Protokoll der 102. Konferenz am 24. und 25. November 2021
TOP 01 Begrüßung und Organisatorisches
Die Vorsitzende begrüßt die Teilnehmenden zur 102. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird, und stellt den geplanten Ablauf der Videokonferenz dar.
Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer per Video an der Konferenz teilnehmen.
Die Vorsitzende begrüßt insbesondere Herrn Fuchs, der zum 1. November 2021 sein Amt als Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit angetreten hat.
TOP 02 Tagesordnung und Protokoll
Die Vorsitzende stellt die Tagesordnung für die 102. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vor. Die finale Fassung wurde am 22. November 2021 versandt.
Hamburg bittet darum, unter dem TOP „Sonstiges“ die Orientierungshilfe Telemedien und das Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) zu behandeln.
Die Vorsitzende weist auf den Nachtrag aus Nordrhein-Westfalen zu Microsoft 365 aus dem letzten Jour Fixe hin; dieser Punkt soll ebenfalls unter „Sonstiges“ behandelt werden.
Brandenburg bittet darum, TOP 10 erst am zweiten Sitzungstag aufzurufen.
Die Vorsitzende weist darauf hin, dass zu TOP 15 ursprünglich die Verabschiedung einer Entschließung vorgesehen war.
Die Teilnehmenden verständigen sich jedoch darauf, dass auf Grund der aktuellen gesetzlichen Neuerungen eine Entschließung in der geplanten Form nicht mehr sinnvoll ist. Ein Austausch zum Thema soll aber dennoch erfolgen.
Die Konferenz nimmt die Tageordnung einstimmig in der so angepassten Form an.
Für den nachfolgenden Tagesordnungspunkt wurde auf der Vorkonferenz Einvernehmen hergestellt, so dass seine Behandlung im verkürzten Verfahren erfolgen kann:
- TOP 08 – Auswirkungen der Entscheidung des Europäischen Gerichtshofes (EuGH) vom 15. Juni 2021 (Rs. C-645/19)
Die Konferenz nimmt das Ergebnis der Vorkonferenz zu diesem TOP zur Kenntnis.
Über das Protokoll der 3. Zwischenkonferenz wurde im Umlaufverfahren abgestimmt. Das Protokoll ist auf der DSK-Homepage veröffentlicht.
TOP 03 Informationen zu Umlaufverfahren
Die Konferenz nimmt die am 22. November 2021 versandte Übersicht über die durchgeführten Umlaufverfahren zur Kenntnis. Seit der letzten Zwischenkonferenz wurden drei Umlaufverfahren abgeschlossen.
TOP 04 Bericht aus dem Europäischen Datenschutzausschuss
Die Vorsitzende führt in den TOP ein und teilt mit, dass der EDSA seit der letzten Zwischenkonferenz dreimal getagt hat. Sie übergibt dann an die Berichterstatter BfDI und Bayern (LfD).
BfDI berichtet aus den drei Treffen des Ausschusses. Schwerpunkte bei der Sitzung am 24. September 2021 waren die Stellungnahme zum Angemessenheitsbeschluss bezüglich Südkorea und die Beratung über die Einsetzung einer Task Force, welche die Zusammenarbeit bei den Beschwerden von NOYB zur Frage der Cookie-Banner koordinieren soll. Bei der zweiten Sitzung hat sich der EDSA mit den Leitlinien für Einschränkungen der Betroffenenrechte nach Art. 23 DSGVO befasst und Maßnahmen zu cloudbasierten Diensten im öffentlichen Sektor beschlossen; zu Letzterem ist für Ende des Jahres eine Pressemitteilung geplant. Schwerpunkte bei der Sitzung am 18. November 2021 waren die Leitlinien zum Zusammenspiel zwischen Art. 3 und Kapitel V der DSGVO und die internen Leitlinien zur Gütlichen Einigung. Zudem gab es einen weiteren Vorschlag zum koordinierten Vorgehen bezüglich der NOYB-Beschwerden.
Bayern (LfD) ergänzt, dass der Vorsitz des EDSA Nordrhein-Westfalen sehr dankbar gewesen sei für das Einspringen bei der Bewertung des Papiers zu Südkorea. Mit dem Verhandlungsergebnis der Sitzung vom 18. November könne man zufrieden sein, zumal auch die Bedenken insbesondere aus Berlin wahrgenommen wurden. Noch zu erwähnen sei, dass die Task Force für die NOYB-Beschwerden einen Musterbescheid erstellt hat, der allerdings nicht die erforderliche Mehrheit erreicht hat, um als einheitliche Grundlage angenommen zu werden.
Bayern (LDA) weist darauf hin, dass an den Leitlinien zum Zusammenspiel zwischen Art. 3 und Kapitel V der DSGVO im Drafting Team noch weiter gearbeitet wird und die zum Teil aus Deutschland geäußerten Bedenken dabei berücksichtigt werden sollen.
Rheinland-Pfalz berichtet von Schwierigkeiten bei der Zusammenarbeit mit anderen europäischen Aufsichtsbehörden. Demnach erfolge für zuständigkeitshalber dorthin abgegebene Beschwerden häufig keine Rückmeldung über die weitere Behandlung. Sollten andere deutsche Aufsichtsbehörden vergleichbare Erfahrungen gemacht haben, wäre es wünschenswert, dass die beiden Vertreter im EDSA dies an passender Stelle vorbringen.
Berlin und Hessen berichten von ähnlichen Problemen.
BfDI bietet an, dass die Aufsichtsbehörden ihm mitteilen, bei welchen europäischen Behörden sich die Schwierigkeiten häufen, so dass er diese bei einer Präsenzsitzung des EDSA konkret ansprechen kann.
Die Vorsitzende bedankt sich bei den Berichterstattern und schließt den TOP ab.
TOP 05 Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden
Der Bericht der ZASt vom 5. November 2021 sowie die Übersicht der im IMI-System eingeleiteten Verfahren unter Beteiligung der deutschen Aufsichtsbehörden mit Stand 4. November 2021 wurden den Teilnehmenden mit E-Mail vom 5. November 2021 zugesandt. Der Vertreter der ZASt erläutert die Inhalte des Berichts. Dabei hebt er positiv hervor, dass es bei Abstimmungen zu gemeinsamen Standpunkten immer besser gelingt, Einvernehmen herzustellen. Die Zusammenarbeit im Rahmen von Kooperationsverfahren könne aber noch weiter optimiert werden.
Die Teilnehmerinnen und Teilnehmer tauschen sich zu den Abläufen bei Kooperations- und Kohärenzverfahren aus. Es wird darauf hingewiesen, dass im AK Organisation und Struktur die Idee eines Workshops zur Einspruchseinlegung entstanden ist. Dabei sollen sich Behörden, die bereits Erfahrungen in der Praxis gemacht haben, zum Vorgehen austauschen und gemeinsame Standards entwickeln. Der Workshop wird durch den AK Organisation und Struktur durchgeführt werden.
BfDI weist in diesem Zusammenhang darauf hin, dass für die Durchsetzung deutscher Positionen in Europa ein einheitliches Auftreten wichtig ist.
Die Vorsitzende bedankt sich bei der ZASt für den Bericht sowie für die Wortmeldungen und schließt den TOP damit ab.
TOP 06 Zugang zu Confluence für den Medienbeauftragten für den Datenschutz bei der Bayerischen Landeszentrale für neue Medien und andere spezifische Aufsichtsbehörden
Die Vorsitzende führt in den TOP ein und weist darauf hin, dass eine Ausarbeitung des AK Grundsatz zur Fragestellung vorliegt. Sie übergibt sodann an den Berichterstatter BfDI.
Der BfDI erläutert das in dem Papier des AK Grundsatz gefundene Ergebnis, wonach der Zugang zu Confluence grundsätzlich beantragt werden kann, wenn die spezifische Aufsichtsbehörde im Sinne des entsprechenden DSK-Beschlusses betroffen ist. Daraus ergebe sich jedoch keine präjudizierende Wirkung im Hinblick auf einen Zugang zu IMI, wobei ein entsprechender Bedarf im Einzelfall ebenso wenig ausgeschlossen ist.
Die Datenschutzkonferenz nimmt die Ausarbeitung des AK Grundsatz zur Frage eines Zugangs zu Confluence für den Medienbeauftragte für den Datenschutz bei der Bayerischen Landeszentrale für neue Medien und andere spezifische Aufsichtsbehörden zur Kenntnis und stimmt der dort dargestellten Vorgehensweise zu.
Die Vorsitzende weist darauf hin, dass eine vertiefende Erörterung der Thematik mit den spezifischen Aufsichtsbehörden in Abstimmung mit dem BfDI im kommenden Jahr erfolgen solle.
Hessen weist darauf hin, dass bei der Freischaltung von Confluence- (und anderen) Zugängen auch sichergestellt werden müsse, dass die Aufsichtsbehörden, die nicht voll in die DSK und ihre Arbeitsgruppen integriert sind, auf andere Weise über die Verabredungen zum Umgang mit den Plattformen in Kenntnis gesetzt und zu deren Einhaltung angehalten werden.
