Protokoll der 100. Konferenz am 25. und 26. November 2020
TOP 1 – Begrüßung und Organisatorisches
Der Vorsitzende begrüßt die Teilnehmenden der 100. Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird, und stellt den geplanten Ablauf der Konferenz dar.
Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer per Video an der Konferenz teilnehmen.
Der ZASt wird für die technische Organisation der Videokonferenz gedankt.
Der Vorsitzende würdigt den 100. Jahrestag der DSK als ein besonderes Ereignis. Er dankt den Anwesenden und deren Mitarbeiterinnen und Mitarbeitern für die geleistete Arbeit und die gute Zusammenarbeit in den vergangenen Jahren.
TOP 2 – Tagesordnung und Protokoll
Zur vorliegenden Tagesordnung stellt Berlin den Antrag, einen TOP 8a „Microsoft Office 365“ aufzunehmen.
Der Antrag wird einstimmig angenommen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Für die nachfolgenden Tagesordnungspunkte wurde auf der Vorkonferenz Einvernehmen hergestellt. Deren Behandlung kann deshalb im verkürzten Verfahren erfolgen.
TOP 4 - Information zu Umlaufverfahren der DSK
TOP 7 - Bericht zur aktuellen Bundesgesetzgebung
TOP 8 - Information über Publikationen der Aufsichtsbehörden
TOP 15 - Bewertung der Eigenschaft "spezifische Aufsichtsbehörde" gegenüber einer Religionsgemeinschaft und unter welchen Bedingungen diese ggf. revidiert werden kann
TOP 17 - Auswirkungen des „Brexit“
TOP 19 - Evaluationsbericht zum ZASt-Konzept
TOP 20 - Weiterer Umgang mit Ziffer 3 der Festlegung zu TOP 24 der 97. DSK: Vereinheitlichung von Publikationsformaten
Der Vorsitzende dankt dem AK Organisation und Struktur sowie der ZASt für die geleistete Arbeit bei der Erstellung des Evaluationsberichts und den Änderungsvorschlägen zum ZASt- Konzept.
Die Konferenz nimmt die Ergebnisse der Vorkonferenz zu den o. g. Tagesordnungspunkten ohne weitere Aussprache an.
TOP 3 – Grußworte
Der Vorsitzende dankt dem Ministerpräsidenten des Freistaates Sachsen Herrn Michael Kretschmer für sein Grußwort zur Jubiläumskonferenz, die per Videogrußbotschaft übermittelt wurde.
TOP 4 – Information zu Umlaufverfahren der DSK
Die aktuell vorliegende Übersicht der Umlaufverfahren in 2020 (Stand: 20. November 2020) wurde durch die Konferenz zustimmend zur Kenntnis genommen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 5 – Bericht aus dem Europäischen Datenschutzausschuss (EDSA)
Der BfDI berichtet aus dem EDSA zu folgenden Themen:
- Internationale Zusammenarbeit - GPA - Application Executive Committee
Guidelines 09/2020 zum Konzept relevanter und begründeter Einwände - Empfehlung zu Maßnahmen zur Ergänzung von Übertragungsinstrumenten zur Gewährleistung der Einhaltung des EU-Schutzniveaus für personenbezogene Daten
- Artikel 64 DSGVO - Stellungnahme zu den Garantien, die in Vertragsklauseln für Übertragungen eines Verarbeiters an einen für die Verarbeitung Verantwortlichen außerhalb des EWR aufzunehmen sind, der der DSGVO gemäß Artikel 3.2 (Art. 46.3 (a) DSGVO) unterliegt
- Leitlinien zu Artikel 25 DSGVO - Datenschutz durch Design und Standard (nach öffentlicher Konsultation)
- Leitlinien zu Artikel 65 DSGVO – Verfahren, Formulare für Anträge
- Verfahren nach Artikel 65 – Twitter.
Hamburg ergänzt insbesondere zum Verfahren nach Artikel 65 zu Twitter, dies sei das erste Verfahren seiner Art in der Zusammenarbeit auf EU-Ebene. Hamburg empfiehlt allen Teilnehmenden, sich mit der vorliegenden Entscheidung auseinander zu setzen, und dankt allen Aufsichtsbehörden, die Hamburg in diesem Verfahren unterstützt haben. Vom Ausgang des Verfahrens sei Hamburg enttäuscht, in der Abstimmung habe sich Hamburg deutlich gegen die Entscheidung ausgesprochen. Hamburg prüfe das weitere Vorgehen.
TOP 6 – Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden
Die ZASt dankt im Vorgriff auf TOP 19 allen, die bei der Evaluierung des ZASt-Konzeptes und der Erstellung des Evaluationsberichtes mitgewirkt haben, insbesondere dem AK Organisation und Struktur.
Der Sachstandsbericht zur Arbeit der ZASt sowie die Übersicht der im IMI-System eingeleiteten Verfahren unter Beteiligung der deutschen Aufsichtsbehörden mit Stand 5. November 2020 wurden den Teilnehmenden mit Mail vom 6. November 2020 zugesandt.
Die ZASt bittet die Aufsichtsbehörden, bei Beteiligung in laufenden, insbesondere schriftlichen Verfahren Confluence zu nutzen und eigene Positionen ggf. unter Einbindung der jeweiligen Subroupvertretungen frühzeitig einzubringen. Des Weiteren bittet die ZASt vor Veröffentlichung von Entscheidungen aus dem EDSA, mit Blick auf die Vertraulichkeit deren Verfahrensstand zu beachten und in Zweifelsfällen ggfs. vor Veröffentlichung Rücksprache mit der ZASt bzw. dem gemeinsamen Vertreter zu nehmen. Eine Veröffentlichung von Infor mationen ist jedenfalls zu dem Zeitpunkt unkritisch, sobald diese auf der Webseite des EDSA erscheinen.
Um mehr Transparenz in der Nachvollziehung von Entscheidungen zu erlangen, bittet Hamburg das Abstimmungsverhalten der Aufsichtsbehörden in die Ergebnismitteilungen zu den durchgeführten schriftlichen Verfahren aufzunehmen. Die ZASt sagt zu, dies in den künftigen Mitteilungen zu berücksichtigen.
Der BfDI bittet hinsichtlich seiner Rolle als gemeinsamer Vertreter und der Rolle des künftigen Stellvertreters um vorherige Information und Einbindung, sofern eine Aufsichtsbehörde beabsichtigt, einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf einer federführenden Aufsichtsbehörde einzulegen.
Der Vorsitzende dankt der ZASt für ihre Arbeit.
TOP 7 – Bericht zur aktuellen Bundesgesetzgebung
Die Übersicht des BfDI zur aktuellen Bundesgesetzgebung wurde den Teilnehmenden mit Schreiben vom 16. November 2020 zugesandt und wird zur Kenntnis genommen.
TOP 8 – Information über Publikationen der Aufsichtsbehörde
Eine aktuelle Übersicht der Publikationen der Aufsichtsbehörden wurde den Teilnehmenden mit E-Mail vom 24. November 2020 zur Verfügung gestellt.
Die Publikationsübersicht soll auf der Webseite der Konferenz veröffentlicht werden.
Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 8a – Microsoft Office 365
Brandenburg und Bayern berichten aus der Arbeitsgruppe, die entsprechend der Festlegung zu TOP 9 der 3. Zwischenkonferenz gebildet wurde, über den aktuellen Sachstand. Der Auftrag an die Arbeitsgruppe umfasst die Aufnahme von Gesprächen mit dem Hersteller, um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen. Microsoft wurde gebeten, bis zum Ende der 47. KW zu den offenen Fragen Stellung zu nehmen. Microsoft hat am 20. November 2020 um Fristverlängerung gebeten. Ein Gespräch soll noch vor Weihnachten stattfinden.
Baden-Württemberg wird gebeten, über die Begleitung eines Pilotprojektes des Kultusministeriums Baden-Württembergs zur Nutzung von MS Office 365 an Schulen zu berichten. Baden-Württemberg informiert die Teilnehmenden über den Stand des Vorhabens und die im Rahmen dieses Projektes geführten Gespräche mit Microsoft.
Die Teilnehmenden diskutieren das weitere Vorgehen sowie den Umgang mit Microsoft kontrovers. Die Arbeitsgruppe wird über die Gesprächsergebnisse mit Microsoft berichten.
