110. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 11. und 12. Dezember 2025 – Protokoll
TOP 1 Begrüßung und Organisatorisches
Die Vorsitzende eröffnet die 110. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), die in Berlin in Präsenz durchgeführt wird, und begrüßt die Teilnehmenden. Sie stellt den geplanten Ablauf der Konferenz vor und weist auf die Tonaufzeichnung zur Erstellung des Protokolls hin.
Es wird festgestellt, dass alle Mitglieder der DSK vertreten sind.
TOP 2 Tagesordnung und Protokoll
Die Vorsitzende erläutert die Tagesordnung für die 110. Konferenz, die in aktualisierter Form am 3. Dezember 2025 versendet wurde. Sie teilt mit, dass Änderungen in der Reihenfolge der Tagesordnungspunkte vorgenommen wurden. TOP 6 a) bis c) (alt) wird in TOP 6 a) bis f) (neu) neu strukturiert. TOP 11 wird vorgezogen und TOP 13 zu Beginn des zweiten Konferenztags besprochen. TOP 9 wird nach dem Bericht aus der 48. Sitzung des IT-Planungsrats behandelt.
Die Vorsitzende fragt die Teilnehmenden, ob sie mit der Änderung der Reihenfolge einverstanden sind und ob es sonstige Änderungswünsche im Hinblick auf die Reihenfolge der zu behandelnden Tagesordnungspunkte gibt. Es werden keine Änderungswünsche zur Tagesordnung vorgetragen. TOP 10, TOP 14, TOP 15, TOP 16 a), TOP 16 b) und TOP 18 wurden bereits in der Vorkonferenz behandelt und werden von der DSK einstimmig ohne weitere Aussprache angenommen.
Die DSK nimmt die Tagesordnung einstimmig an.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
Die Vorsitzende weist auf das Protokoll der 3. Zwischenkonferenz am 17. September 2025 in Berlin hin, das per Umlaufverfahren abgestimmt und den DSK-Mitgliedern am 4. Dezember 2025 übersandt wurde.
TOP 3 Bericht des Vorsitzes
Die Vorsitzende verweist auf die Übersicht über die im Jahr 2025 durchgeführten Umlaufverfahren.
Die DSK trifft folgende Festlegung:
Die DSK nimmt die am 10. Dezember 2025 versendete Übersicht über die im Jahr 2025 durchgeführten Umlaufverfahren zur Kenntnis.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 4 Europa
a) Anstehende Entscheidungen in den EDSA-Expert Subgroups
Die Vorsitzende berichtet über die Rückmeldungen der ESG-Vertreter:innen zum Helsinki-Prozess und regt an, dieses Thema noch einmal gesondert in der DSK zu erörtern. Darüber hinaus gibt sie einen kurzen Überblick über die Themen und Fragestellungen, die in den kommenden Monaten in den Expert Subgroups und Drafting Teams voraussichtlich behandelt werden sollen:
- Borders, Travel and Law Enforcement Expert Subgroup: Leitlinien zum Auskunftsrecht nach der JI-Richtlinie
- Compliance, e-Government and Health Expert Subgroup: Leitlinien zu wissenschaftlichen Forschungsdaten
- Cross-Regulatory Interplay and Cooperation Expert Subgroup: Leitlinien zum Zusammenspiel zwischen der DSGVO und dem Data Act
- Cooperation Expert Subgroup: Erarbeitung einer internen Leitlinie zur Verfahrensordnung zur Zusammenarbeit der Behörden in Europa (VVO)
- Enforcement Expert Subgroup: Streitbeilegungsverfahren zu Rechtsmissbrauch
- Technology Expert Subgroup: Leitlinien zur DSGVO-konformen Nutzung von Blockchain
- Key Provision Expert Subgroup: Leitlinien zu Consent or Pay
Die DSK trifft die folgende Festlegung:
Die DSK nimmt den Bericht des Vorsitzes über die anstehenden Entscheidungen in den EDSA-Expert Subgroups zur Kenntnis.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
b) Bericht aus dem EDSA
Bayern LfD berichtet über die wichtigsten Themen aus der 104. bis zur 112. Plenarsitzung des EDSA und verweist auf die dazugehörigen Protokolle. Insbesondere die Themen KI, Digital-Omnibus und der Helsinki-Prozess haben den EDSA im Jahr 2025 beschäftigt.
Hamburg berichtet über die Sitzungen der DMA High Level Group. Es solle zeitnah ein Papier zum regulatorischen Zusammenspiel im Kontext von KI verabschiedet werden.