TOP 07 Verzicht auf technische und organisatorische Maßnahmen
Die Vorsitzende führt in den TOP ein und weist darauf hin, dass im AK Grundsatz ein Beschlussvorschlag zur Frage eines möglichen Verzichts auf technische und organisatorische Maßnahmen (TOMs) erarbeitet wurde und eine seitens Mecklenburg-Vorpommern, Rheinland-Pfalz und Niedersachsen überarbeitete Fassung unter Berücksichtigung der im Rahmen der Vorkonferenz erörterten Aspekte vorliegt. Sie übergibt an den Berichterstatter BfDI.
Der BfDI erläutert die zentralen Inhalte der im Rahmen des AK Grundsatz gefundenen Ergebnisse. Er stellt die drei wesentlichen Punkte des Beschlusses dar, welche wie folgt lauten:
- TOMs beruhen auf objektiven Rechtspflichten, die als solche erst einmal nicht zur Disposition der Beteiligten - insbesondere nicht des Verantwortlichen - stehen.
- Eine Einwilligung im Sinne von Art. 6 Abs. 1 Buchst. a DSGVO ist kein geeignetes Instrument, um auf diese gesetzliche Verpflichtung zu verzichten.
- Ausnahmen sind unter sehr engen Voraussetzungen mit Blick auf das Recht der informationellen Selbstbestimmung möglich.
Rheinland-Pfalz stellt die überarbeiteten Punkte des ursprünglichen Beschlussvorschlages dar.
Die Teilnehmenden diskutieren die beiden vorliegenden Beschlussentwürfe und betonen dabei eine enge Auslegung zur Möglichkeit der Nichtanwendung von TOMs nach Art. 32 Abs. 1 DSGVO.
Die Datenschutzkonferenz spricht sich mehrheitlich unter Enthaltung Bayerns für eine abschließende Beschlussfassung in der heutigen Sitzung aus.
[15, 2, 0 ] (Zustimmung, Ablehnung, Enthaltung)
Die Datenschutzkonferenz spricht sich weiterhin mehrheitlich mit 12 Zustimmungen dafür aus, die inhaltliche Diskussion auf Grundlage des ursprünglichen Beschlussvorschlags des AK Grundsatz fortzuführen.
Es werden Änderungs- und Ergänzungsvorschläge insbesondere hinsichtlich der Formulierung in Ziffer 3 sowie zur Ziffer 1 betreffend der einschlägigen Artikel des DSGVO geltend gemacht.
Dabei wird unter Ziffer 3 klargestellt, dass TOMs grundsätzlich vorzuhalten sind, auch wenn sie auf Wunsch des Betroffenen im Einzelfall mit Blick auf dessen Recht auf informationelle Selbstbestimmung nicht angewendet werden müssen. Des Weiteren wird eine neue Ziffer 4 eingefügt, die klarstellt, dass Kapitel V der DSGVO hiervon unberührt bleibt.
Sachsen macht grundsätzliche Bedenken hinsichtlich der in dem Beschlussvorschlag zum Ausdruck kommenden Zielrichtung geltend.
Die Datenschutzkonferenz verabschiedet mehrheitlich den vom AK Grundsatz vorgelegten Beschlussvorschlag „Zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen“ unter Berücksichtigung der eingefügten Änderungen.
[14, 2, 1 ] (Zustimmung, Ablehnung (u.a. Sachsen), Enthaltung)
Es wird festgestellt, dass der Beschluss veröffentlicht werden kann.
TOP 08 Auswirkungen der Entscheidung des Europäischen Gerichtshofes (EuGH) vom 15. Juni 2021 (Rs. C-645/19)
Die Konferenz nimmt den Bericht des AK Grundsatz zur Kenntnis.
TOP 09 Interne Hinweise zu Anforderungen an die proaktive Information der Öffentlichkeit über Produkte zur Datenverarbeitung
Die Vorsitzende führt in den TOP ein. Im Rahmen der 101. Konferenz war eine ad- hoc-Arbeitsgruppe damit beauftragt worden, auf der Grundlage der bisherigen Diskussion den Entwurf des AK Grundsatz zu den Rahmenbedingungen für aufsichtsbehördliche Produktwarnungen fortzuentwickeln. Diese hat nunmehr ihre Ergebnisse vorgelegt, über die die Vertreter der Arbeitsgruppe berichten sollen.
Schleswig-Holstein erläutert das Papier, das die vorherigen Äußerungen des AK Grundsatz zum Thema zusammenführt. Das interne Papier ist als Hilfestellung für die Arbeitskreise gedacht.
Die Konferenz nimmt das Papier einstimmig zur Kenntnis.
Die Vorsitzende bedankt sich bei der Arbeitsgruppe für ihre Arbeit.
Baden-Württemberg gibt ergänzend zu Protokoll, dass man kein Mandat für derartige Äußerungen bei der DSK als Gremium sehe; eine Warnung oder Empfehlung stelle immer einen Eingriff in den Markt dar.
TOP 10 Begleitung der Umsetzung des Onlinezugangsgesetzes durch die DSK
Die Vorsitzende führt in den TOP ein. Der AK Verwaltung und seine Unterarbeitsgruppe begleiten die Umsetzung des Onlinezugangsgesetzes und haben am 5. November 2021 einen Zwischenbericht vorgelegt, wobei zwischenzeitlich eine zweite Version mit einigen Änderungen vorliegt. Da der Zwischenbericht als Diskussionsgrundlage für künftige Gespräche mit dem BMI dient, soll nunmehr eine Verständigung auf die vorzugswürdige Version innerhalb der DSK erfolgen. Die Vorsitzende übergibt an den Berichterstatter Brandenburg.
Brandenburg stellt die wesentlichen Punkte des Arbeitspapiers vor und erläutert, dass sich die beiden vorliegenden Versionen im Wesentlichen dadurch unterscheiden, dass das seitens des Arbeitskreises erarbeitete ursprüngliche Arbeitspapier die vorübergehende Duldung von Übergangslösungen vorsieht, während in der seitens Niedersachsen eingebrachten Version die dahingehenden Ausführungen gestrichen sind.
Niedersachsen erläutert die hinter der vorgeschlagenen Streichung stehende Auffassung, dass das Fehlen gesetzlicher Regelungen nicht sogleich das Dulden von Übergangslösungen implizieren sollte. Mithin wird es seitens Niedersachsen als problematisch erachtet, dass mit Blick auf den ungewissen Zeitpunkt eines gesetzgeberischen Tätigwerdens derartige Übergangslösungen nicht nur für bereits existierende Lösungen, sondern auch für zukünftige Situationen in Anspruch genommen werden könnten. Niedersachsen führt aus, dass vor diesem Hintergrund eine strengere Version des Arbeitspapiers vorgelegt wurde, das mithin weitere Tatbestandsvoraussetzungen für die Möglichkeit der Verantwortungszuweisung enthält.
Die Aufsichtsbehörden diskutieren die vorliegenden Fassungen hinsichtlich des divergierenden Punktes zur Übergangslösung sowie das weitere Vorgehen. Dabei wird mehrheitlich zum Ausdruck gebracht, dass eine Duldung von Übergangslösungen grundsätzlich möglich sein soll, diese jedoch einer zeitlichen Befristung unterliegen müsse.
Die Datenschutzkonferenz trifft folgende Festlegung:
- Der Sachstandsbericht des AK Verwaltung zur datenschutzrechtlichen Begleitung der OZG-Umsetzung durch die DSK wird in der durch Niedersachen überarbeiteten Version zur Kenntnis genommen.
- Der Vorsitz des Arbeitskreises wird gebeten, diesen Sachstandsbericht an das Bundesministerium des Innern, für Bau und Heimat zu übermitteln. In einem Begleitschreiben soll darauf hingewiesen werden, dass seitens der Datenschutzkonferenz bis zum Beginn des III. Quartals 2022 eine gesetzliche Neuregelung erwartet wird.
[17, 0, 0 ] (Zustimmung, Ablehnung, Enthaltung)
TOP 11 Änderung der Europol-Verordnung, Auflösung des Europol Cooperation Boards
Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter Rheinland- Pfalz.
Rheinland-Pfalz hat die Länder bisher in dem Board vertreten. Nun ändert sich jedoch die Struktur dahingehend, dass dieses aufgelöst und die Aufgaben zukünftig einem anderem Gremium, dem Coordinated Supervision Committee (CSC), zugeordnet werden. Dort sind für Deutschland bisher Hessen und Baden-Württemberg vertreten. Die abschließende Sitzung des Cooperation Boards steht noch aus, mit dieser wird die Tätigkeit von Rheinland-Pfalz offiziell enden. Rheinland-Pfalz bietet an, die Abläufe bei Europol jedoch weiter zu beobachten und zukünftig im CSC mitzuarbeiten, sofern von der DSK gewünscht.
Die Vorsitzende bedankt sich bei Rheinland-Pfalz sowie beim BfDI, der als zweiter deutscher Vertreter im Cooperation Board mitgearbeitet hat.
Die Aufsichtsbehörden befürworten einstimmig eine Aufstockung der deutschen Vertreter im CSC und unterstützen es, dass Rheinland-Pfalz seine Arbeit zum Thema Europol dort fortführt.
TOP 12 DSK 2.0
Die Vorsitzende führt in TOP ein und erteilt dann Rheinland-Pfalz das Wort.