TOP 9 – Gesetzliche Ausgestaltung der TK-Bestandsdatenauskunft
Schleswig-Holstein dankt dem AK Sicherheit für die geleistete Arbeit und stellt den Entschließungsentwurf „Auskunftsverfahren für Sicherheitsbehörden und Nachrichtendienste verfassungskonform ausgestalten“ vor.
Die Konferenz verabschiedet die vorliegende Entschließung einstimmig.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 10 – Umsetzung der ePrivacy-RL
Hamburg stellt die Entschließung „Betreiber von Webseiten benötigen Rechtssicherheit - Bundesgesetzgeber muss europarechtliche Verpflichtungen der „Cookie-Richtlinie“ endlich erfüllen“ vor.
Die Konferenz verabschiedet die Entschließung einstimmig.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 11 – Technische Datenschutzanforderungen an Messenger-Dienste im Kranken- hausbereich
BfDI berichtet, dass die Abstimmung des Whitepapers im AK Technik und AK Gesundheit und Soziales noch nicht abgeschlossen sei und schlägt vor, nach Abschluss der Abstimmung das Papier im Umlaufverfahren zu verabschieden.
Rheinland-Pfalz befürwortet den Aufbau eines zentralen Messenger-Dienstes und schlägt vor, das Whitepaper nach Abstimmung mit einem Anschreiben direkt an das Bundesministerium zu senden.
TOP 12 – Anforderungen an Prüfkriterien von Zertifizierungsstellen
Schleswig-Holstein führt in den TOP ein. Das Dokument „Anforderungen an Zertifizierungsprogramme“, das durch den UAK Prüfkriterien erarbeitet werde, befinde sich derzeit aktuell in der Abstimmung im AK Zertifizierung. Es sei geplant, den Kriterienkatalog zur 1. Zwischenkonferenz 2021 vorzulegen. Die nächste Sitzung des UAK Prüfkriterien hierzu würde kommende Woche stattfinden.
Die Datenschutzkonferenz trifft folgende Festlegung einstimmig:
- Die DSK nimmt zur Kenntnis, dass der AK Zertifizierung bzw. dessen UAK Prüfkriterien ein Dokument „Anforderungen an Zertifizierungsprogramme“ erstellt. Es soll den Datenschutzaufsichtsbehörden für die eigene Bewertung von eingereichten Kriterienkatalogen dienen.
- Die DSK nimmt zur Kenntnis, dass sich dieses Dokument aktuell in der Abstimmung im AK Zertifizierung befindet und geplant ist, es zur nächsten DSK-Sitzung vorzulegen. Die Datenschutzaufsichtsbehörden unterstützen den AK im Rahmen ihrer Möglichkeiten bei der Überarbeitung und Abstimmung der Inhalte des Dokuments, auch aufgrund der steigenden Anzahl an Anträgen auf Genehmigung von Kriterienkatalogen bei den Datenschutzaufsichtsbehörden.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 13 – Anwendung der DSGVO auf Datenverarbeitungen von Parlamenten
BfDI berichtet zum TOP. Die beiden Schreiben der Konferenz der Landtagsdirektoren vom Oktober 2020 und vom 18. November 2020 liegen den Teilnehmenden vor.
Die Anwendbarkeit der DSGVO auf Datenverarbeitungen von Parlamenten wird diskutiert und die Teilnehmenden tauschen ihre Meinungen zum Thema aus.
TOP 14 – Rahmenbedingungen für aufsichtsbehördliche Produktwarnungen
BfDI führt in den TOP ein und dankt insbesondere Bayern für die Mitwirkung bei der Erstellung des Zwischenberichts. Durch den DSK-Vorsitz erfolgte mit E-Mail vom 12. November 2020 eine Abfrage, welche konkreten Fragen durch den AK Grundsatz noch diskutiert werden sollten. Die eingegangen Rückmeldungen wurden in einem Fragenkatalog zusammengefasst und den Teilnehmenden mit E-Mail vom 19. November zugesandt.
Die Datenschutzkonferenz trifft folgende Festlegung einstimmig:
- Die DSK nimmt den Zwischenbericht des AK Grundsatz zu den Rahmenbedingungen für aufsichtsbehördliche Produktwarnungen zur Kenntnis.
- Der Zwischenbericht wird an den AK Grundsatz zurückverwiesen und ein Anschlussauftrag zur Klärung noch offener Fragen entsprechend dem als Anlage beigefügten Fragenkatalog bis zur 101. Konferenz erteilt.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 15 – Bewertung der Eigenschaft "spezifische Aufsichtsbehörde" gegenüber einer Religionsgemeinschaft und unter welchen Bedingungen diese ggf. revidiert werden kann
Der DSK-Vorsitz hat die geführte Liste über die spezifischen Aufsichtsbehörden zur Aktualisierung an alle Aufsichtsbehörden mit E-Mail vom 12. November 2020 übersandt. Die Aufsichtsbehörden wurden gebeten, ggfs. Änderungen bzw. Ergänzungen bis zum 26. November 2020 zu zuarbeiten.
TOP 16 – Stellvertretung des gemeinsamen Vertreters im EDSA; Wahl gem. § 17 (1) BDSG; Vorschlagsrecht der DSK
Hamburg informiert die Teilnehmenden, dass Hamburg ab Frühjahr 2021 die Stellvertretung des gemeinsamen Vertreters im EDSA nicht mehr wahrnehmen werde und regt an, den anstehenden Wechsel dem Bundesrat zu signalisieren.
Der Vorsitzende dankt Hamburg für das hohe Engagement und die geleistete Arbeit, die mit einer hohen Arbeitsbelastung verbunden gewesen sei.
Der DSK-Vorsitz wird gebeten, ein Schreiben an den Bundesrat vorzubereiten.
TOP 17 – Auswirkungen des „Brexit“ (vorsorglich)
Der Vorsitzende erläutert die Hintergründe der vorsorglichen TOP-Anmeldung. Sachsen und Rheinland-Pfalz werden eine Äußerung der DSK im Falle eines ungeregelten Brexit vorbereiten.
TOP 18 – Sachstandsbericht aus dem AK DSK 2.0
Der Vorsitzende berichtet aus der 1. Sitzung des AK DSK 2.0. Des Weiteren berichteten drei Unterarbeitsgruppen über erste Überlegungen und Arbeitsschritte zu einzelnen Themen, wie u. a. zur Verbindlichkeit von Mehrheitsentscheidungen in der DSK; Verständnis der DSK als europäischer Player sowie mutigere und schnellere Positionierung zu Datenschutzfragen durch die DSK.
Der Vorsitzende weist daraufhin, dass die nächste Sitzung des AK DSK 2.0 am 15./16. Dezember 2020 auf Grund der coronabedingten Rahmenbedingungen nicht als Präsenzveranstaltung durchgeführt werden könne. Alternativ schlägt der Vorsitzende vor, die Sitzung als Videokonferenz durchzuführen oder die Sitzung terminlich in den Januar/Februar 2021 zu verlegen. Die Teilnehmenden sprechen sich einstimmig für eine Präsenzveranstaltung aus. Der Vorsitzende wird gebeten, einen neuen Terminvorschlag mit den Teilnehmenden abzustimmen.
Da im Beschluss zur Einsetzung des Arbeitskreises die Frage des Vorsitzes nicht eindeutig geregelt war, stimmt die Konferenz dem Vorschlag zu, dass Sachsen dies übernimmt.
TOP 19 – Evaluationsbericht zum ZASt-Konzept
Hessen stellt den Evaluierungsbericht zum ZASt-Konzept und die vorgeschlagenen Änderungen vor. Es wird festgestellt, dass sich das ZASt-Konzept in der Zusammenarbeit zwischen ZASt und Aufsichtsbehörden bewährt habe. Die vorgeschlagenen Änderungen stellen lediglich den in der praktischen Zusammenarbeit erreichten Stand dar. Weitere Änderungen des ZASt-Konzeptes oder Anpassungen des Evaluierungsberichts werden nicht vorgetragen.
Der Vorsitzende dankt dem AK Organisation und Struktur sowie insbesondere auch der ZASt für die geleistete Arbeit.