Die DSK trifft folgende Festlegung:
Die DSK nimmt den Bericht aus dem EDSA zur Kenntnis.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 5 Bericht der ZASt
Die ZASt gibt einen Überblick über die Entwicklungen in Europa. Neben der Erörterung zum Helsinki-Prozess geht die ZASt auf die Bearbeitung von grenzüberschreitenden Sachverhalten ein und weist auf die künftige Statistik-Verpflichtung nach der VVO für alle Aufsichtsbehörden hin.
Die DSK-Mitglieder diskutieren die vorgenannten Themen ausführlich.
Die Vorsitzende schlägt vor, die Statistik-Verpflichtung sowie die sich daraus ergebenden konkreten Anforderungen an die Aufsichtsbehörden in der nächsten Zwischenkonferenz der DSK zu thematisieren.
Die DSK trifft folgende Festlegung:
Die DSK nimmt den Bericht der ZASt zur Kenntnis.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 6 DSGVO-Reform und Digitaler Omnibus IV
Die Vorsitzende führt in das Thema ein. Sie weist auf die Festlegung aus der 3. Zwischenkonferenz hin, nach der der AK Grundsatz damit beauftragt wurde, die Änderungsvorschläge der DSK zur DSGVO zu prüfen und konkrete Vorschläge zur weiteren Beratung zu erarbeiten. Darüber hinaus berichtet sie über den Stand der Flagship-Themen, die der AK DSK 2.0 in Kleingruppen erarbeitet hat.
a) Entwurf von Kernaussagen zu KOM-Vorschlägen zur Änderung der DSGVO
Die Vorsitzende erläutert, dass der EDSA auf der Grundlage der Rückmeldungen der europäischen Aufsichtsbehörden ein Kernaussagenpapier erstellt hat. Dieses adressiert die Vorschläge der Europäischen Kommission zur Änderung der DSGVO.
Die Teilnehmenden diskutieren die Kernaussagen ausführlich und positionieren sich zu diesen.
Die DSK trifft folgende Festlegung:
Die DSK kommentiert die KOM-Vorschläge zur Änderung der DSGVO für die zuständigen EDSA Expert Subgroup Vertreter:innen.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
b) KOM-Vorschläge zu DSGVO-Änderungen in Bezug auf KI (Art. 9 Abs. 2 lit. k), Art. 9 Abs. 5, Art. 88c))
Die Vorsitzende teilt mit, dass Niedersachen zu dem Thema Betroffenenrechte und KI-Regulierung im Kontext der Vorschläge der Europäischen Kommission ein Papier erarbeitet habe. Berlin habe auf dieser Grundlage einen Entschließungsentwurf erarbeitet.
Die Teilnehmenden erörtern den Entschließungsentwurf ausführlich und stimmen anschließend darüber ab.
Die DSK verabschiedet die Entschließung „DSGVO-Reform: Rechtssicherheit und Innovation gehen Hand in Hand – Anpassungen für KI erforderlich“.
Ergebnis:
[16, 0, 1] (Zustimmungen, Gegenstimmen, Enthaltung)
c) KOM-Vorschläge zu Änderungen im AI Act und Data Act mit Datenschutzbezug
Die Vorsitzende führt in das Thema ein. Sie verweist auf die Vorarbeiten der Flagship-Kleingruppe KI des AK DSK 2.0 und schlägt vor, den AK Künstliche Intelligenz sowie den UAK Data Act um Kommentierung der KOM-Vorschläge zu bitten.
Die DSK trifft folgende Festlegung:
- Die DSK bittet den AK Künstliche Intelligenz, die KOM-Vorschläge zur Änderung des AI Act auf Grundlage der von der Kleingruppe KI des AK DSK 2.0 erarbeiteten Positionierung zur Novellierung der DSGVO und der KI-Verordnung („Digital-Omnibus) für die zuständigen EDSA-Expert Subgroup Vertreter:innen zu kommentieren.
- Die DSK bittet den UAK Data Act des AK Wirtschaft, die KOM-Vor-schläge zur Änderung des Data Act für die zuständigen EDSA-Expert Subgroup Vertreter:innen zu kommentieren.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
d) Betroffenenrechte vor dem Hintergrund KI
Niedersachsen führt in das Thema ein und stellt das von der Flagship-Kleingruppe KI des AK DSK 2.0 erarbeitete Papier vor.