Rheinland-Pfalz berichtet aus dem AK DSK 2.0, der von der DSK mehrere Arbeitsaufträge erhalten hat. Diese werden nun sukzessive abgearbeitet, zum Teil in Abstimmung mit dem AK Organisation und Struktur.
Die Vorsitzende bedankt sich für den Bericht und schließt den TOP ab.
TOP 13 Information zum Netzwerk der behördlichen Datenschutzbeauf- tragten der DSK-Mitglieder
Die Vorsitzende führt in den TOP ein und berichtet, dass im September 2021 ein erstes Netzwerk-Treffen stattgefunden hat. Sie übergibt dann an den BfDI.
BfDI stellt klar, dass der Zweck des Gremiums der Austausch von Erfahrungen ist; es hat nicht den Status eines Arbeitskreises. Vielmehr stellt es das deutsche Pendant zum Network auf europäischer Ebene dar. Dabei sei die Unabhängigkeit der bDSB zu beachten. Im Übrigen wird auf den mit der TOP-Anmeldung übersandten Bericht verwiesen.
Die Aufsichtsbehörden begrüßen die Einrichtung des Netzwerks. Zum Teil wird allerdings die Gefahr gesehen, dass die Betonung der Unabhängigkeit falsch interpretiert werden könnte. Es wird der Wunsch geäußert, eine Klarstellung dahingehend vorzunehmen, dass Unabhängigkeit im Innenverhältnis besteht, jedoch nicht nach außen, und dass das Netzwerk nicht im Namen der Aufsichtsbehörden nach außen hin tätig werden kann. Im weiteren Verlauf der Diskussion wird allerdings kein Bedarf für eine Anpassung des vorgelegten Papiers gesehen.
Die Vorsitzende dankt dem BfDI für die Bereitschaft, die Treffen des Netzwerks zu organisieren.
Die DSK nimmt den Bericht des BfDI zur Kenntnis.
TOP 14 Einwilligungsdokumente der Medizininformatik-Initiative (MII)
Die Vorsitzende führt in den TOP ein. Mit Beschluss vom 15. April 2020 hat die DSK die Einwilligungsdokumente der MII gebilligt. Nunmehr liegt eine Neufassung zur Prüfung vor, hierzu soll das weitere Vorgehen abgestimmt werden. Die Vorsitzende übergibt an den Berichterstatter Hessen.
Hessen erläutert die Entstehungsgeschichte des Themas. Zur Beschleunigung des Verfahrens sei eine Befassung mit den Dokumenten zeitlich parallel durch die zu beteiligenden Arbeitskreise sinnvoll. Auch ein fester Ansprechpartner für die MII wäre zweckmäßig. Zunächst war angedacht, hierfür den Vorsitzenden des AK Wissenschaft vorzusehen, nach Abstimmung mit dem BfDI wurde jedoch ein neuer Vorschlag erarbeitet.
BfDI führt dazu aus, dass man bei länderübergreifenden Vorhaben der Verbundforschung mit bundesgesetzlichem Hintergrund eingebunden werden möchte. Der Umgang mit Forschungsdaten werde im nächsten Jahr verstärkt in den Fokus rücken, zumal auch im neuen Koalitionsvertrag viele Vorhaben mit Bezug dazu enthalten sind. Als Gremium, welches sich zeitnah mit diesen Themen befasst, soll eine Task Force ins Leben gerufen werden. BfDI würde gemeinsam mit Hessen den Vorsitz übernehmen.
Die Teilnehmenden diskutieren den Vorschlag einer Task Force und den Festlegungsentwurf.
Die Einrichtung einer Task Force als zentrale Anlaufstelle für Forschende wird mehrheitlich begrüßt. Allerdings müssten die konkrete Organisation und das genaue Themenfeld noch näher bestimmt werden. Dabei wird darauf hingewiesen, dass im Forschungsbereich oftmals unterschiedliche landesrechtliche Regelungen zu beachten sind. Vorschläge für einen gemeinsamen Standard sollten aber dennoch möglich sein.
Die Datenschutzkonferenz trifft folgende Festlegung:
- Die DSK richtet als einheitlichen Ansprechpartner für die Technologie- und Methodenplattform für die vernetzte medizinische Forschung (TMF) sowie für
alle länderübergreifenden Datenschutzfragen der Verbundforschung im Übrigen eine „Task Force Forschungsdaten“ ein.
- Die Task Force wird wegen bisheriger Schwerpunkte gemeinsam vom HBDI als Vorsitzendem des AK Wissenschaft und Forschung und dem BfDI geleitet.
- In der Task Force sollten neben dem AK Wissenschaft und Forschung die Arbeitskreise Gesundheit und Soziales, Internationaler Datenverkehr sowie Technik vertreten sein; sie steht der Beteiligung weiterer Mitglieder bzw. Arbeitskreise der DSK offen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Hessen und BfDI werden zeitnah alle Aufsichtsbehörden zur Teilnahme an der Task Force einladen.
TOP 15 Verarbeitung des Datums „Impfstatus“ durch den Arbeitgeber
Die Vorsitzende führt in den TOP ein und stellt dar, dass Baden-Württemberg und Niedersachsen sich zwischenzeitlich dahingehend geäußert haben, dass eine Entschließung mit den wesentlichen, zu berücksichtigenden datenschutzrechtlichen Aspekten bei der gesetzlichen Regelung zur Verarbeitung des Impfstatus durch den Arbeitgeber mit Blick auf das bereits abgeschlossene Gesetzgebungsverfahren zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze zu diesem Zeitpunkt nicht mehr geplant ist. Die Vorsitzende weist darauf hin, dass der Arbeitskreis Beschäftigtendatenschutz derzeit Anwendungshinweise zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie abstimmt, welche bis voraussichtlich Ende kommender Woche finalisiert sind, so dass anschließend eine Verabschiedung durch die DSK im Umlaufverfahren erfolgen könne.
Die Aufsichtsbehörden stellen einen hohen Beratungsbedarf von Betroffenen und Arbeitgebern im Zusammenhang mit der Verarbeitung von pandemiebedingten Gesundheitsdaten im Beschäftigungsverhältnis fest und tauschen sich hinsichtlich ihrer Aktivitäten in diesem Zusammenhang aus. Dabei wird eine gemeinsame Abstimmung und Positionierung in den diesbezüglich wesentlichen Fragen für sinnvoll erachtet.
Sachsen regt an, dass die aktuell im Arbeitskreis diskutierten Anwendungshinweise unter den Aufsichtsbehörden baldmöglichst erörtert werden. Die Vorsitzende greift diese Anregung auf und hält fest, dass nach Vorlage einer durch den AK-Vorsitz fortgeschriebenen Fassung eine Abstimmung unter den Aufsichtsbehörden im Jour Fixe stattfinden soll.
Die Teilnehmenden erörtern weiterhin die Frage, inwieweit eine frühere oder umfassendere Einbindung der datenschutzrechtlichen Aufsichtsbehörden in Gesetzgebungs- oder andere Prozesse erwünscht ist und ein dahingehendes Beratungsangebot im Rahmen eines Papiers der DSK formuliert werden sollte.
Die Datenschutzkonferenz verständigt sich darauf, dass der Vorsitz der DSK eine Abfrage unter den Mitgliedern der DSK hinsichtlich der jeweiligen Erfahrungen der Einbindung und in diesem Zusammenhang vorhandener Vorstellungen initiiert und im Anschluss hieran ein etwaiger Handlungsbedarf und eine etwaige Aufgabenzuweisung an einen Arbeitskreis erörtert wird.
TOP 16 Ländervertretung im Lenkungskreis der Gesamtsteuerung Registermodernisierung
Die Vorsitzende führt in den TOP ein und weist darauf hin, dass es bereits eine konstituierende Sitzung des Lenkungskreises gab, an der neben dem BfDI Herr Dr. Lahmann, LfD Niedersachen, teilgenommen und dort auch mit Blick auf die bereits wahrgenommene Vertretung der Länder im IT-Planungsrat die Länder vertreten hat. Im Anschluss hieran sei nunmehr eine gemeinsame Abstimmung und Benennung der Ländervertretung im Lenkungskreis der Gesamtsteuerung Registermodernisierung angezeigt. Die Vorsitzende stellt dar, dass ein Interessenbekundungsverfahren eingeleitet wurde, entsprechende Interessenbekundungen bislang jedoch nicht eingegangen sind. Sie übergibt an den Berichterstatter BfDI.
Der BfDI stellt die Aufgabe der Mitwirkung im Lenkungskreis dar, die aus dem Registermodernisierungsgesetz resultierenden Vorhaben zu begleiten und dabei auf eine möglichst datenschutzfreundliche Umsetzung hinzuwirken und ggf. Nachbesserungen zu erreichen.
Herr Dr. Lahmann erklärt sich auf Nachfrage der Vorsitzenden bereit, das Mandat als Ländervertreter im Lenkungskreis wahrzunehmen.
Die Vorsitzende dankt Herrn Dr. Lahmann für seine Bereitschaft zur Übernahme des Mandates.
Die Datenschutzkonferenz trifft folgende Festlegung:
- Die Ländervertretung der DSK im Lenkungskreis der Gesamtsteuerung Registermodernisierung wird ab dem 24. November 2021 von Niedersachsen in Person von Herrn Dr. Lahmann übernommen.