Die Datenschutzkonferenz stimmt dem Evaluierungsbericht, den Änderungen des ZASt-Konzeptes sowie der Aufnahme des Anlagenkonvoluts einstimmig zu.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 20 – Weiterer Umgang mit Ziffer 3 der Festlegung zu TOP 24 der 97. DSK: Vereinheitlichung von Publikationsformaten
Der Vorsitzende stellt den TOP vor. Der DSK-Vorsitz wird einstimmig gebeten, mit der Themenliste an die AK-Vorsitzenden heranzutreten und abzufragen,
- ob die in der Liste enthaltenen Themen noch aktuell sind, Papiere hierzu erarbeitet werden oder aus welchen Gründen Themen gestrichen werden können,
- wie die verbleibenden Themen priorisiert werden und, daraus abgeleitet, in welchem Zeithorizont der AK die Vorlage von Ergebnissen anstrebe.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 21 – Anfrage der Redaktion netzpolitik.org „Regelmäßige Veröffentlichung von DSGVO-Kennzahlen“ vom 26. Mai 2020
Der Vorsitzende erläutert die Anfrage von netzpolitik.org. Es stelle sich allgemein die Frage, ob die Datenschutzkonferenz gemeinsame Kennzahlen veröffentlichen sollte. Derzeit würden die Kennzahlen in den Tätigkeitsberichten der einzelnen Aufsichtsbehörden veröffentlicht.
Die Teilnehmenden diskutieren die Möglichkeiten und den damit verbundenen Arbeitsaufwand, um eine gemeinsame Berichterstattung der Aufsichtsbehörden umsetzen zu können.
Die Datenschutzkonferenz bittet den DSK-Vorsitz die Anfrage von netzpolitik.org abschlägig zu bescheiden.
[16, 1, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 22 – Bericht der Task Force „Schrems II“
Berlin führt in den TOP ein. Die Task Force habe bisher einmal getagt und habe den Aufgabenbereich definiert. Der Europäische Datenschutzausschuss habe das Dokument „Häufig gestellte Fragen“ zum Urteil des EuGH in der Rechtssache C-311/18 (Schrems II) veröffentlicht.
Berlin bittet um Unterstützung bei der Erarbeitung von Vorschlägen für ein gemeinsames Vorgehen der deutschen Aufsichtsbehörden zur Umsetzung des EuGH-Urteils „Schrems II“. Es wird vorgeschlagen, hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen. Die Kosten für dieses Gutachten sollten anteilig nach dem Königsteiner Schlüssel durch die Datenschutzkonferenz getragen werden.
Der DSK-Vorsitz wird gebeten, ein Umlaufverfahren hinsichtlich der Beauftragung eines Gutachtens sowie dessen Finanzierung einzuleiten.
Hamburg ergänzt, dass Stichproben mit Hilfe eines abgestimmten Fragebogens hinsichtlich der Umsetzung des Schrems II-Urteil bei Verantwortlichen durchgeführt werden sollen. Die Aufsichtsbehörden entscheiden einzeln über eine Teilnahme an dieser Abfrage.
TOP 23 – Bericht zur virtuellen „Closed Session“ der Global Privacy Assembly vom 13.-15.10.2020 (ehemals „International Conference of Data Protection and Privacy Commissioners“ bzw. ICDDPC bis 2019)
BfDI berichtet, dass zu den Entschließungen Pressemitteilungen herausgegeben worden seien. Ziel der Global Privacy Assembly sei es, künftig häufiger mit Statements an die Öffentlichkeit zu gehen. BfDI informiert, dass Herr Kelber als Mitglied des Executive Committee der Global Privacy Assembly gewählt worden sei. Die Teilnehmenden sprechen ihren Glückwunsch zur Wahl aus. Über den BfDI können nun Themen besser adressiert werden.
TOP 24 – Lagerung von Patientenakten als „Speicherung“ gem. Art. 4 Nr. 2 DSGVO
Hamburg stellt die Gerichtsentscheidungen und den zugrunde liegenden Fall vor.
Die Datenschutzkonferenz trifft folgende Festlegung einstimmig:
Der AK Grundsatz wird beauftragt, sich ggf. unter Einbeziehung des AK Gesundheit und Soziales mit den in der Anlage „Folgen der „Bürener-Beschlüsse“ (17 E 2756/20 und 5 Bs 152/20)“ dargestellten Fragestellungen zu befassen und der DSK Bericht zu erstatten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 25 – Zwischenbericht zum Einsatz von Workgroup Collaboration Tools und Videokonferenzsystemen in der DSK-Gremienarbeit
Hessen berichtet über den Sachstand der Prüfung, welches Videokonferenzsystem für den Einsatz in der DSK-Gremienarbeit geeignet sei. Die Anforderungen an ein solches System seien definiert, z. B. verschiedene Einwahlmöglichkeiten, Stabilität der Übertragung und Verfügbarkeit etc. Gute Erfahrungen konnten mit dem BDBOS-Tool, das durch verschiedene Arbeitskreise bereits getestet wurde, gesammelt werden. Jedoch kann derzeit nur der BfDI Videokonferenzen über dieses Tool organisieren, wie bspw. die ZASt für die 100. Datenschutzkonferenz. Aufgrund der Anzahl der zu organisierenden Videokonferenzen für die DSK-Gremienarbeit sei ein erhöhter Arbeitsaufwand für den BfDI zu erwarten. Es sollte die Möglichkeit geschaffen werden, dass auch andere Aufsichtsbehörden über das BDBOS-Tool selbstständig Videokonferenzen organisieren können. Der AK Organisation und Struktur wird nach Abschluss der Prüfungen der Datenschutzkonferenz berichten.
Hessen berichtet über den Sachstand der Erarbeitung von Rahmenbedingungen für den Einsatz von Workgroup Collaboration Tools in der DSK-Gremienarbeit. Hierzu seien die technischen Möglichkeiten u. a. vom BSCW-Server sowie Phönix von Dataport analysiert worden. Seitens Dataport bestünde ein 2-monatiges Testangebot, für dessen Durchführung derzeit mit Unterstützung des AK Technik Testszenarien beschrieben würden. Nach Testdurchführung wird eine Empfehlung durch den AK Organisation und Struktur an die Datenschutzkonferenz erfolgen.
Rheinland-Pfalz fragt nach, welche Kosten bei den genannten Tools für die Aufsichtsbehörden entstehen würden. Derzeit sei die Nutzung des BSCW-Servers für die Aufsichtsbehörden wohl kostenfrei. Durch den modularen Aufbau von Phönix seien hier die Kosten gestaffelt, immer abhängig vom genutzten Leistungsumfang. Geschätzt werden die Kosten derzeit auf ca. 15 Euro pro Person. Durch den AK Organisation und Struktur sei noch einmal zu hinterfragen, ob die Kosten tatsächlich pro Person oder evtl. für Nutzerkonten, die für mehrere Personen zugänglich gemacht werden könnten, anfallen würden.
TOP 26 – Bericht der Aufsichtsbehörden zur Verarbeitung personenbezogener Daten bei der Bewältigung der Corona-Pandemie
Bremen informiert über den Bericht bei PANORAMA zur Software „SORMAS“ der Björn Steiger Stiftung. Des Weiteren berichtet Bremen, dass die Gesundheitsämter planen, Call-Center mit der Kontaktnachverfolgung zu beauftragen.
Rheinland-Pfalz berichtet über eine Entscheidung des OVG Koblenz, die die Veröffentlichung von Infektionszahlen einer Gemeinde als zulässig ansehe.
Saarland berichtet, dass das saarländische „Gesetz zur Kontaktnachverfolgung im Rahmen der Corona-Pandemie“ zum 27. November 2020 in Kraft treten werde. Zahlreiche Anregung der Landesbeauftragten für den Datenschutz seien vom Gesetzgeber aufgegriffen worden, insbesondere wurden konkrete technische und organisatorische Vorgaben zur Gewährleistung der Datensicherheit in das Gesetz aufgenommen.
TOP 27 – Bericht des DSK-Vorsitzenden
Der Vorsitzende informiert, dass die Wirtschaftsminister-Konferenz (WMK) nicht am 25. und 26. November 2020 tage, sondern erst am 30. November 2020. Über die Entscheidung der WMK zu den Anträgen aus Niedersachsen und Sachsen zur Zentralisierung der Datenschutzaufsicht für den Markt wird der DSK-Vorsitz im Nachgang informieren.