Die DSK trifft folgende Festlegung:
Die DSK nimmt die von der Kleingruppe KI des AK DSK 2.0 erarbeitete Positionierung zur Novellierung der DSGVO und der KI-Verordnung („Digital-Omnibus“) zur Kenntnis.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
e) Art. 25-Erweiterung auf Auftragsverarbeiter, Plattform-/Herstellerhaftung
Schleswig-Holstein führt in das Thema ein und stellt einen Entschließungsentwurf zur Erweiterung der Haftung auf Auftragsverarbeiter, Plattformbetreiber und Hersteller vor.
Nach ausführlicher Erörterung stimmen die Mitglieder der DSK über den konsolidierten Entschließungsentwurf ab.
Die DSK verabschiedet die Entschließung „DSGVO-Reform: IT-Hersteller in die Verantwortung nehmen!“ einstimmig.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
f) Prüfung der dem AK-Grundsatz zugewiesenen Vorschläge aus der Strategieklausur des AK DSK 2.0 zur Änderung der DSGVO
Die BfDI berichtet, dass der AK Grundsatz sich mit den zugewiesenen Vorschlägen zur Änderung der DSGVO befasst habe. Dabei wurde im Rahmen seiner letzten Sitzung im Wesentlichen über die Zielrichtung und nicht über das konkrete Wording abgestimmt.
Die Vorsitzende bittet um Vorlage eines Abschlussberichts zur nächsten Zwischenkonferenz, der entsprechend der Festlegung der 3. Zwischenkonferenz abgestimmte konkrete, normative Vorschläge zur weiteren Beratung durch die DSK enthält.
Die DSK trifft folgende Festlegung:
- Die DSK nimmt den Bericht des AK Grundsatz zur Kenntnis.
- Die DSK beauftragt den AK Grundsatz, den abschließenden Bericht bis zur 1. Zwischenkonferenz der DSK am 29. Januar 2026 vorzulegen.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 7 Der Einsatz von Tracking-Pixeln in E-Mails im Hinblick auf § 25 TDDDG
Berlin führt in das Thema ein und stellt den Stand der Arbeiten an einem Beschlussentwurf zu Tracking-Pixeln des AK-Medien vor.
Die Teilnehmenden diskutieren über den Beschlussentwurf und verständigen sich darauf, den AK Medien zu bitten, den Beschlussentwurf zu finalisieren und im Rahmen der nächsten Zwischenkonferenz der DSK zur Beschlussfassung vorzulegen.
TOP 8 Operationalisierung der EDSA-Leitlinien zur Pseudonymisierung und Anonymisierung
Berlin gibt einen Überblick über den aktuellen Stand des Operationalisierungspapiers zu den EDSA-Leitlinien zur Pseudonymisierung und Anonymisierung und teilt mit, dass es aufgrund des Urteils des Europäischen Gerichtshofes (EuGH) vom 4. September 2025 zu Verzögerungen an der weiteren Arbeit an der EDSA-Anonymisierungsleitlinie gekommen sei und auch der Digital-Omnibus Auswirkungen auf die weitere Arbeit an dieser Leitlinie habe. Der vorgesehene Zeitplan könne deshalb nicht eingehalten und das Operationalisierungspapier somit nicht verabschiedet werden. Die in dem Entwurf des Operationalisierungspapiers aufgeführten Fallgestaltungen können aber auch unabhängig von der Annahme der Anonymisierungsleitlinien durch den EDSA genutzt werden. Der aktuelle Entwurf werde in seiner nicht finalisierten Fassung bei der DSK-Veranstaltung zum Europäischen Datenschutztag 2026 vorgestellt.
Die Vorsitzende schlägt vor diesem Hintergrund vor, die Arbeiten an dem Papier zunächst bis zum Ende des 1. Quartals 2026 ruhen zu lassen. Sollte es sich bis dahin abzeichnen, dass der EDSA die Anonymisierungsleitlinien nicht fertig stellen wird, könne das Operationalisierungspapier zu einer eigenständigen Veröffentlichung der DSK umgeschrieben werden.
Die DSK trifft folgende Festlegung:
- Die DSK nimmt den Bericht des Vorsitzes zur Erarbeitung des Operationalisierungspapiers der EDSA-Leitlinien zur Pseudonymisierung und Anonymisierung zur Kenntnis.