- Der Vorsitz wird gebeten, ein Schreiben an den Lenkungskreis der Gesamtsteuerung Registermodernisierung zu formulieren und ihn über das Ergebnis der Abstimmung der DSK in Kenntnis zu setzen.
[17, 0, 0 ] (Zustimmung, Ablehnung, Enthaltung)
TOP 17 Bericht aus dem AK Organisation & Struktur
Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter Hessen.
Hessen berichtet zum Stand der Überlegungen zum Thema der Beteiligung Deutschlands als Rapporteure im EDSA und führt aus, dass bereits eine Liste mit dem Arbeitsprogramm des EDSA unter Vermerk eines in Deutschland zuständigen Ansprechpartners geführt werde und aufbauend hierauf nunmehr eine Überarbeitung erfolge, die als Grundlage für die weiteren Überlegungen dienen soll.
Hessen berichtet weiterhin über die Planungen zur Erprobung einer Kollaborationsplattform, wobei ein dahingehend geplanter Test eines Produktes bislang aufgrund des Fehlens datenschutzrechtlich gewährleisteter Grundlagen noch nicht starten konnte. Mit Blick auf zwischenzeitlich erfolgte, dahingehende Nachbesserungen ist ein Teststart für den Beginn des nächsten Jahres anvisiert, wobei eine Testung unter Nutzung der gesamten Produktpalette im Rahmen eines Zyklus des Arbeitskreises vorgeschlagen wird.
Es wird festgehalten, dass Hessen die weiteren Schritte zur Durchführung des Tests innerhalb des Arbeitskreises einleitet.
TOP 18 Bericht des Vorsitzes
Die Vorsitzende informiert über den Europäischen Datenschutztag 2022, der am 28. Januar 2022 stattfinden wird. Als Leitthema ist die europäische digitale Identität (EUid) vorgesehen. Die Veranstaltung sollte ursprünglich in Präsenz in der saarländischen Landesvertretung in Berlin stattfinden, wird nun auf Grund fehlender Planungssicherheit jedoch online und etwas verkürzt durchgeführt.
Weiter teilt die Vorsitzende mit, dass das auf der 3. Zwischenkonferenz vereinbarte Schreiben an den Finanzausschuss betreffend die datenschutzrechtliche Zuständigkeit für die Steuerfahndung finalisiert wurde. Sobald sich die Ausschüsse des Bundestages neu konstituiert haben, wird das Schreiben an den zuständigen Ausschuss und kenntnishalber an das BMF versandt.
TOP 19 Sonstiges
a) Vorschau auf Sitzungstermine in 2022
BfDI kündigt an, unter seinem Vorsitz die Verabschiedung von ausgeschiedenen Kolleginnen und Kollegen nachzuholen. Die Sitzungstermine für das Jahr 2022 wurden den Aufsichtsbehörden bereits mitgeteilt. So wird die 1. Zwischenkonferenz am 27. Januar 2022 in Berlin stattfinden. Aktuell ist eine Präsenzveranstaltung (mit 2G-Plus-Regelung) geplant, mit der Möglichkeit, dass diejenigen, die nicht vor Ort sind, sich per Video zuschalten. Thematischer Schwerpunkt für den Vorsitz des BfDI wird das Thema „Arbeiten mit Forschungsdaten“ sein, wobei für Beginn des Jahres eine allgemeine Erklärung geplant ist, später dann ein konkreteres Papier.
Als weitere Themen nennt der BfDI Künstliche Intelligenz im Sicherheitsbereich, souveräne Cloud-Lösungen und die Intensivierung der Zusammenarbeit mit den spezifischen Aufsichtsbehörden sowie mit dem Bundeskartellamt und dem BSI.
b) Forderungen an die Bundesregierung für die Legislaturperiode – Verfahrensvorschlag
Die Vorsitzende führt in den TOP ein, der gemäß Absprache auf der 3. Zwischenkonferenz erneut aufgerufen wird. Es stellt sich die Frage, wann und auf welche Weise die DSK an die neue Regierungskoalition herantreten soll, um auf wichtige datenschutzrechtliche Themen aufmerksam zu machen. In Betracht käme die Einrichtung einer ad-hoc-Arbeitsgruppe, die unter Beteiligung der einzelnen Arbeitskreise eine Stellungnahme vorbereitet.
BfDI teilt mit, dass er gegenüber den Bundestagsfraktionen bereits einen Katalog an datenschutzpolitischen Anforderungen kommuniziert hat. Der nunmehr vorliegende Koalitionsvertrag enthalte viele digitale Projekte mit datenschutzrechtlicher Bedeutung.
Die Teilnehmerinnen und Teilnehmer diskutieren das weitere Vorgehen.
Sie verständigen sich schließlich darauf, das Thema im nächsten Jour Fixe erneut aufzurufen, wenn alle Gelegenheit hatten, sich mit den Inhalten des Koalitionsvertrages vertraut zu machen. Abhängig davon, welche datenschutzrechtlich relevanten Themen der Vertrag enthält bzw. welche fehlen, soll dann über die weitere Vorgehensweise entschieden werden.
c) Gemeinsame Arbeitsgruppe der Kultusministerkonferenz (KMK) und der DSK zu Microsoft 365 (AG-KMK-DSK)
Die Vorsitzende führt aus, dass die Arbeitsgruppe kürzlich im Jour Fixe thematisiert wurde und Nordrhein-Westfalen darum gebeten hat, sich diesbezüglich auszutauschen, auch im Hinblick darauf, dass bereits eine Arbeitsgruppe der DSK existiert, die sich seit Jahren mit Microsoft befasst und im Auftrag der DSK bereits Gespräche mit dem Unternehmen geführt hat (Arbeitsgruppe Microsoft- Onlinedienste).
Nordrhein-Westfahlen befürchtet eine Instrumentalisierung der DSK im Rahmen der Beteiligung an der AG-KMK-DSK. In der Öffentlichkeit sei es bereits zu der Darstellung gekommen, dass nun erstmals Gespräche zwischen Microsoft und der DSK geführt würden, was nicht zutrifft.
Von mehreren Aufsichtsbehörden wird darauf hingewiesen, dass der zirkulierte Protokollentwurf über das Treffen von Vertretern des AK Schule und Bildungseinrichtungen sowie des AK Datenschutz und Medienkompetenz mit den Vertretern der KMK irritierend sei. Die Zielrichtung der Gespräche und die Art der Beteiligung der DSK gingen daraus nicht klar hervor.
Thüringen, welches den Vorsitz beider betroffener AKs innehat, erläutert, dass sich das Protokoll derzeit noch in der Abstimmung befindet. Die Beteiligung an der AG- KMK-DSK sei als Beratung der KMK zu verstehen, Gesprächspartner für Microsoft sei aber die KMK selbst. Die Zielsetzung sei somit eine andere als bei der bestehenden DSK-Arbeitsgruppe. Die Vertreter der Arbeitskreise sollen die KMK bei der Vorbereitung auf die für Anfang 2022 geplanten Gespräche mit Microsoft unterstützen. Die Arbeitsgruppe Microsoft-Onlinedienste werde hierbei eingebunden, um einheitliche Äußerungen der DSK zu Microsoft zu gewährleisten. Man habe auch das von Baden-Württemberg erstellte Gutachten in der Diskussion berücksichtigt.
Die Teilnehmenden verständigen sich darauf, dass im Rahmen der Stellungnahmen der Arbeitskreise zum Protokoll die beratende Funktion der DSK-Vertreter klargestellt werden soll.
d) Orientierungshilfe Telemedien (OH Telemedien 2021)
Hamburg berichtet, dass die vom AK Medien erarbeitete Orientierungshilfe als abgestimmter Entwurf den DSK-Mitgliedern vorliegt; die Frist zur Rückmeldung endet am 6. Dezember 2021. Es wird darauf hingewiesen, dass das Telekommunikation- Telemedien-Datenschutzgesetz (TTDSG), auf welches die OH Bezug nimmt, am 1. Dezember 2021 in Kraft tritt. Eine Veröffentlichung der abgestimmten OH soll daher möglichst zeitnah erfolgen.
e) Gutachten zur Rechtslage in den USA
Berlin berichtet, dass das Gutachten nunmehr vorliegt und auch an alle Aufsichtsbehörden versandt wurde. Für eine inhaltliche Bewertung sei es allerdings noch zu früh, zunächst solle man die Befassung der Task Force Schrems II mit dem Gutachten abwarten. Diese werde der DSK dann berichten.
Es wird darum gebeten, dass die Task Force, in der nicht alle Aufsichtsbehörden vertreten sind, allen Aufsichtsbehörden ihre Anmerkungen und Hilfestellungen zum Gutachten zur Verfügung stellt.
Zum Abschluss der Konferenz verabschiedet die Vorsitzende Herrn Schurig, dessen Amtszeit als Sächsischer Datenschutzbeauftragter zum Jahreswechsel endet, aus der DSK und bedankt sich bei ihm für sein Engagement in den vergangenen Jahren.
Ebenso dankt sie allen Teilnehmerinnen und Teilnehmern für die konstruktive Zusammenarbeit an den beiden Sitzungstagen und verabschiedet sich bis zur nächsten Konferenz.