Der Vorsitzende berichtet über den Austausch der Datenschutzkonferenz mit den spezifischen Aufsichtsbehörden, der per Videokonferenz am 21. Oktober 2020 stattgefunden habe. Das Protokoll sei den Teilnehmenden mit E-Mail vom 24. November 2020 übermittelt worden. Der Beschluss der Datenschutzkonferenz sehe derzeit zwei Treffen zum Austausch mit den spezifischen Aufsichtsbehörden vor. Der Vorsitzende empfiehlt auf Grund der Erfahrungen, künftig den Austausch mit den spezifischen Aufsichtsbehörden nicht zweimal im Jahr als Treffen, sondern ggf. einmal als Bericht über Entwicklungen in der DSK in schriftlicher Form und einmal als Treffen durchzuführen.
Der Vorsitzende berichtet, dass Niedersachsen zum Entwurf eines Staatsvertrages über die Errichtung und den Betrieb des elektronischen Gesundheitsberufsregisters als gemeinsame Stelle der Länder zur Ausgabe elektronischer Heilberufs- und Berufsausweise sowie zur Herausgabe der Komponenten zur Authentifizierung von Leistungserbringerinstitutionen (eGBR- Staatsvertrag) beteiligt wurde. Der DSK-Vorsitz sowie alle anderen Aufsichtsbehörden seien nicht beteiligt worden, dies ergab eine Abfrage durch den DSK-Vorsitz. Thüringen teilt mit, dass eine Abstimmung des eGBR-Staatsvertrages nur zwischen den Gesundheitsministerien der Bundesländer erfolgt sei.
Die Datenschutzkonferenz legt einstimmig fest, die Befassung mit dem eGBR-Staatsvertrag an den AK Gesundheit und Soziales zu überweisen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
lm Rahmen der Vorbereitungen auf den Europäischen Datenschutztag berichtet der Vorsitzende, dass die gemeinsame Veranstaltung mit dem Bundesministerium des Innern, für Bau und Heimat zum Thema „Transborder transfers – Herausforderungen des internationalen Datentransfers aus Sicht der Datenschutzkonvention 108+ und der DSGVO" am 28. Januar 2021 als Online-Veranstaltung stattfinden werde. Die Übertragung wird mehrsprachig erfolgen – Deutsch, Englisch und Französisch. Die Einladungen – ebenfalls in deutscher, englischer und französischer Übersetzung – sollen noch im Dezember versandt werden. Mit dem BMI sei eine beiderseitige Kostenbeteiligung in Höhe von 50% von Gesamtkosten in Höhe von ca. 35.000,00 Euro zzgl. MwSt vereinbart worden. Die Kostenaufteilung innerhalb der DSK erfolgt nach dem Königsteiner Schlüssel.
TOP 28 – Sonstiges
BfDI berichtet über die Entwicklung des Projektes „Polizei 2020“. Ansprechpartner für das BMI sei auf Seiten der Datenschutzkonferenz die AG INPOL (AK Sicherheit). Saarland, Rheinland-Pfalz und Hessen berichten, dass sie in ersten Teilprojekten beteiligt seien.
Der Vorsitzende informiert, dass der Ordner Grundsatzdokument auf dem BSCW-Server neu strukturiert sei. Dieser enthalte nun die Unterordner
- 01_Geschäftsordnung, DSK-interne Abläufe: GO der DSK, ZASt-Konzept, Redaktionsrichtlinie Kurzpapiere,
- 02_Zuständigkeiten, Kontakte: Liste Subgroupvertreter, Übersicht Zuständigkeiten der Aufsichtsbehörden und BfDI über verschiedene Unternehmen
- 03_DSK-Vorlagen: Vorlagen für die Verwendung des DSK-Logos, Briefvorlage etc.
Saarland informiert, dass die 1. Zwischenkonferenz am 27. Januar 2020 als Videokonferenz stattfinden werde.
TOP 29 – Entschließungsentwurf „Verschlüsselung“ (Resolutionsentwurf des Rates der Europäischen Union)
Mecklenburg-Vorpommern führt in den TOP ein und stellt den Entschließungsentwurf vor.
Der Vorsitzende führt aus, dass zum Entschließungsentwurf, der mit der TOP-Anmeldung eingereicht worden sei, zahlreiche Änderungsvorschläge eingebracht worden sind. Hieraufhin habe Mecklenburg-Vorpommern kurzfristig den Entschließungsentwurf konsolidiert. Diese konsolidierte Fassung wurde mit E-Mail vom 24. November 2020 den Teilnehmenden zugesandt und lege somit allen vor.
Auf Grundlage der sich anschließenden Diskussion werden weitere Änderungsvorschläge zum Entschließungsentwurf eingebracht. Die im Ergebnis der Diskussion abgestimmten Änderungen werden in den Entschließungsentwurf eingearbeitet.
Die Datenschutzkonferenz stimmt der vorliegenden geänderten Fassung der Entschließung einstimmig zu.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 30 – Beschluss Windows 10 Enterprise
Der Vorsitzende führt in den TOP ein und stellt das Vorgehen bei der Abstimmung zu den vorliegenden Dokumenten:
- Beschlussentwurf „Telemetriefunktionen und Datenschutz beim Einsatz von Windows 10 Enterprise“
- Anlage 1 – Laborbericht des AK Technik
- Anlage 2 – Untersuchungsergebnisse des BSI
Die Datenschutzkonferenz beschließt einstimmig, dass die Anlagen 1 und 2 in der vorliegenden Fassung Bestandteil des Beschlusses sein werden.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Nach kontroverser Diskussion zum Entwurf des Beschlusstextes werden die einzelnen Abschnitte des Beschlusses einzeln abgestimmt.
Die Einleitung, der Abschnitt – Untersuchungsergebnisse der DSK-Arbeitsgruppe und der Abschnitt – Untersuchungsergebnisse des BSI werden in der vorliegenden Fassung mit folgendem Ergebnis beschlossen:
[16, 1, 0] (Zustimmung, Ablehnung, Enthaltung)
Zum Abschnitt – Konsequenzen für Verantwortliche werden die Absätze einzeln abgestimmt.
Abschnitt 1 wird in der vorliegenden Fassung einstimmig durch die Datenschutzkonferenz beschlossen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Absatz 2 wird in der vorliegenden Fassung einstimmig durch die Datenschutzkonferenz beschlossen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Absatz 3 wird in der vorliegenden Fassung einstimmig durch die Datenschutzkonferenz beschlossen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Absatz 4 wird in der vorliegenden Fassung mit folgendem Ergebnis durch die Datenschutzkonferenz beschlossen:
[15, 1, 1] (Zustimmung, Ablehnung, Enthaltung)
Die Datenschutzkonferenz verabschiedet den Beschluss „Telemetriefunktionen und Datenschutz beim Einsatz von Windows 10 Enterprise“ einstimmig.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 31 – Evaluation des BDSG
Der Vorsitzende führt in den TOP ein und verweist auf das Schreiben des Bundesministerium des Innern, für Bau und Heimat vom 16.11.2020, in dem die Datenschutzaufsichtsbehörden um eine aktive Unterstützung bei der Evaluierung des BDSG gebeten werden. Zentraler Bestandteil des genannten Schreibens sei ein Fragenkatalog, in dem insbesondere zu unterschiedlichen Vorschriften des BDSG um Einschätzung gebeten wird, ob diese sachgerecht, praktikabel und normenklar sind.
Die Datenschutzkonferenz trifft folgende Festlegung einstimmig:
- Der AK Grundsatz wird beauftragt, eine Stellungnahme der DSK zu den im Fragenkatalog des Bundesministeriums des Innern, für Bau und Heimat aufgeworfenen Themen zu erarbeiten.
- Der DSK-Vorsitz wird gebeten, die Beschlussfassung der DSK über die Stellungnahme im Umlaufverfahren herbeizuführen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Die Datenschutzkonferenz verabschiedet den Landesbeauftragten für den Datenschutz Sachsen-Anhalt, Herrn Dr. von Bose nach 15 Jahren aus der Datenschutzkonferenz und dankt ihm für die gute Zusammenarbeit und sein langjähriges Engagement für den Datenschutz.