- Die DSK legt fest, dass die Arbeit an dem Operationalisierungspapier grundsätzlich erst nach der Verabschiedung der Leitlinien zur Anonymisierung durch den EDSA wieder aufgenommen wird, spätestens aber in der 2. Zwischenkonferenz 2026 über die Aufnahme der Arbeit entschieden wird.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
Bericht aus dem IT-Planungsrat
Niedersachsen berichtet über aktuelle Themen aus der 48. Sitzung des IT-Planungsrats am 26. November 2025:
- Deutschland Stack („D-Stack“)
- EUDI Wallet
- Datenerfassung bei Großschadenslagen
Die Teilnehmenden diskutieren über die vorgenannten Themen und gehen dabei insbesondere auf die Frage ein, wie eine Verwaltungsankopplung des EUDI Wallet für Beschwerden an die Datenschutzaufsichtsbehörden konkret aussehen und wer die Schnittstellen dafür bereitstellen könnte.
Hamburg regt an, einen zentralen Ansatz vom AK Verwaltung prüfen zu lassen.
Schleswig-Holstein schlägt vor, die Anbindung der EU-Wallet zum Anlass zu nehmen, das technisch-administrative Gesamtsystem zu analysieren.
Die Vorsitzende regt an, dieses Thema für die nächste Zwischenkonferenz anzumelden.
Hamburg und Schleswig-Holstein erklären sich bereit, sich um eine entsprechende Anmeldung zu kümmern.
TOP 9 Standardisierter Prüfprozess zu datenschutzrechtlichen Anforderungen bei EfA-Onlinediensten nach Onlinezugangsgesetz (OZG)
Die Vorsitzende berichtet, dass die Kontaktgruppe OZG 2.0 einen standardisierten Prüfprozess zu datenschutzrechtlichen Anforderungen bei EfA-Onlinediensten nach OZG erarbeitet habe und dieser bereits mit dem AK Verwaltung und dem AK Technik abgestimmt worden sei. Ziel des standardisierten Prüfprozesses sei es, den verantwortlichen Behörden konkrete Empfehlungen und einheitliche Prüfstandards an die Hand zu geben, damit datenschutzrechtliche Anforderungen bereits zu Beginn der Projektplanung in sämtliche Überlegungen einbezogen werden.
Die Teilnehmenden diskutieren darüber, welche Auswirkungen der standardisierte Prüfprozess für die aufsichtsrechtliche Praxis hat, und tauschen sich darüber aus, ob der standardisierte Prüfprozess auch auf andere Bereiche übertragen werden könnte.
Die DSK verabschiedet den Beschluss „Standardisierter Prüfprozess zu datenschutzrechtlichen Anforderungen bei EfA-Onlinediensten nach Onlinezugangsgesetz (OZG)“ einstimmig.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 10 Orientierungshilfe „Ausgewählte Fragestellungen des neuen Onlinezugangsgesetzes“
Dieser TOP wurde in der Vorkonferenz zur 110. DSK behandelt und wird daher nicht erneut aufgerufen.
TOP 11 Sachstand zum SDM
Mecklenburg-Vorpommern führt in das Thema ein und gibt einen kurzen Überblick über den aktuellen Sachstand zum SDM.
Die DSK trifft folgende Festlegung:
- Die DSK nimmt den Bericht des AK Technik zur Kenntnis.
- Die DSK bittet die UAG SDM um Zuarbeit für die Erstellung von Templates zur Datenschutzfolgenabschätzung der Technology Expert Subgroup.
- Die DSK erinnert an die Festlegung aus der 108. DSK, dass die Aufsichtsbehörden gegenüber dem AK Technik eine Ansprechperson für die Arbeiten am SDM benennen.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 12 Polizei 20/20 (P20)
Die BfDI berichtet ausführlich über den aktuellen Stand in der AG INPOL hinsichtlich des Bund-Länder-Projekts Polizei 20/20.
Die DSK trifft folgende Festlegung:
- Die DSK nimmt den Bericht der BfDI als Vorsitz der AG INPOL zur Kenntnis.
- Die DSK betont die Notwendigkeit einer Rechtsgrundlage und bittet den AK Sicherheit um weitere Ausarbeitung bis zur 1. Zwischenkonferenz der DSK am 29. Januar 2026.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 13 CSA-Verordnung/Chatkontrolle – aktuelle Entwicklungen
Die BfDI berichtet über den Stand des aktuellen Verordnungsentwurfs. Der Rat der Europäischen Union habe sich am 26. November 2025 auf eine allgemeine Ausrichtung geeinigt, sodass der Trilog mit dem Europäischen Parlament und der Europäischen Kommission starten könne.