Monika Grethel
Landesbeauftragte für Datenschutz und Informationsfreiheit
TOP 01 Begrüßung und Organisatorisches
Die Vorsitzende begrüßt die Teilnehmenden zur 102. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird, und stellt den geplanten Ablauf der Videokonferenz dar.
Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer per Video an der Konferenz teilnehmen.
Die Vorsitzende begrüßt insbesondere Herrn Fuchs, der zum 1. November 2021 sein Amt als Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit angetreten hat.
TOP 02 Tagesordnung und Protokoll
Die Vorsitzende stellt die Tagesordnung für die 102. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vor. Die finale Fassung wurde am 22. November 2021 versandt.
Hamburg bittet darum, unter dem TOP „Sonstiges“ die Orientierungshilfe Telemedien und das Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) zu behandeln.
Die Vorsitzende weist auf den Nachtrag aus Nordrhein-Westfalen zu Microsoft 365 aus dem letzten Jour Fixe hin; dieser Punkt soll ebenfalls unter „Sonstiges“ behandelt werden.
Brandenburg bittet darum, TOP 10 erst am zweiten Sitzungstag aufzurufen.
Die Vorsitzende weist darauf hin, dass zu TOP 15 ursprünglich die Verabschiedung einer Entschließung vorgesehen war.
Die Teilnehmenden verständigen sich jedoch darauf, dass auf Grund der aktuellen gesetzlichen Neuerungen eine Entschließung in der geplanten Form nicht mehr sinnvoll ist. Ein Austausch zum Thema soll aber dennoch erfolgen.
Die Konferenz nimmt die Tageordnung einstimmig in der so angepassten Form an.
Für den nachfolgenden Tagesordnungspunkt wurde auf der Vorkonferenz Einvernehmen hergestellt, so dass seine Behandlung im verkürzten Verfahren erfolgen kann:
- TOP 08 – Auswirkungen der Entscheidung des Europäischen Gerichtshofes (EuGH) vom 15. Juni 2021 (Rs. C-645/19)
Die Konferenz nimmt das Ergebnis der Vorkonferenz zu diesem TOP zur Kenntnis.
Über das Protokoll der 3. Zwischenkonferenz wurde im Umlaufverfahren abgestimmt. Das Protokoll ist auf der DSK-Homepage veröffentlicht.
TOP 03 Informationen zu Umlaufverfahren
Die Konferenz nimmt die am 22. November 2021 versandte Übersicht über die durchgeführten Umlaufverfahren zur Kenntnis. Seit der letzten Zwischenkonferenz wurden drei Umlaufverfahren abgeschlossen.
TOP 04 Bericht aus dem Europäischen Datenschutzausschuss
Die Vorsitzende führt in den TOP ein und teilt mit, dass der EDSA seit der letzten Zwischenkonferenz dreimal getagt hat. Sie übergibt dann an die Berichterstatter BfDI und Bayern (LfD).
BfDI berichtet aus den drei Treffen des Ausschusses. Schwerpunkte bei der Sitzung am 24. September 2021 waren die Stellungnahme zum Angemessenheitsbeschluss bezüglich Südkorea und die Beratung über die Einsetzung einer Task Force, welche die Zusammenarbeit bei den Beschwerden von NOYB zur Frage der Cookie-Banner koordinieren soll. Bei der zweiten Sitzung hat sich der EDSA mit den Leitlinien für Einschränkungen der Betroffenenrechte nach Art. 23 DSGVO befasst und Maßnahmen zu cloudbasierten Diensten im öffentlichen Sektor beschlossen; zu Letzterem ist für Ende des Jahres eine Pressemitteilung geplant. Schwerpunkte bei der Sitzung am 18. November 2021 waren die Leitlinien zum Zusammenspiel zwischen Art. 3 und Kapitel V der DSGVO und die internen Leitlinien zur Gütlichen Einigung. Zudem gab es einen weiteren Vorschlag zum koordinierten Vorgehen bezüglich der NOYB-Beschwerden.
Bayern (LfD) ergänzt, dass der Vorsitz des EDSA Nordrhein-Westfalen sehr dankbar gewesen sei für das Einspringen bei der Bewertung des Papiers zu Südkorea. Mit dem Verhandlungsergebnis der Sitzung vom 18. November könne man zufrieden sein, zumal auch die Bedenken insbesondere aus Berlin wahrgenommen wurden. Noch zu erwähnen sei, dass die Task Force für die NOYB-Beschwerden einen Musterbescheid erstellt hat, der allerdings nicht die erforderliche Mehrheit erreicht hat, um als einheitliche Grundlage angenommen zu werden.
Bayern (LDA) weist darauf hin, dass an den Leitlinien zum Zusammenspiel zwischen Art. 3 und Kapitel V der DSGVO im Drafting Team noch weiter gearbeitet wird und die zum Teil aus Deutschland geäußerten Bedenken dabei berücksichtigt werden sollen.
Rheinland-Pfalz berichtet von Schwierigkeiten bei der Zusammenarbeit mit anderen europäischen Aufsichtsbehörden. Demnach erfolge für zuständigkeitshalber dorthin abgegebene Beschwerden häufig keine Rückmeldung über die weitere Behandlung. Sollten andere deutsche Aufsichtsbehörden vergleichbare Erfahrungen gemacht haben, wäre es wünschenswert, dass die beiden Vertreter im EDSA dies an passender Stelle vorbringen.
Berlin und Hessen berichten von ähnlichen Problemen.
BfDI bietet an, dass die Aufsichtsbehörden ihm mitteilen, bei welchen europäischen Behörden sich die Schwierigkeiten häufen, so dass er diese bei einer Präsenzsitzung des EDSA konkret ansprechen kann.
Die Vorsitzende bedankt sich bei den Berichterstattern und schließt den TOP ab.
TOP 05 Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden
Der Bericht der ZASt vom 5. November 2021 sowie die Übersicht der im IMI-System eingeleiteten Verfahren unter Beteiligung der deutschen Aufsichtsbehörden mit Stand 4. November 2021 wurden den Teilnehmenden mit E-Mail vom 5. November 2021 zugesandt. Der Vertreter der ZASt erläutert die Inhalte des Berichts. Dabei hebt er positiv hervor, dass es bei Abstimmungen zu gemeinsamen Standpunkten immer besser gelingt, Einvernehmen herzustellen. Die Zusammenarbeit im Rahmen von Kooperationsverfahren könne aber noch weiter optimiert werden.
Die Teilnehmerinnen und Teilnehmer tauschen sich zu den Abläufen bei Kooperations- und Kohärenzverfahren aus. Es wird darauf hingewiesen, dass im AK Organisation und Struktur die Idee eines Workshops zur Einspruchseinlegung entstanden ist. Dabei sollen sich Behörden, die bereits Erfahrungen in der Praxis gemacht haben, zum Vorgehen austauschen und gemeinsame Standards entwickeln. Der Workshop wird durch den AK Organisation und Struktur durchgeführt werden.
BfDI weist in diesem Zusammenhang darauf hin, dass für die Durchsetzung deutscher Positionen in Europa ein einheitliches Auftreten wichtig ist.
Die Vorsitzende bedankt sich bei der ZASt für den Bericht sowie für die Wortmeldungen und schließt den TOP damit ab.
TOP 06 Zugang zu Confluence für den Medienbeauftragten für den Datenschutz bei der Bayerischen Landeszentrale für neue Medien und andere spezifische Aufsichtsbehörden
Die Vorsitzende führt in den TOP ein und weist darauf hin, dass eine Ausarbeitung des AK Grundsatz zur Fragestellung vorliegt. Sie übergibt sodann an den Berichterstatter BfDI.
Der BfDI erläutert das in dem Papier des AK Grundsatz gefundene Ergebnis, wonach der Zugang zu Confluence grundsätzlich beantragt werden kann, wenn die spezifische Aufsichtsbehörde im Sinne des entsprechenden DSK-Beschlusses betroffen ist. Daraus ergebe sich jedoch keine präjudizierende Wirkung im Hinblick auf einen Zugang zu IMI, wobei ein entsprechender Bedarf im Einzelfall ebenso wenig ausgeschlossen ist.
Die Datenschutzkonferenz nimmt die Ausarbeitung des AK Grundsatz zur Frage eines Zugangs zu Confluence für den Medienbeauftragte für den Datenschutz bei der Bayerischen Landeszentrale für neue Medien und andere spezifische Aufsichtsbehörden zur Kenntnis und stimmt der dort dargestellten Vorgehensweise zu.
Die Vorsitzende weist darauf hin, dass eine vertiefende Erörterung der Thematik mit den spezifischen Aufsichtsbehörden in Abstimmung mit dem BfDI im kommenden Jahr erfolgen solle.
Hessen weist darauf hin, dass bei der Freischaltung von Confluence- (und anderen) Zugängen auch sichergestellt werden müsse, dass die Aufsichtsbehörden, die nicht voll in die DSK und ihre Arbeitsgruppen integriert sind, auf andere Weise über die Verabredungen zum Umgang mit den Plattformen in Kenntnis gesetzt und zu deren Einhaltung angehalten werden.
