt. Die Mitglieder der DSK erörtern ausführlich die Rechtslage und Möglichkeiten zu einem weiteren abgestimmten Vorgehen.

Die DSK trifft folgende Festlegung:

Die DSK nimmt den Bericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zum Sach-/Verfahrensstand zu OpenAI zur Kenntnis und bittet die beteiligten Länder über die abschließenden Schritte bis zur 109. Datenschutzkonferenz zu berichten.

Ergebnis:

[16, 0, 0] [Zustimmungen, Gegenstimmen, Enthaltungen]

TOP 11 – 6G Telekommunikationsnetze und die Integration von Radarfähigkeit

Mecklenburg-Vorpommern führt ausführlich in die Thematik ein und erläutert den in der TOP-Anmeldung aufgeführten Entscheidungsvorschlag zur Erarbeitung eines Positionspapiers zu Datenschutzfragen bei der Integration von Radarfunktionen in Telekommunikationsnetzwerke der 6. Generation.

Hessen, Rheinland-Pfalz, Berlin und BfDI begrüßen den Vorschlag.

Hessen weist in diesem Zusammenhang auf den Standardisierungsprozess der Internationalen Fernmeldeunion hin. Es sei zwar sinnvoll, sich an dem Standardisierungsprozess zu beteiligen, aus Kapazitätsgründen sei dies jedoch nicht möglich. Daher werde sich Hessen zwar an der Erstellung des Positionspapiers im AK Technik beteiligen, nicht aber an dem Standardisierungsprozess.

Rheinland-Pfalz betont, dass es wichtig sei, sich frühzeitig mit dem Thema zu beschäftigen und regt daher eine Vernetzung zwischen dem AK Technik und den Datenschutzbeauftragten der Internationalen Fernmeldeunion an.

Berlin stimmt Hessen zu, unterstreicht aber, dass die Erstellung des Papiers auch ohne eine Beteiligung an dem Standardisierungsprozess sinnvoll sei. Wichtig sei vor allem, mit dem Positionspapier frühzeitig auf die Risiken der betreffenden Technologien hinzuweisen, um die politischen Entscheidungsträger:innen dafür zu sensibilisieren. Daher solle dem AK Technik auch eine entsprechende Frist gesetzt werden.

BfDI kündigt an, an der Erstellung des Positionspapiers mitzuarbeiten, stellt aber gleichzeitig die Frage, inwiefern durch die in Frage stehende Technologie personenbezogene Daten verarbeitet werden. Besondere Relevanz erlangen könnte die Identifizierung anhand von Bewegungsmustern (motion recognition).

Berlin stellt klar, dass zumindest in bestimmten Situationen stets personenbezogene Daten verarbeitet werden. In welchem Umfang dies jedoch geschehe, sei vom AK Technik im Rahmen der Bearbeitung des Mandats zu klären. Es stelle sich aber schon die Frage, inwieweit die Verarbeitung unter das Telekommunikationsrecht falle, was die alleinige Zuständigkeit der BfDI begründen könnte.

BfDI hält es nach erster Einschätzung für unwahrscheinlich, dass das Telekommunikationsdatenschutzrecht anwendbar sei, möchte es aber nicht ausschließen. Daher solle in jedem Fall ein juristischer Arbeitskreis eingebunden werden.

Sachsen-Anhalt schlägt vor, auch mögliche weitere Anwendungsszenarien der Technologie zu untersuchen.

Die DSK trifft folgende Festlegung:

1. Die DSK beauftragt den AK Technik, ein erstes Positionspapier zu Datenschutzfragen bei der Integration von Radarfunktionen in Telekommunikationsnetzwerke der 6. Generation zu erstellen, das mögliche Entscheidungen der DSK vorbereiten kann.
2. Die DSK legt fest, dass zur Untersuchung der hiermit verbundenen Rechtsfragen ggf. ein anderer rechtlich orientierter Arbeitskreis der DSK beteiligt werden kann.

Ergebnis:

[16, 0, 0] [Zustimmungen, Gegenstimmen, Enthaltungen]

TOP 12 – Zwischenbericht der Arbeitsgruppe GDNG der TF Forschungsdaten

Baden-Württemberg führt ausführlich in das Thema ein und stellt die Frage, inwieweit noch grundsätzliche Bedenken an dem in der Arbeitsgruppe GDNG der Taskforce Forschungsdaten erstellten Antragsformular bestehen.

Nordrhein-Westfalen weist auf die Dringlichkeit des Themas hin, da in Nordrhein-Westfalen zahlreiche Anträge erwartet werden und dies einen enormen Arbeitsaufwand bedeute, da die Anträge im Rahmen einer Vier-Wochen-Frist bearbeitet werden müssen.

Baden-Württemberg stellt klar, dass die Arbeitsgruppe einhellig der Meinung gewesen sei, dass die Frist erst dann zu laufen beginnt, wenn alle Unterlagen vollständig eingereicht wurden.

Die Mitglieder der DSK tauschen sich darüber aus, in welcher Tiefe die Anträge geprüft werden müssen. Zum Teil wird aufgrund der kurzen Frist davon ausgegangen, dass eine rein formale Prüfung bzw. eine Plausibilitätsprüfung ausreichen müsse. Zum Teil wird eine umfassende inhaltliche Prüfung aller eingereichten Unterlagen befürwortet. Es besteht jedenfalls Konsens darüber, dass das Verfahren nach der Bearbeitung der ersten Anträge evaluiert werden müsse.

Rheinland-Pfalz spricht sich für die Annahme des Antragsformulars aus.

Bayern LfD empfiehlt einen Abgleich mit der Verordnung zum Europäischen Gesundheitsdatenraum.

Nordrhein-Westfalen weist darauf hin, dass noch die Frage offen sei, wie sich die Aufsichtsbehörden bei Verbundvorhaben austauschen sollen, wenn die Akteur:innen in unterschiedlichen Ländern sitzen.

Baden-Württemberg sagt zu, diese Frage in die Arbeitsgruppe mitzunehmen.

Die DSK trifft folgende Festlegung:

Die DSK nimmt den Zwischenbericht der Arbeitsgruppe GDNG der TF Forschungsdaten zur Kenntnis.

Ergebnis:

[16, 0, 0] [Zustimmungen, Gegenstimmen, Enthaltungen]

TOP 13 – Sonstiges

Thüringen berichtet, dass das Uniklinikum Jena um eine Überarbeitung der Orientierungshilfe Krankenhausinformationssysteme gebeten habe. Vor diesem Hintergrund appelliert Thüringen an die Mitglieder der DSK, an der derzeit laufenden Überarbeitung der Orientierungshilfe mitzuwirken. Die Vorsitzende unterstützt dieses Anliegen und wirbt um personelle Unterstützung.

Nordrhein-Westfalen berichtet von einer Anfrage eines großen Wohnungsunternehmens, inwieweit die Übermittlung von Mieter:innendaten an Sozialbehörden vor Erhebung der Räumungsklage zulässig sein könne. Die Mitglieder der DSK tauschen sich diesbezüglich aus.

Bayern LDA bittet um Zustimmung für eine Änderung auf der Website der DSK. Die Mitglieder der DSK stimmen dieser Änderungsbitte zu.