Die Teilnehmenden tauschen sich kurz zu dem Thema aus und einigen sich darauf, es im Rahmen der 2. Zwischenkonferenz der DSK am 25. März 2026 erneut aufzurufen.
Die DSK trifft folgende Festlegung:
- Die DSK nimmt den Bericht der BfDI zur Kenntnis.
- Die DSK wird sich im Rahmen der 2. Zwischenkonferenz der DSK am 25. März 2026 erneut mit dem Punkt befassen.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 14 Merkblatt „Verständigung“ des AK Rechtsdurchsetzung
Dieser TOP wurde in der Vorkonferenz zur 110. DSK behandelt und wird daher nicht erneut aufgerufen.
TOP 15 Orientierungshilfe zur Zusammenarbeit mehrerer Aufsichtsbehörden im Rahmen von § 5 GDNG
Dieser TOP wurde in der Vorkonferenz zur 110. DSK behandelt und wird daher nicht erneut aufgerufen.
TOP 16 Versicherungswirtschaft
a) Muster Einwilligungs- und Schweigepflichtentbindungserklärung des GDV e.V.
Dieser TOP wurde in der Vorkonferenz zur 110. DSK behandelt und wird daher nicht erneut aufgerufen.
b) CoC Versicherungswirtschaft
Dieser TOP wurde in der Vorkonferenz zur 110. DSK behandelt und wird daher nicht erneut aufgerufen.
TOP 17 Kurzinformationsblatt Datenschutz („DSGVO-easyInfo“)
Schleswig-Holstein stellt ein Datenschutz-Kurzinformationsblatt vor, das im Projekt „DSGVO-easyInfo“ an der Georg-August-Universität Göttingen entwickelt wurde. Das Projekt läuft von März 2023 bis Februar 2027 und wird vom Bundesministerium für Forschung, Technologie und Raumfahrt im Rahmen der Plattform Privatheit gefördert. Schleswig-Holstein ist in Form von Workshops an dem Forschungsprojekt beteiligt. Ziel dieses Projekts ist die Gestaltung und Erprobung eines vereinheitlichten Kurzinformationsblatts (One-Pager), um betroffenen Personen die wichtigen Aspekte einer Verarbeitung ihrer personenbezogenen Daten übersichtlich und verständlich aufzubereiten. Hierzu wird auf Konzepte wie Mehrebenen-Darstellungen und die im Verbraucherschutz gebräuchliche Vereinheitlichung von Layout und Inhalten zurückgegriffen. Kurzinformationen werden keine umfassende Information nach den Art. 13 und Art. 14 DSGVO bereitstellen können. Vielmehr sind Kurzinformationen zugunsten ihrer Verständlichkeit so zu gestalten, dass betroffene Personen die Konsequenzen der Verarbeitung verstehen können und Überraschendes vermieden wird (WP260 rev.01, Rn. 36).
Die Teilnehmenden diskutieren über weitere Anwendungsfälle für die Kurzinformationsblätter und adressieren die Herausforderungen für eine europaweit verständliche Umsetzung.
Die DSK trifft folgende Festlegung:
Die DSK nimmt den Bericht des ULD Schleswig-Holstein zur Kenntnis.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 18 DSK-Prüfkriterienpapier Version 3.0
Dieser TOP wurde in der Vorkonferenz zur 110. DSK behandelt und wird daher nicht erneut aufgerufen.
TOP 19 Sonstiges
a) Austausch DSK-BMG zur Umsetzung EHDS/Fortentwicklung GDNG
Die DSK trifft folgende Festlegung:
Die DSK beauftragt den AK Gesundheit und Soziales, den Austausch mit dem Bundesministerium für Gesundheit zur Umsetzung zum „European Health Data Space“ sowie die Fortentwicklung des Gesundheitsdatennutzungsgesetzes vor- und nachzubereiten.
Ergebnis:
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
b) UAK Aktualisierung E-Mail/Internet am Arbeitsplatz – Weichenstellung
Bayern LDA kündigt an, die Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz als Thema für die nächste Zwischenkonferenz anzumelden.
c) Sonstiges
Sachsen berichtet von der konstituierenden Sitzung des Beirats der Stiftung Datenschutz und der Wahl des Vorsitzenden des Beirats.
Rheinland-Pfalz erinnert an die Termine für Klausurtagungen in 2026 (Winter- und Sommerklausur). BfDI bietet an, die Winterklausur am 5. und 6. Februar 2026 in Berlin auszurichten.