TOP 07 Verzicht auf technische und organisatorische Maßnahmen
Die Vorsitzende führt in den TOP ein und weist darauf hin, dass im AK Grundsatz ein Beschlussvorschlag zur Frage eines möglichen Verzichts auf technische und organisatorische Maßnahmen (TOMs) erarbeitet wurde und eine seitens Mecklenburg-Vorpommern, Rheinland-Pfalz und Niedersachsen überarbeitete Fassung unter Berücksichtigung der im Rahmen der Vorkonferenz erörterten Aspekte vorliegt. Sie übergibt an den Berichterstatter BfDI.
Der BfDI erläutert die zentralen Inhalte der im Rahmen des AK Grundsatz gefundenen Ergebnisse. Er stellt die drei wesentlichen Punkte des Beschlusses dar, welche wie folgt lauten:
- TOMs beruhen auf objektiven Rechtspflichten, die als solche erst einmal nicht zur Disposition der Beteiligten - insbesondere nicht des Verantwortlichen - stehen.
- Eine Einwilligung im Sinne von Art. 6 Abs. 1 Buchst. a DSGVO ist kein geeignetes Instrument, um auf diese gesetzliche Verpflichtung zu verzichten.
- Ausnahmen sind unter sehr engen Voraussetzungen mit Blick auf das Recht der informationellen Selbstbestimmung möglich.
Rheinland-Pfalz stellt die überarbeiteten Punkte des ursprünglichen Beschlussvorschlages dar.
Die Teilnehmenden diskutieren die beiden vorliegenden Beschlussentwürfe und betonen dabei eine enge Auslegung zur Möglichkeit der Nichtanwendung von TOMs nach Art. 32 Abs. 1 DSGVO.
Die Datenschutzkonferenz spricht sich mehrheitlich unter Enthaltung Bayerns für eine abschließende Beschlussfassung in der heutigen Sitzung aus.
[15, 2, 0 ] (Zustimmung, Ablehnung, Enthaltung)
Die Datenschutzkonferenz spricht sich weiterhin mehrheitlich mit 12 Zustimmungen dafür aus, die inhaltliche Diskussion auf Grundlage des ursprünglichen Beschlussvorschlags des AK Grundsatz fortzuführen.
Es werden Änderungs- und Ergänzungsvorschläge insbesondere hinsichtlich der Formulierung in Ziffer 3 sowie zur Ziffer 1 betreffend der einschlägigen Artikel des DSGVO geltend gemacht.
Dabei wird unter Ziffer 3 klargestellt, dass TOMs grundsätzlich vorzuhalten sind, auch wenn sie auf Wunsch des Betroffenen im Einzelfall mit Blick auf dessen Recht auf informationelle Selbstbestimmung nicht angewendet werden müssen. Des Weiteren wird eine neue Ziffer 4 eingefügt, die klarstellt, dass Kapitel V der DSGVO hiervon unberührt bleibt.
Sachsen macht grundsätzliche Bedenken hinsichtlich der in dem Beschlussvorschlag zum Ausdruck kommenden Zielrichtung geltend.
Die Datenschutzkonferenz verabschiedet mehrheitlich den vom AK Grundsatz vorgelegten Beschlussvorschlag „Zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen“ unter Berücksichtigung der eingefügten Änderungen.
[14, 2, 1 ] (Zustimmung, Ablehnung (u.a. Sachsen), Enthaltung)
Es wird festgestellt, dass der Beschluss veröffentlicht werden kann.
TOP 08 Auswirkungen der Entscheidung des Europäischen Gerichtshofes (EuGH) vom 15. Juni 2021 (Rs. C-645/19)
Die Konferenz nimmt den Bericht des AK Grundsatz zur Kenntnis.
TOP 09 Interne Hinweise zu Anforderungen an die proaktive Information der Öffentlichkeit über Produkte zur Datenverarbeitung
Die Vorsitzende führt in den TOP ein. Im Rahmen der 101. Konferenz war eine ad- hoc-Arbeitsgruppe damit beauftragt worden, auf der Grundlage der bisherigen Diskussion den Entwurf des AK Grundsatz zu den Rahmenbedingungen für aufsichtsbehördliche Produktwarnungen fortzuentwickeln. Diese hat nunmehr ihre Ergebnisse vorgelegt, über die die Vertreter der Arbeitsgruppe berichten sollen.
Schleswig-Holstein erläutert das Papier, das die vorherigen Äußerungen des AK Grundsatz zum Thema zusammenführt. Das interne Papier ist als Hilfestellung für die Arbeitskreise gedacht.
Die Konferenz nimmt das Papier einstimmig zur Kenntnis.
Die Vorsitzende bedankt sich bei der Arbeitsgruppe für ihre Arbeit.
Baden-Württemberg gibt ergänzend zu Protokoll, dass man kein Mandat für derartige Äußerungen bei der DSK als Gremium sehe; eine Warnung oder Empfehlung stelle immer einen Eingriff in den Markt dar.
TOP 10 Begleitung der Umsetzung des Onlinezugangsgesetzes durch die DSK
Die Vorsitzende führt in den TOP ein. Der AK Verwaltung und seine Unterarbeitsgruppe begleiten die Umsetzung des Onlinezugangsgesetzes und haben am 5. November 2021 einen Zwischenbericht vorgelegt, wobei zwischenzeitlich eine zweite Version mit einigen Änderungen vorliegt. Da der Zwischenbericht als Diskussionsgrundlage für künftige Gespräche mit dem BMI dient, soll nunmehr eine Verständigung auf die vorzugswürdige Version innerhalb der DSK erfolgen. Die Vorsitzende übergibt an den Berichterstatter Brandenburg.
Brandenburg stellt die wesentlichen Punkte des Arbeitspapiers vor und erläutert, dass sich die beiden vorliegenden Versionen im Wesentlichen dadurch unterscheiden, dass das seitens des Arbeitskreises erarbeitete ursprüngliche Arbeitspapier die vorübergehende Duldung von Übergangslösungen vorsieht, während in der seitens Niedersachsen eingebrachten Version die dahingehenden Ausführungen gestrichen sind.
Niedersachsen erläutert die hinter der vorgeschlagenen Streichung stehende Auffassung, dass das Fehlen gesetzlicher Regelungen nicht sogleich das Dulden von Übergangslösungen implizieren sollte. Mithin wird es seitens Niedersachsen als problematisch erachtet, dass mit Blick auf den ungewissen Zeitpunkt eines gesetzgeberischen Tätigwerdens derartige Übergangslösungen nicht nur für bereits existierende Lösungen, sondern auch für zukünftige Situationen in Anspruch genommen werden könnten. Niedersachsen führt aus, dass vor diesem Hintergrund eine strengere Version des Arbeitspapiers vorgelegt wurde, das mithin weitere Tatbestandsvoraussetzungen für die Möglichkeit der Verantwortungszuweisung enthält.
Die Aufsichtsbehörden diskutieren die vorliegenden Fassungen hinsichtlich des divergierenden Punktes zur Übergangslösung sowie das weitere Vorgehen. Dabei wird mehrheitlich zum Ausdruck gebracht, dass eine Duldung von Übergangslösungen grundsätzlich möglich sein soll, diese jedoch einer zeitlichen Befristung unterliegen müsse.
Die Datenschutzkonferenz trifft folgende Festlegung:
- Der Sachstandsbericht des AK Verwaltung zur datenschutzrechtlichen Begleitung der OZG-Umsetzung durch die DSK wird in der durch Niedersachen überarbeiteten Version zur Kenntnis genommen.
- Der Vorsitz des Arbeitskreises wird gebeten, diesen Sachstandsbericht an das Bundesministerium des Innern, für Bau und Heimat zu übermitteln. In einem Begleitschreiben soll darauf hingewiesen werden, dass seitens der Datenschutzkonferenz bis zum Beginn des III. Quartals 2022 eine gesetzliche Neuregelung erwartet wird.
[17, 0, 0 ] (Zustimmung, Ablehnung, Enthaltung)
TOP 11 Änderung der Europol-Verordnung, Auflösung des Europol Cooperation Boards
Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter Rheinland- Pfalz.
Rheinland-Pfalz hat die Länder bisher in dem Board vertreten. Nun ändert sich jedoch die Struktur dahingehend, dass dieses aufgelöst und die Aufgaben zukünftig einem anderem Gremium, dem Coordinated Supervision Committee (CSC), zugeordnet werden. Dort sind für Deutschland bisher Hessen und Baden-Württemberg vertreten. Die abschließende Sitzung des Cooperation Boards steht noch aus, mit dieser wird die Tätigkeit von Rheinland-Pfalz offiziell enden. Rheinland-Pfalz bietet an, die Abläufe bei Europol jedoch weiter zu beobachten und zukünftig im CSC mitzuarbeiten, sofern von der DSK gewünscht.
Die Vorsitzende bedankt sich bei Rheinland-Pfalz sowie beim BfDI, der als zweiter deutscher Vertreter im Cooperation Board mitgearbeitet hat.
Die Aufsichtsbehörden befürworten einstimmig eine Aufstockung der deutschen Vertreter im CSC und unterstützen es, dass Rheinland-Pfalz seine Arbeit zum Thema Europol dort fortführt.
TOP 12 DSK 2.0
Die Vorsitzende führt in TOP ein und erteilt dann Rheinland-Pfalz das Wort.