Schurig
Sächsischer Datenschutzbeauftragter
TOP 1 – Begrüßung und Organisatorisches
Der Vorsitzende begrüßt die Teilnehmenden der 100. Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird, und stellt den geplanten Ablauf der Konferenz dar.
Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer per Video an der Konferenz teilnehmen.
Der ZASt wird für die technische Organisation der Videokonferenz gedankt.
Der Vorsitzende würdigt den 100. Jahrestag der DSK als ein besonderes Ereignis. Er dankt den Anwesenden und deren Mitarbeiterinnen und Mitarbeitern für die geleistete Arbeit und die gute Zusammenarbeit in den vergangenen Jahren.
TOP 2 – Tagesordnung und Protokoll
Zur vorliegenden Tagesordnung stellt Berlin den Antrag, einen TOP 8a „Microsoft Office 365“ aufzunehmen.
Der Antrag wird einstimmig angenommen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Für die nachfolgenden Tagesordnungspunkte wurde auf der Vorkonferenz Einvernehmen hergestellt. Deren Behandlung kann deshalb im verkürzten Verfahren erfolgen.
TOP 4 - Information zu Umlaufverfahren der DSK
TOP 7 - Bericht zur aktuellen Bundesgesetzgebung
TOP 8 - Information über Publikationen der Aufsichtsbehörden
TOP 15 - Bewertung der Eigenschaft "spezifische Aufsichtsbehörde" gegenüber einer Religionsgemeinschaft und unter welchen Bedingungen diese ggf. revidiert werden kann
TOP 17 - Auswirkungen des „Brexit“
TOP 19 - Evaluationsbericht zum ZASt-Konzept
TOP 20 - Weiterer Umgang mit Ziffer 3 der Festlegung zu TOP 24 der 97. DSK: Vereinheitlichung von Publikationsformaten
Der Vorsitzende dankt dem AK Organisation und Struktur sowie der ZASt für die geleistete Arbeit bei der Erstellung des Evaluationsberichts und den Änderungsvorschlägen zum ZASt- Konzept.
Die Konferenz nimmt die Ergebnisse der Vorkonferenz zu den o. g. Tagesordnungspunkten ohne weitere Aussprache an.
TOP 3 – Grußworte
Der Vorsitzende dankt dem Ministerpräsidenten des Freistaates Sachsen Herrn Michael Kretschmer für sein Grußwort zur Jubiläumskonferenz, die per Videogrußbotschaft übermittelt wurde.
TOP 4 – Information zu Umlaufverfahren der DSK
Die aktuell vorliegende Übersicht der Umlaufverfahren in 2020 (Stand: 20. November 2020) wurde durch die Konferenz zustimmend zur Kenntnis genommen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 5 – Bericht aus dem Europäischen Datenschutzausschuss (EDSA)
Der BfDI berichtet aus dem EDSA zu folgenden Themen:
- Internationale Zusammenarbeit - GPA - Application Executive Committee
Guidelines 09/2020 zum Konzept relevanter und begründeter Einwände - Empfehlung zu Maßnahmen zur Ergänzung von Übertragungsinstrumenten zur Gewährleistung der Einhaltung des EU-Schutzniveaus für personenbezogene Daten
- Artikel 64 DSGVO - Stellungnahme zu den Garantien, die in Vertragsklauseln für Übertragungen eines Verarbeiters an einen für die Verarbeitung Verantwortlichen außerhalb des EWR aufzunehmen sind, der der DSGVO gemäß Artikel 3.2 (Art. 46.3 (a) DSGVO) unterliegt
- Leitlinien zu Artikel 25 DSGVO - Datenschutz durch Design und Standard (nach öffentlicher Konsultation)
- Leitlinien zu Artikel 65 DSGVO – Verfahren, Formulare für Anträge
- Verfahren nach Artikel 65 – Twitter.
Hamburg ergänzt insbesondere zum Verfahren nach Artikel 65 zu Twitter, dies sei das erste Verfahren seiner Art in der Zusammenarbeit auf EU-Ebene. Hamburg empfiehlt allen Teilnehmenden, sich mit der vorliegenden Entscheidung auseinander zu setzen, und dankt allen Aufsichtsbehörden, die Hamburg in diesem Verfahren unterstützt haben. Vom Ausgang des Verfahrens sei Hamburg enttäuscht, in der Abstimmung habe sich Hamburg deutlich gegen die Entscheidung ausgesprochen. Hamburg prüfe das weitere Vorgehen.
TOP 6 – Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden
Die ZASt dankt im Vorgriff auf TOP 19 allen, die bei der Evaluierung des ZASt-Konzeptes und der Erstellung des Evaluationsberichtes mitgewirkt haben, insbesondere dem AK Organisation und Struktur.
Der Sachstandsbericht zur Arbeit der ZASt sowie die Übersicht der im IMI-System eingeleiteten Verfahren unter Beteiligung der deutschen Aufsichtsbehörden mit Stand 5. November 2020 wurden den Teilnehmenden mit Mail vom 6. November 2020 zugesandt.
Die ZASt bittet die Aufsichtsbehörden, bei Beteiligung in laufenden, insbesondere schriftlichen Verfahren Confluence zu nutzen und eigene Positionen ggf. unter Einbindung der jeweiligen Subroupvertretungen frühzeitig einzubringen. Des Weiteren bittet die ZASt vor Veröffentlichung von Entscheidungen aus dem EDSA, mit Blick auf die Vertraulichkeit deren Verfahrensstand zu beachten und in Zweifelsfällen ggfs. vor Veröffentlichung Rücksprache mit der ZASt bzw. dem gemeinsamen Vertreter zu nehmen. Eine Veröffentlichung von Infor mationen ist jedenfalls zu dem Zeitpunkt unkritisch, sobald diese auf der Webseite des EDSA erscheinen.
Um mehr Transparenz in der Nachvollziehung von Entscheidungen zu erlangen, bittet Hamburg das Abstimmungsverhalten der Aufsichtsbehörden in die Ergebnismitteilungen zu den durchgeführten schriftlichen Verfahren aufzunehmen. Die ZASt sagt zu, dies in den künftigen Mitteilungen zu berücksichtigen.
Der BfDI bittet hinsichtlich seiner Rolle als gemeinsamer Vertreter und der Rolle des künftigen Stellvertreters um vorherige Information und Einbindung, sofern eine Aufsichtsbehörde beabsichtigt, einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf einer federführenden Aufsichtsbehörde einzulegen.
Der Vorsitzende dankt der ZASt für ihre Arbeit.
TOP 7 – Bericht zur aktuellen Bundesgesetzgebung
Die Übersicht des BfDI zur aktuellen Bundesgesetzgebung wurde den Teilnehmenden mit Schreiben vom 16. November 2020 zugesandt und wird zur Kenntnis genommen.
TOP 8 – Information über Publikationen der Aufsichtsbehörde
Eine aktuelle Übersicht der Publikationen der Aufsichtsbehörden wurde den Teilnehmenden mit E-Mail vom 24. November 2020 zur Verfügung gestellt.
Die Publikationsübersicht soll auf der Webseite der Konferenz veröffentlicht werden.
Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 8a – Microsoft Office 365
Brandenburg und Bayern berichten aus der Arbeitsgruppe, die entsprechend der Festlegung zu TOP 9 der 3. Zwischenkonferenz gebildet wurde, über den aktuellen Sachstand. Der Auftrag an die Arbeitsgruppe umfasst die Aufnahme von Gesprächen mit dem Hersteller, um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen. Microsoft wurde gebeten, bis zum Ende der 47. KW zu den offenen Fragen Stellung zu nehmen. Microsoft hat am 20. November 2020 um Fristverlängerung gebeten. Ein Gespräch soll noch vor Weihnachten stattfinden.
Baden-Württemberg wird gebeten, über die Begleitung eines Pilotprojektes des Kultusministeriums Baden-Württembergs zur Nutzung von MS Office 365 an Schulen zu berichten. Baden-Württemberg informiert die Teilnehmenden über den Stand des Vorhabens und die im Rahmen dieses Projektes geführten Gespräche mit Microsoft.
Die Teilnehmenden diskutieren das weitere Vorgehen sowie den Umgang mit Microsoft kontrovers. Die Arbeitsgruppe wird über die Gesprächsergebnisse mit Microsoft berichten.