Rheinland-Pfalz berichtet aus dem AK DSK 2.0, der von der DSK mehrere Arbeitsaufträge erhalten hat. Diese werden nun sukzessive abgearbeitet, zum Teil in Abstimmung mit dem AK Organisation und Struktur.
Die Vorsitzende bedankt sich für den Bericht und schließt den TOP ab.
TOP 13 Information zum Netzwerk der behördlichen Datenschutzbeauf- tragten der DSK-Mitglieder
Die Vorsitzende führt in den TOP ein und berichtet, dass im September 2021 ein erstes Netzwerk-Treffen stattgefunden hat. Sie übergibt dann an den BfDI.
BfDI stellt klar, dass der Zweck des Gremiums der Austausch von Erfahrungen ist; es hat nicht den Status eines Arbeitskreises. Vielmehr stellt es das deutsche Pendant zum Network auf europäischer Ebene dar. Dabei sei die Unabhängigkeit der bDSB zu beachten. Im Übrigen wird auf den mit der TOP-Anmeldung übersandten Bericht verwiesen.
Die Aufsichtsbehörden begrüßen die Einrichtung des Netzwerks. Zum Teil wird allerdings die Gefahr gesehen, dass die Betonung der Unabhängigkeit falsch interpretiert werden könnte. Es wird der Wunsch geäußert, eine Klarstellung dahingehend vorzunehmen, dass Unabhängigkeit im Innenverhältnis besteht, jedoch nicht nach außen, und dass das Netzwerk nicht im Namen der Aufsichtsbehörden nach außen hin tätig werden kann. Im weiteren Verlauf der Diskussion wird allerdings kein Bedarf für eine Anpassung des vorgelegten Papiers gesehen.
Die Vorsitzende dankt dem BfDI für die Bereitschaft, die Treffen des Netzwerks zu organisieren.
Die DSK nimmt den Bericht des BfDI zur Kenntnis.
TOP 14 Einwilligungsdokumente der Medizininformatik-Initiative (MII)
Die Vorsitzende führt in den TOP ein. Mit Beschluss vom 15. April 2020 hat die DSK die Einwilligungsdokumente der MII gebilligt. Nunmehr liegt eine Neufassung zur Prüfung vor, hierzu soll das weitere Vorgehen abgestimmt werden. Die Vorsitzende übergibt an den Berichterstatter Hessen.
Hessen erläutert die Entstehungsgeschichte des Themas. Zur Beschleunigung des Verfahrens sei eine Befassung mit den Dokumenten zeitlich parallel durch die zu beteiligenden Arbeitskreise sinnvoll. Auch ein fester Ansprechpartner für die MII wäre zweckmäßig. Zunächst war angedacht, hierfür den Vorsitzenden des AK Wissenschaft vorzusehen, nach Abstimmung mit dem BfDI wurde jedoch ein neuer Vorschlag erarbeitet.
BfDI führt dazu aus, dass man bei länderübergreifenden Vorhaben der Verbundforschung mit bundesgesetzlichem Hintergrund eingebunden werden möchte. Der Umgang mit Forschungsdaten werde im nächsten Jahr verstärkt in den Fokus rücken, zumal auch im neuen Koalitionsvertrag viele Vorhaben mit Bezug dazu enthalten sind. Als Gremium, welches sich zeitnah mit diesen Themen befasst, soll eine Task Force ins Leben gerufen werden. BfDI würde gemeinsam mit Hessen den Vorsitz übernehmen.
Die Teilnehmenden diskutieren den Vorschlag einer Task Force und den Festlegungsentwurf.
Die Einrichtung einer Task Force als zentrale Anlaufstelle für Forschende wird mehrheitlich begrüßt. Allerdings müssten die konkrete Organisation und das genaue Themenfeld noch näher bestimmt werden. Dabei wird darauf hingewiesen, dass im Forschungsbereich oftmals unterschiedliche landesrechtliche Regelungen zu beachten sind. Vorschläge für einen gemeinsamen Standard sollten aber dennoch möglich sein.
Die Datenschutzkonferenz trifft folgende Festlegung:
- Die DSK richtet als einheitlichen Ansprechpartner für die Technologie- und Methodenplattform für die vernetzte medizinische Forschung (TMF) sowie für
alle länderübergreifenden Datenschutzfragen der Verbundforschung im Übrigen eine „Task Force Forschungsdaten“ ein.
- Die Task Force wird wegen bisheriger Schwerpunkte gemeinsam vom HBDI als Vorsitzendem des AK Wissenschaft und Forschung und dem BfDI geleitet.
- In der Task Force sollten neben dem AK Wissenschaft und Forschung die Arbeitskreise Gesundheit und Soziales, Internationaler Datenverkehr sowie Technik vertreten sein; sie steht der Beteiligung weiterer Mitglieder bzw. Arbeitskreise der DSK offen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Hessen und BfDI werden zeitnah alle Aufsichtsbehörden zur Teilnahme an der Task Force einladen.
TOP 15 Verarbeitung des Datums „Impfstatus“ durch den Arbeitgeber
Die Vorsitzende führt in den TOP ein und stellt dar, dass Baden-Württemberg und Niedersachsen sich zwischenzeitlich dahingehend geäußert haben, dass eine Entschließung mit den wesentlichen, zu berücksichtigenden datenschutzrechtlichen Aspekten bei der gesetzlichen Regelung zur Verarbeitung des Impfstatus durch den Arbeitgeber mit Blick auf das bereits abgeschlossene Gesetzgebungsverfahren zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze zu diesem Zeitpunkt nicht mehr geplant ist. Die Vorsitzende weist darauf hin, dass der Arbeitskreis Beschäftigtendatenschutz derzeit Anwendungshinweise zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie abstimmt, welche bis voraussichtlich Ende kommender Woche finalisiert sind, so dass anschließend eine Verabschiedung durch die DSK im Umlaufverfahren erfolgen könne.
Die Aufsichtsbehörden stellen einen hohen Beratungsbedarf von Betroffenen und Arbeitgebern im Zusammenhang mit der Verarbeitung von pandemiebedingten Gesundheitsdaten im Beschäftigungsverhältnis fest und tauschen sich hinsichtlich ihrer Aktivitäten in diesem Zusammenhang aus. Dabei wird eine gemeinsame Abstimmung und Positionierung in den diesbezüglich wesentlichen Fragen für sinnvoll erachtet.
Sachsen regt an, dass die aktuell im Arbeitskreis diskutierten Anwendungshinweise unter den Aufsichtsbehörden baldmöglichst erörtert werden. Die Vorsitzende greift diese Anregung auf und hält fest, dass nach Vorlage einer durch den AK-Vorsitz fortgeschriebenen Fassung eine Abstimmung unter den Aufsichtsbehörden im Jour Fixe stattfinden soll.
Die Teilnehmenden erörtern weiterhin die Frage, inwieweit eine frühere oder umfassendere Einbindung der datenschutzrechtlichen Aufsichtsbehörden in Gesetzgebungs- oder andere Prozesse erwünscht ist und ein dahingehendes Beratungsangebot im Rahmen eines Papiers der DSK formuliert werden sollte.
Die Datenschutzkonferenz verständigt sich darauf, dass der Vorsitz der DSK eine Abfrage unter den Mitgliedern der DSK hinsichtlich der jeweiligen Erfahrungen der Einbindung und in diesem Zusammenhang vorhandener Vorstellungen initiiert und im Anschluss hieran ein etwaiger Handlungsbedarf und eine etwaige Aufgabenzuweisung an einen Arbeitskreis erörtert wird.
TOP 16 Ländervertretung im Lenkungskreis der Gesamtsteuerung Registermodernisierung
Die Vorsitzende führt in den TOP ein und weist darauf hin, dass es bereits eine konstituierende Sitzung des Lenkungskreises gab, an der neben dem BfDI Herr Dr. Lahmann, LfD Niedersachen, teilgenommen und dort auch mit Blick auf die bereits wahrgenommene Vertretung der Länder im IT-Planungsrat die Länder vertreten hat. Im Anschluss hieran sei nunmehr eine gemeinsame Abstimmung und Benennung der Ländervertretung im Lenkungskreis der Gesamtsteuerung Registermodernisierung angezeigt. Die Vorsitzende stellt dar, dass ein Interessenbekundungsverfahren eingeleitet wurde, entsprechende Interessenbekundungen bislang jedoch nicht eingegangen sind. Sie übergibt an den Berichterstatter BfDI.
Der BfDI stellt die Aufgabe der Mitwirkung im Lenkungskreis dar, die aus dem Registermodernisierungsgesetz resultierenden Vorhaben zu begleiten und dabei auf eine möglichst datenschutzfreundliche Umsetzung hinzuwirken und ggf. Nachbesserungen zu erreichen.
Herr Dr. Lahmann erklärt sich auf Nachfrage der Vorsitzenden bereit, das Mandat als Ländervertreter im Lenkungskreis wahrzunehmen.
Die Vorsitzende dankt Herrn Dr. Lahmann für seine Bereitschaft zur Übernahme des Mandates.
Die Datenschutzkonferenz trifft folgende Festlegung:
- Die Ländervertretung der DSK im Lenkungskreis der Gesamtsteuerung Registermodernisierung wird ab dem 24. November 2021 von Niedersachsen in Person von Herrn Dr. Lahmann übernommen.