TOP 9 – Gesetzliche Ausgestaltung der TK-Bestandsdatenauskunft
Schleswig-Holstein dankt dem AK Sicherheit für die geleistete Arbeit und stellt den Entschließungsentwurf „Auskunftsverfahren für Sicherheitsbehörden und Nachrichtendienste verfassungskonform ausgestalten“ vor.
Die Konferenz verabschiedet die vorliegende Entschließung einstimmig.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 10 – Umsetzung der ePrivacy-RL
Hamburg stellt die Entschließung „Betreiber von Webseiten benötigen Rechtssicherheit - Bundesgesetzgeber muss europarechtliche Verpflichtungen der „Cookie-Richtlinie“ endlich erfüllen“ vor.
Die Konferenz verabschiedet die Entschließung einstimmig.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 11 – Technische Datenschutzanforderungen an Messenger-Dienste im Kranken- hausbereich
BfDI berichtet, dass die Abstimmung des Whitepapers im AK Technik und AK Gesundheit und Soziales noch nicht abgeschlossen sei und schlägt vor, nach Abschluss der Abstimmung das Papier im Umlaufverfahren zu verabschieden.
Rheinland-Pfalz befürwortet den Aufbau eines zentralen Messenger-Dienstes und schlägt vor, das Whitepaper nach Abstimmung mit einem Anschreiben direkt an das Bundesministerium zu senden.
TOP 12 – Anforderungen an Prüfkriterien von Zertifizierungsstellen
Schleswig-Holstein führt in den TOP ein. Das Dokument „Anforderungen an Zertifizierungsprogramme“, das durch den UAK Prüfkriterien erarbeitet werde, befinde sich derzeit aktuell in der Abstimmung im AK Zertifizierung. Es sei geplant, den Kriterienkatalog zur 1. Zwischenkonferenz 2021 vorzulegen. Die nächste Sitzung des UAK Prüfkriterien hierzu würde kommende Woche stattfinden.
Die Datenschutzkonferenz trifft folgende Festlegung einstimmig:
- Die DSK nimmt zur Kenntnis, dass der AK Zertifizierung bzw. dessen UAK Prüfkriterien ein Dokument „Anforderungen an Zertifizierungsprogramme“ erstellt. Es soll den Datenschutzaufsichtsbehörden für die eigene Bewertung von eingereichten Kriterienkatalogen dienen.
- Die DSK nimmt zur Kenntnis, dass sich dieses Dokument aktuell in der Abstimmung im AK Zertifizierung befindet und geplant ist, es zur nächsten DSK-Sitzung vorzulegen. Die Datenschutzaufsichtsbehörden unterstützen den AK im Rahmen ihrer Möglichkeiten bei der Überarbeitung und Abstimmung der Inhalte des Dokuments, auch aufgrund der steigenden Anzahl an Anträgen auf Genehmigung von Kriterienkatalogen bei den Datenschutzaufsichtsbehörden.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 13 – Anwendung der DSGVO auf Datenverarbeitungen von Parlamenten
BfDI berichtet zum TOP. Die beiden Schreiben der Konferenz der Landtagsdirektoren vom Oktober 2020 und vom 18. November 2020 liegen den Teilnehmenden vor.
Die Anwendbarkeit der DSGVO auf Datenverarbeitungen von Parlamenten wird diskutiert und die Teilnehmenden tauschen ihre Meinungen zum Thema aus.
TOP 14 – Rahmenbedingungen für aufsichtsbehördliche Produktwarnungen
BfDI führt in den TOP ein und dankt insbesondere Bayern für die Mitwirkung bei der Erstellung des Zwischenberichts. Durch den DSK-Vorsitz erfolgte mit E-Mail vom 12. November 2020 eine Abfrage, welche konkreten Fragen durch den AK Grundsatz noch diskutiert werden sollten. Die eingegangen Rückmeldungen wurden in einem Fragenkatalog zusammengefasst und den Teilnehmenden mit E-Mail vom 19. November zugesandt.
Die Datenschutzkonferenz trifft folgende Festlegung einstimmig:
- Die DSK nimmt den Zwischenbericht des AK Grundsatz zu den Rahmenbedingungen für aufsichtsbehördliche Produktwarnungen zur Kenntnis.
- Der Zwischenbericht wird an den AK Grundsatz zurückverwiesen und ein Anschlussauftrag zur Klärung noch offener Fragen entsprechend dem als Anlage beigefügten Fragenkatalog bis zur 101. Konferenz erteilt.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 15 – Bewertung der Eigenschaft "spezifische Aufsichtsbehörde" gegenüber einer Religionsgemeinschaft und unter welchen Bedingungen diese ggf. revidiert werden kann
Der DSK-Vorsitz hat die geführte Liste über die spezifischen Aufsichtsbehörden zur Aktualisierung an alle Aufsichtsbehörden mit E-Mail vom 12. November 2020 übersandt. Die Aufsichtsbehörden wurden gebeten, ggfs. Änderungen bzw. Ergänzungen bis zum 26. November 2020 zu zuarbeiten.
TOP 16 – Stellvertretung des gemeinsamen Vertreters im EDSA; Wahl gem. § 17 (1) BDSG; Vorschlagsrecht der DSK
Hamburg informiert die Teilnehmenden, dass Hamburg ab Frühjahr 2021 die Stellvertretung des gemeinsamen Vertreters im EDSA nicht mehr wahrnehmen werde und regt an, den anstehenden Wechsel dem Bundesrat zu signalisieren.
Der Vorsitzende dankt Hamburg für das hohe Engagement und die geleistete Arbeit, die mit einer hohen Arbeitsbelastung verbunden gewesen sei.
Der DSK-Vorsitz wird gebeten, ein Schreiben an den Bundesrat vorzubereiten.
TOP 17 – Auswirkungen des „Brexit“ (vorsorglich)
Der Vorsitzende erläutert die Hintergründe der vorsorglichen TOP-Anmeldung. Sachsen und Rheinland-Pfalz werden eine Äußerung der DSK im Falle eines ungeregelten Brexit vorbereiten.
TOP 18 – Sachstandsbericht aus dem AK DSK 2.0
Der Vorsitzende berichtet aus der 1. Sitzung des AK DSK 2.0. Des Weiteren berichteten drei Unterarbeitsgruppen über erste Überlegungen und Arbeitsschritte zu einzelnen Themen, wie u. a. zur Verbindlichkeit von Mehrheitsentscheidungen in der DSK; Verständnis der DSK als europäischer Player sowie mutigere und schnellere Positionierung zu Datenschutzfragen durch die DSK.
Der Vorsitzende weist daraufhin, dass die nächste Sitzung des AK DSK 2.0 am 15./16. Dezember 2020 auf Grund der coronabedingten Rahmenbedingungen nicht als Präsenzveranstaltung durchgeführt werden könne. Alternativ schlägt der Vorsitzende vor, die Sitzung als Videokonferenz durchzuführen oder die Sitzung terminlich in den Januar/Februar 2021 zu verlegen. Die Teilnehmenden sprechen sich einstimmig für eine Präsenzveranstaltung aus. Der Vorsitzende wird gebeten, einen neuen Terminvorschlag mit den Teilnehmenden abzustimmen.
Da im Beschluss zur Einsetzung des Arbeitskreises die Frage des Vorsitzes nicht eindeutig geregelt war, stimmt die Konferenz dem Vorschlag zu, dass Sachsen dies übernimmt.
TOP 19 – Evaluationsbericht zum ZASt-Konzept
Hessen stellt den Evaluierungsbericht zum ZASt-Konzept und die vorgeschlagenen Änderungen vor. Es wird festgestellt, dass sich das ZASt-Konzept in der Zusammenarbeit zwischen ZASt und Aufsichtsbehörden bewährt habe. Die vorgeschlagenen Änderungen stellen lediglich den in der praktischen Zusammenarbeit erreichten Stand dar. Weitere Änderungen des ZASt-Konzeptes oder Anpassungen des Evaluierungsberichts werden nicht vorgetragen.
Der Vorsitzende dankt dem AK Organisation und Struktur sowie insbesondere auch der ZASt für die geleistete Arbeit.
Die Datenschutzkonferenz stimmt dem Evaluierungsbericht, den Änderungen des ZASt-Konzeptes sowie der Aufnahme des Anlagenkonvoluts einstimmig zu.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 20 – Weiterer Umgang mit Ziffer 3 der Festlegung zu TOP 24 der 97. DSK: Vereinheitlichung von Publikationsformaten
Der Vorsitzende stellt den TOP vor. Der DSK-Vorsitz wird einstimmig gebeten, mit der Themenliste an die AK-Vorsitzenden heranzutreten und abzufragen,
- ob die in der Liste enthaltenen Themen noch aktuell sind, Papiere hierzu erarbeitet werden oder aus welchen Gründen Themen gestrichen werden können,
- wie die verbleibenden Themen priorisiert werden und, daraus abgeleitet, in welchem Zeithorizont der AK die Vorlage von Ergebnissen anstrebe.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 21 – Anfrage der Redaktion netzpolitik.org „Regelmäßige Veröffentlichung von DSGVO-Kennzahlen“ vom 26. Mai 2020
Der Vorsitzende erläutert die Anfrage von netzpolitik.org. Es stelle sich allgemein die Frage, ob die Datenschutzkonferenz gemeinsame Kennzahlen veröffentlichen sollte. Derzeit würden die Kennzahlen in den Tätigkeitsberichten der einzelnen Aufsichtsbehörden veröffentlicht.
Die Teilnehmenden diskutieren die Möglichkeiten und den damit verbundenen Arbeitsaufwand, um eine gemeinsame Berichterstattung der Aufsichtsbehörden umsetzen zu können.
Die Datenschutzkonferenz bittet den DSK-Vorsitz die Anfrage von netzpolitik.org abschlägig zu bescheiden.
[16, 1, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 22 – Bericht der Task Force „Schrems II“
Berlin führt in den TOP ein. Die Task Force habe bisher einmal getagt und habe den Aufgabenbereich definiert. Der Europäische Datenschutzausschuss habe das Dokument „Häufig gestellte Fragen“ zum Urteil des EuGH in der Rechtssache C-311/18 (Schrems II) veröffentlicht.
Berlin bittet um Unterstützung bei der Erarbeitung von Vorschlägen für ein gemeinsames Vorgehen der deutschen Aufsichtsbehörden zur Umsetzung des EuGH-Urteils „Schrems II“. Es wird vorgeschlagen, hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen. Die Kosten für dieses Gutachten sollten anteilig nach dem Königsteiner Schlüssel durch die Datenschutzkonferenz getragen werden.
Der DSK-Vorsitz wird gebeten, ein Umlaufverfahren hinsichtlich der Beauftragung eines Gutachtens sowie dessen Finanzierung einzuleiten.
Hamburg ergänzt, dass Stichproben mit Hilfe eines abgestimmten Fragebogens hinsichtlich der Umsetzung des Schrems II-Urteil bei Verantwortlichen durchgeführt werden sollen. Die Aufsichtsbehörden entscheiden einzeln über eine Teilnahme an dieser Abfrage.
TOP 23 – Bericht zur virtuellen „Closed Session“ der Global Privacy Assembly vom 13.-15.10.2020 (ehemals „International Conference of Data Protection and Privacy Commissioners“ bzw. ICDDPC bis 2019)
BfDI berichtet, dass zu den Entschließungen Pressemitteilungen herausgegeben worden seien. Ziel der Global Privacy Assembly sei es, künftig häufiger mit Statements an die Öffentlichkeit zu gehen. BfDI informiert, dass Herr Kelber als Mitglied des Executive Committee der Global Privacy Assembly gewählt worden sei. Die Teilnehmenden sprechen ihren Glückwunsch zur Wahl aus. Über den BfDI können nun Themen besser adressiert werden.
TOP 24 – Lagerung von Patientenakten als „Speicherung“ gem. Art. 4 Nr. 2 DSGVO
Hamburg stellt die Gerichtsentscheidungen und den zugrunde liegenden Fall vor.
Die Datenschutzkonferenz trifft folgende Festlegung einstimmig:
Der AK Grundsatz wird beauftragt, sich ggf. unter Einbeziehung des AK Gesundheit und Soziales mit den in der Anlage „Folgen der „Bürener-Beschlüsse“ (17 E 2756/20 und 5 Bs 152/20)“ dargestellten Fragestellungen zu befassen und der DSK Bericht zu erstatten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 25 – Zwischenbericht zum Einsatz von Workgroup Collaboration Tools und Videokonferenzsystemen in der DSK-Gremienarbeit
Hessen berichtet über den Sachstand der Prüfung, welches Videokonferenzsystem für den Einsatz in der DSK-Gremienarbeit geeignet sei. Die Anforderungen an ein solches System seien definiert, z. B. verschiedene Einwahlmöglichkeiten, Stabilität der Übertragung und Verfügbarkeit etc. Gute Erfahrungen konnten mit dem BDBOS-Tool, das durch verschiedene Arbeitskreise bereits getestet wurde, gesammelt werden. Jedoch kann derzeit nur der BfDI Videokonferenzen über dieses Tool organisieren, wie bspw. die ZASt für die 100. Datenschutzkonferenz. Aufgrund der Anzahl der zu organisierenden Videokonferenzen für die DSK-Gremienarbeit sei ein erhöhter Arbeitsaufwand für den BfDI zu erwarten. Es sollte die Möglichkeit geschaffen werden, dass auch andere Aufsichtsbehörden über das BDBOS-Tool selbstständig Videokonferenzen organisieren können. Der AK Organisation und Struktur wird nach Abschluss der Prüfungen der Datenschutzkonferenz berichten.
Hessen berichtet über den Sachstand der Erarbeitung von Rahmenbedingungen für den Einsatz von Workgroup Collaboration Tools in der DSK-Gremienarbeit. Hierzu seien die technischen Möglichkeiten u. a. vom BSCW-Server sowie Phönix von Dataport analysiert worden. Seitens Dataport bestünde ein 2-monatiges Testangebot, für dessen Durchführung derzeit mit Unterstützung des AK Technik Testszenarien beschrieben würden. Nach Testdurchführung wird eine Empfehlung durch den AK Organisation und Struktur an die Datenschutzkonferenz erfolgen.
Rheinland-Pfalz fragt nach, welche Kosten bei den genannten Tools für die Aufsichtsbehörden entstehen würden. Derzeit sei die Nutzung des BSCW-Servers für die Aufsichtsbehörden wohl kostenfrei. Durch den modularen Aufbau von Phönix seien hier die Kosten gestaffelt, immer abhängig vom genutzten Leistungsumfang. Geschätzt werden die Kosten derzeit auf ca. 15 Euro pro Person. Durch den AK Organisation und Struktur sei noch einmal zu hinterfragen, ob die Kosten tatsächlich pro Person oder evtl. für Nutzerkonten, die für mehrere Personen zugänglich gemacht werden könnten, anfallen würden.
TOP 26 – Bericht der Aufsichtsbehörden zur Verarbeitung personenbezogener Daten bei der Bewältigung der Corona-Pandemie
Bremen informiert über den Bericht bei PANORAMA zur Software „SORMAS“ der Björn Steiger Stiftung. Des Weiteren berichtet Bremen, dass die Gesundheitsämter planen, Call-Center mit der Kontaktnachverfolgung zu beauftragen.
Rheinland-Pfalz berichtet über eine Entscheidung des OVG Koblenz, die die Veröffentlichung von Infektionszahlen einer Gemeinde als zulässig ansehe.
Saarland berichtet, dass das saarländische „Gesetz zur Kontaktnachverfolgung im Rahmen der Corona-Pandemie“ zum 27. November 2020 in Kraft treten werde. Zahlreiche Anregung der Landesbeauftragten für den Datenschutz seien vom Gesetzgeber aufgegriffen worden, insbesondere wurden konkrete technische und organisatorische Vorgaben zur Gewährleistung der Datensicherheit in das Gesetz aufgenommen.
TOP 27 – Bericht des DSK-Vorsitzenden
Der Vorsitzende informiert, dass die Wirtschaftsminister-Konferenz (WMK) nicht am 25. und 26. November 2020 tage, sondern erst am 30. November 2020. Über die Entscheidung der WMK zu den Anträgen aus Niedersachsen und Sachsen zur Zentralisierung der Datenschutzaufsicht für den Markt wird der DSK-Vorsitz im Nachgang informieren.