- Der Vorsitz wird gebeten, ein Schreiben an den Lenkungskreis der Gesamtsteuerung Registermodernisierung zu formulieren und ihn über das Ergebnis der Abstimmung der DSK in Kenntnis zu setzen.
[17, 0, 0 ] (Zustimmung, Ablehnung, Enthaltung)
TOP 17 Bericht aus dem AK Organisation & Struktur
Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter Hessen.
Hessen berichtet zum Stand der Überlegungen zum Thema der Beteiligung Deutschlands als Rapporteure im EDSA und führt aus, dass bereits eine Liste mit dem Arbeitsprogramm des EDSA unter Vermerk eines in Deutschland zuständigen Ansprechpartners geführt werde und aufbauend hierauf nunmehr eine Überarbeitung erfolge, die als Grundlage für die weiteren Überlegungen dienen soll.
Hessen berichtet weiterhin über die Planungen zur Erprobung einer Kollaborationsplattform, wobei ein dahingehend geplanter Test eines Produktes bislang aufgrund des Fehlens datenschutzrechtlich gewährleisteter Grundlagen noch nicht starten konnte. Mit Blick auf zwischenzeitlich erfolgte, dahingehende Nachbesserungen ist ein Teststart für den Beginn des nächsten Jahres anvisiert, wobei eine Testung unter Nutzung der gesamten Produktpalette im Rahmen eines Zyklus des Arbeitskreises vorgeschlagen wird.
Es wird festgehalten, dass Hessen die weiteren Schritte zur Durchführung des Tests innerhalb des Arbeitskreises einleitet.
TOP 18 Bericht des Vorsitzes
Die Vorsitzende informiert über den Europäischen Datenschutztag 2022, der am 28. Januar 2022 stattfinden wird. Als Leitthema ist die europäische digitale Identität (EUid) vorgesehen. Die Veranstaltung sollte ursprünglich in Präsenz in der saarländischen Landesvertretung in Berlin stattfinden, wird nun auf Grund fehlender Planungssicherheit jedoch online und etwas verkürzt durchgeführt.
Weiter teilt die Vorsitzende mit, dass das auf der 3. Zwischenkonferenz vereinbarte Schreiben an den Finanzausschuss betreffend die datenschutzrechtliche Zuständigkeit für die Steuerfahndung finalisiert wurde. Sobald sich die Ausschüsse des Bundestages neu konstituiert haben, wird das Schreiben an den zuständigen Ausschuss und kenntnishalber an das BMF versandt.
TOP 19 Sonstiges
a) Vorschau auf Sitzungstermine in 2022
BfDI kündigt an, unter seinem Vorsitz die Verabschiedung von ausgeschiedenen Kolleginnen und Kollegen nachzuholen. Die Sitzungstermine für das Jahr 2022 wurden den Aufsichtsbehörden bereits mitgeteilt. So wird die 1. Zwischenkonferenz am 27. Januar 2022 in Berlin stattfinden. Aktuell ist eine Präsenzveranstaltung (mit 2G-Plus-Regelung) geplant, mit der Möglichkeit, dass diejenigen, die nicht vor Ort sind, sich per Video zuschalten. Thematischer Schwerpunkt für den Vorsitz des BfDI wird das Thema „Arbeiten mit Forschungsdaten“ sein, wobei für Beginn des Jahres eine allgemeine Erklärung geplant ist, später dann ein konkreteres Papier.
Als weitere Themen nennt der BfDI Künstliche Intelligenz im Sicherheitsbereich, souveräne Cloud-Lösungen und die Intensivierung der Zusammenarbeit mit den spezifischen Aufsichtsbehörden sowie mit dem Bundeskartellamt und dem BSI.
b) Forderungen an die Bundesregierung für die Legislaturperiode – Verfahrensvorschlag
Die Vorsitzende führt in den TOP ein, der gemäß Absprache auf der 3. Zwischenkonferenz erneut aufgerufen wird. Es stellt sich die Frage, wann und auf welche Weise die DSK an die neue Regierungskoalition herantreten soll, um auf wichtige datenschutzrechtliche Themen aufmerksam zu machen. In Betracht käme die Einrichtung einer ad-hoc-Arbeitsgruppe, die unter Beteiligung der einzelnen Arbeitskreise eine Stellungnahme vorbereitet.
BfDI teilt mit, dass er gegenüber den Bundestagsfraktionen bereits einen Katalog an datenschutzpolitischen Anforderungen kommuniziert hat. Der nunmehr vorliegende Koalitionsvertrag enthalte viele digitale Projekte mit datenschutzrechtlicher Bedeutung.
Die Teilnehmerinnen und Teilnehmer diskutieren das weitere Vorgehen.
Sie verständigen sich schließlich darauf, das Thema im nächsten Jour Fixe erneut aufzurufen, wenn alle Gelegenheit hatten, sich mit den Inhalten des Koalitionsvertrages vertraut zu machen. Abhängig davon, welche datenschutzrechtlich relevanten Themen der Vertrag enthält bzw. welche fehlen, soll dann über die weitere Vorgehensweise entschieden werden.
c) Gemeinsame Arbeitsgruppe der Kultusministerkonferenz (KMK) und der DSK zu Microsoft 365 (AG-KMK-DSK)
Die Vorsitzende führt aus, dass die Arbeitsgruppe kürzlich im Jour Fixe thematisiert wurde und Nordrhein-Westfalen darum gebeten hat, sich diesbezüglich auszutauschen, auch im Hinblick darauf, dass bereits eine Arbeitsgruppe der DSK existiert, die sich seit Jahren mit Microsoft befasst und im Auftrag der DSK bereits Gespräche mit dem Unternehmen geführt hat (Arbeitsgruppe Microsoft- Onlinedienste).
Nordrhein-Westfahlen befürchtet eine Instrumentalisierung der DSK im Rahmen der Beteiligung an der AG-KMK-DSK. In der Öffentlichkeit sei es bereits zu der Darstellung gekommen, dass nun erstmals Gespräche zwischen Microsoft und der DSK geführt würden, was nicht zutrifft.
Von mehreren Aufsichtsbehörden wird darauf hingewiesen, dass der zirkulierte Protokollentwurf über das Treffen von Vertretern des AK Schule und Bildungseinrichtungen sowie des AK Datenschutz und Medienkompetenz mit den Vertretern der KMK irritierend sei. Die Zielrichtung der Gespräche und die Art der Beteiligung der DSK gingen daraus nicht klar hervor.
Thüringen, welches den Vorsitz beider betroffener AKs innehat, erläutert, dass sich das Protokoll derzeit noch in der Abstimmung befindet. Die Beteiligung an der AG- KMK-DSK sei als Beratung der KMK zu verstehen, Gesprächspartner für Microsoft sei aber die KMK selbst. Die Zielsetzung sei somit eine andere als bei der bestehenden DSK-Arbeitsgruppe. Die Vertreter der Arbeitskreise sollen die KMK bei der Vorbereitung auf die für Anfang 2022 geplanten Gespräche mit Microsoft unterstützen. Die Arbeitsgruppe Microsoft-Onlinedienste werde hierbei eingebunden, um einheitliche Äußerungen der DSK zu Microsoft zu gewährleisten. Man habe auch das von Baden-Württemberg erstellte Gutachten in der Diskussion berücksichtigt.
Die Teilnehmenden verständigen sich darauf, dass im Rahmen der Stellungnahmen der Arbeitskreise zum Protokoll die beratende Funktion der DSK-Vertreter klargestellt werden soll.
d) Orientierungshilfe Telemedien (OH Telemedien 2021)
Hamburg berichtet, dass die vom AK Medien erarbeitete Orientierungshilfe als abgestimmter Entwurf den DSK-Mitgliedern vorliegt; die Frist zur Rückmeldung endet am 6. Dezember 2021. Es wird darauf hingewiesen, dass das Telekommunikation- Telemedien-Datenschutzgesetz (TTDSG), auf welches die OH Bezug nimmt, am 1. Dezember 2021 in Kraft tritt. Eine Veröffentlichung der abgestimmten OH soll daher möglichst zeitnah erfolgen.
e) Gutachten zur Rechtslage in den USA
Berlin berichtet, dass das Gutachten nunmehr vorliegt und auch an alle Aufsichtsbehörden versandt wurde. Für eine inhaltliche Bewertung sei es allerdings noch zu früh, zunächst solle man die Befassung der Task Force Schrems II mit dem Gutachten abwarten. Diese werde der DSK dann berichten.
Es wird darum gebeten, dass die Task Force, in der nicht alle Aufsichtsbehörden vertreten sind, allen Aufsichtsbehörden ihre Anmerkungen und Hilfestellungen zum Gutachten zur Verfügung stellt.
Zum Abschluss der Konferenz verabschiedet die Vorsitzende Herrn Schurig, dessen Amtszeit als Sächsischer Datenschutzbeauftragter zum Jahreswechsel endet, aus der DSK und bedankt sich bei ihm für sein Engagement in den vergangenen Jahren.
Ebenso dankt sie allen Teilnehmerinnen und Teilnehmern für die konstruktive Zusammenarbeit an den beiden Sitzungstagen und verabschiedet sich bis zur nächsten Konferenz.
Monika Grethel
Landesbeauftragte für Datenschutz und Informationsfreiheit