Der Vorsitzende berichtet über den Austausch der Datenschutzkonferenz mit den spezifischen Aufsichtsbehörden, der per Videokonferenz am 21. Oktober 2020 stattgefunden habe. Das Protokoll sei den Teilnehmenden mit E-Mail vom 24. November 2020 übermittelt worden. Der Beschluss der Datenschutzkonferenz sehe derzeit zwei Treffen zum Austausch mit den spezifischen Aufsichtsbehörden vor. Der Vorsitzende empfiehlt auf Grund der Erfahrungen, künftig den Austausch mit den spezifischen Aufsichtsbehörden nicht zweimal im Jahr als Treffen, sondern ggf. einmal als Bericht über Entwicklungen in der DSK in schriftlicher Form und einmal als Treffen durchzuführen.
Der Vorsitzende berichtet, dass Niedersachsen zum Entwurf eines Staatsvertrages über die Errichtung und den Betrieb des elektronischen Gesundheitsberufsregisters als gemeinsame Stelle der Länder zur Ausgabe elektronischer Heilberufs- und Berufsausweise sowie zur Herausgabe der Komponenten zur Authentifizierung von Leistungserbringerinstitutionen (eGBR- Staatsvertrag) beteiligt wurde. Der DSK-Vorsitz sowie alle anderen Aufsichtsbehörden seien nicht beteiligt worden, dies ergab eine Abfrage durch den DSK-Vorsitz. Thüringen teilt mit, dass eine Abstimmung des eGBR-Staatsvertrages nur zwischen den Gesundheitsministerien der Bundesländer erfolgt sei.
Die Datenschutzkonferenz legt einstimmig fest, die Befassung mit dem eGBR-Staatsvertrag an den AK Gesundheit und Soziales zu überweisen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
lm Rahmen der Vorbereitungen auf den Europäischen Datenschutztag berichtet der Vorsitzende, dass die gemeinsame Veranstaltung mit dem Bundesministerium des Innern, für Bau und Heimat zum Thema „Transborder transfers – Herausforderungen des internationalen Datentransfers aus Sicht der Datenschutzkonvention 108+ und der DSGVO" am 28. Januar 2021 als Online-Veranstaltung stattfinden werde. Die Übertragung wird mehrsprachig erfolgen – Deutsch, Englisch und Französisch. Die Einladungen – ebenfalls in deutscher, englischer und französischer Übersetzung – sollen noch im Dezember versandt werden. Mit dem BMI sei eine beiderseitige Kostenbeteiligung in Höhe von 50% von Gesamtkosten in Höhe von ca. 35.000,00 Euro zzgl. MwSt vereinbart worden. Die Kostenaufteilung innerhalb der DSK erfolgt nach dem Königsteiner Schlüssel.
TOP 28 – Sonstiges
BfDI berichtet über die Entwicklung des Projektes „Polizei 2020“. Ansprechpartner für das BMI sei auf Seiten der Datenschutzkonferenz die AG INPOL (AK Sicherheit). Saarland, Rheinland-Pfalz und Hessen berichten, dass sie in ersten Teilprojekten beteiligt seien.
Der Vorsitzende informiert, dass der Ordner Grundsatzdokument auf dem BSCW-Server neu strukturiert sei. Dieser enthalte nun die Unterordner
- 01_Geschäftsordnung, DSK-interne Abläufe: GO der DSK, ZASt-Konzept, Redaktionsrichtlinie Kurzpapiere,
- 02_Zuständigkeiten, Kontakte: Liste Subgroupvertreter, Übersicht Zuständigkeiten der Aufsichtsbehörden und BfDI über verschiedene Unternehmen
- 03_DSK-Vorlagen: Vorlagen für die Verwendung des DSK-Logos, Briefvorlage etc.
Saarland informiert, dass die 1. Zwischenkonferenz am 27. Januar 2020 als Videokonferenz stattfinden werde.
TOP 29 – Entschließungsentwurf „Verschlüsselung“ (Resolutionsentwurf des Rates der Europäischen Union)
Mecklenburg-Vorpommern führt in den TOP ein und stellt den Entschließungsentwurf vor.
Der Vorsitzende führt aus, dass zum Entschließungsentwurf, der mit der TOP-Anmeldung eingereicht worden sei, zahlreiche Änderungsvorschläge eingebracht worden sind. Hieraufhin habe Mecklenburg-Vorpommern kurzfristig den Entschließungsentwurf konsolidiert. Diese konsolidierte Fassung wurde mit E-Mail vom 24. November 2020 den Teilnehmenden zugesandt und lege somit allen vor.
Auf Grundlage der sich anschließenden Diskussion werden weitere Änderungsvorschläge zum Entschließungsentwurf eingebracht. Die im Ergebnis der Diskussion abgestimmten Änderungen werden in den Entschließungsentwurf eingearbeitet.
Die Datenschutzkonferenz stimmt der vorliegenden geänderten Fassung der Entschließung einstimmig zu.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 30 – Beschluss Windows 10 Enterprise
Der Vorsitzende führt in den TOP ein und stellt das Vorgehen bei der Abstimmung zu den vorliegenden Dokumenten:
- Beschlussentwurf „Telemetriefunktionen und Datenschutz beim Einsatz von Windows 10 Enterprise“
- Anlage 1 – Laborbericht des AK Technik
- Anlage 2 – Untersuchungsergebnisse des BSI
Die Datenschutzkonferenz beschließt einstimmig, dass die Anlagen 1 und 2 in der vorliegenden Fassung Bestandteil des Beschlusses sein werden.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Nach kontroverser Diskussion zum Entwurf des Beschlusstextes werden die einzelnen Abschnitte des Beschlusses einzeln abgestimmt.
Die Einleitung, der Abschnitt – Untersuchungsergebnisse der DSK-Arbeitsgruppe und der Abschnitt – Untersuchungsergebnisse des BSI werden in der vorliegenden Fassung mit folgendem Ergebnis beschlossen:
[16, 1, 0] (Zustimmung, Ablehnung, Enthaltung)
Zum Abschnitt – Konsequenzen für Verantwortliche werden die Absätze einzeln abgestimmt.
Abschnitt 1 wird in der vorliegenden Fassung einstimmig durch die Datenschutzkonferenz beschlossen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Absatz 2 wird in der vorliegenden Fassung einstimmig durch die Datenschutzkonferenz beschlossen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Absatz 3 wird in der vorliegenden Fassung einstimmig durch die Datenschutzkonferenz beschlossen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Absatz 4 wird in der vorliegenden Fassung mit folgendem Ergebnis durch die Datenschutzkonferenz beschlossen:
[15, 1, 1] (Zustimmung, Ablehnung, Enthaltung)
Die Datenschutzkonferenz verabschiedet den Beschluss „Telemetriefunktionen und Datenschutz beim Einsatz von Windows 10 Enterprise“ einstimmig.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 31 – Evaluation des BDSG
Der Vorsitzende führt in den TOP ein und verweist auf das Schreiben des Bundesministerium des Innern, für Bau und Heimat vom 16.11.2020, in dem die Datenschutzaufsichtsbehörden um eine aktive Unterstützung bei der Evaluierung des BDSG gebeten werden. Zentraler Bestandteil des genannten Schreibens sei ein Fragenkatalog, in dem insbesondere zu unterschiedlichen Vorschriften des BDSG um Einschätzung gebeten wird, ob diese sachgerecht, praktikabel und normenklar sind.
Die Datenschutzkonferenz trifft folgende Festlegung einstimmig:
- Der AK Grundsatz wird beauftragt, eine Stellungnahme der DSK zu den im Fragenkatalog des Bundesministeriums des Innern, für Bau und Heimat aufgeworfenen Themen zu erarbeiten.
- Der DSK-Vorsitz wird gebeten, die Beschlussfassung der DSK über die Stellungnahme im Umlaufverfahren herbeizuführen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Die Datenschutzkonferenz verabschiedet den Landesbeauftragten für den Datenschutz Sachsen-Anhalt, Herrn Dr. von Bose nach 15 Jahren aus der Datenschutzkonferenz und dankt ihm für die gute Zusammenarbeit und sein langjähriges Engagement für den Datenschutz.
Schurig
Sächsischer Datenschutzbeauftragter