2. Zwischenkonferenz 2023 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 22. März 2023 – Protokoll

TOP 01 – Begrüßung und Organisatorisches

Die Vorsitzende eröffnet die 2. Zwischenkonferenz 2023 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), die als Videokonferenz durchgeführt wird, und begrüßt die Teilnehmenden.

Die Vorsitzende stellt den geplanten Ablauf der Konferenz vor.

Es wird festgestellt, dass alle Mitglieder der DSK anwesend sind.

TOP 02 – Tagesordnung und Protokoll

Die Vorsitzende erläutert die Tagesordnung. Die DSK beschließt, die verspätet angemeldeten Tagesordnungspunkte „AK DSK 2.0“ als TOP 17 und „Forschungsklauseln in den Landeskrankenhausgesetzen der Länder“ als TOP 18 auf die Tagesordnung zu nehmen.

[15, 0, 2] (Zustimmungen, Gegenstimmen, Enthaltungen)

Brandenburg kündigt einen Wortbeitrag unter dem TOP 16 – „Sonstiges“ an.

Im Laufe der Konferenz wird die Reihenfolge der zu behandelnden Tagesordnungspunkte im Anschluss an die Behandlung von TOP 08 wie folgt angepasst:

TOP 17 – TOP 18 – TOP 13 – TOP 10 – TOP 12.

Die Vorsitzende stellt fest, dass das Umlaufverfahren zum Protokoll zur 1. Zwischenkonferenz am 16. März 2023 eingeleitet wurde und bis zum 6. April 2023 abgeschlossen sein wird. Das Protokoll wird im Anschluss veröffentlicht.

TOP 03 – Bericht über Umlaufverfahren

Die Vorsitzende berichtet über die bisherigen Umlaufverfahren:

• 1/2023: Protokoll der DSK 2022
• 2/2023: Stellungnahme der DSK zum Energiepreispauschalengesetz (EPPSG)
• 3/2023: Protokoll der Zwischenkonferenz 2023

Sachsen-Anhalt bezieht sich im Zusammenhang mit dem Umlaufverfahren 2/2023 auf ein Antwortschreiben des Ministeriums für Infrastruktur und Digitales (MID) Sachsen-Anhalt an die Vorsitzende der DSK. Daraus lasse sich entnehmen, dass der Landesbeauftragte für den Datenschutz Sachsen-Anhalt die aktuellen Versionen von Dokumenten nicht weitergegeben und die Stellungnahme der DSK zum EPPSG aus diesem Grund auf veralteten Informationen basiert habe. Sachsen-Anhalt widerspricht dieser Darstellung im Antwortschreiben des Ministeriums. Die Vorsitzende bedankt sich für die Klarstellung. Ein Handlungsbedarf seitens der DSK wird derzeit nicht gesehen.

TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss

Der BfDI erläutert die aktuellen Themen, die im EDSA behandelt werden, der seit der 1. Zwischenkonferenz 2023 zweimal getagt hat:

75. Plenartagung (14.-15. Februar 2023):

• Verabschiedung von drei Leitlinien, jeweils nach erfolgter öffentlicher Konsultation:
  1. Leitlinie zum Zusammenspiel zwischen der Anwendung von Art. 3 und den Vorschriften zum Internationalen Datenverkehr nach dem Kapitel V der DSGVO (05/2021)
  2. Leitlinie zur Zertifizierung als Instrument für Drittstaatenübermittlung (07/2022)
  3. Leitlinie zu irreführenden Gestaltungsmustern in der Schnittstelle von Social-Media-Plattformen (03/2022)
• Sachstand zur 65-Entscheidung 5/2022 zu dem von der irischen Datenschutzbehörde vorgetragenen Streitfall zu WhatsApp Ireland Limited
• Verabschiedung des internen und externen Arbeitsprogramms des EDSA 2023-2024
• Einrichtung einer Taskforce zur Internationalen Zusammenarbeit, die insbesondere den Informationsaustausch und die inhaltliche Abstimmung des EDSA zu internationalen Themen und Kommunikation der EU-Positionen zum Ziel haben Der BfDI wird sich dort einbringen.

Der BfDI habe sich dafür ausgesprochen, im Verfahren von WhatsApp Ireland die Diskussion zu beenden und in die Entscheidungsfindung überzugehen. Der EDSA sei der Auffassung, bei WhatsApp Ireland bestünden nicht nur Fragestellungen hinsichtlich der Transparenz, vielmehr sei bereits die Rechtsgrundlage für Datenverarbeitungen klärungsbedürftig.

76. Plenartagung (28. Februar 2023):

• Stellungnahme zum Entwurf des Durchführungsbeschlusses der Europäischen Kommission über die Angemessenheit des Schutzniveaus bei der Verarbeitung personenbezogener Daten zwischen der EU und den USA

Bayern (LfD) ergänzt, dass die FRA (Europäische Agentur für Grundrechte) einzelne Kolleginnen und Kollegen angesprochen habe, um eine Evaluierung der DSGVO durchzuführen. Es sollen anonyme Befragungen durchgeführt werden. Die Ergebnisse würden dann zusammengefasst der Kommission mitgeteilt.

Rheinland-Pfalz erkundigt sich nach dem konkreten Arbeitsauftrag der neu eingerichteten Taskforce Internationale Zusammenarbeit. Der BfDI meint, dass sich die Taskforce generell mit der Begleitung der internationalen Themen befassen soll.

TOP 05 – Europäischer Raum für Gesundheitsdaten

Die Vorsitzende ruft Hessen als Berichterstatter auf. Hessen erläutert das Thema. Die DSK hatte der der Taskforce Forschungsdaten den Auftrag erteilt, eine Stellungnahme zu entwerfen. Es sollte vor allem um eine politisch-strategische Einschätzung des Themas und um eine kritische Würdigung der Grundprinzipien gehen, die dieser Verordnung zugrunde liegen. Insbesondere sollten Fragestellungen bezogen auf die Sekundärnutzung der Daten berücksichtigt werden. Auch sollte beachtet werden, dass diese Verordnung eine Blaupause für die zwölf weiteren Datenräume werden wird, die die EU schaffen will.

Bayern (LfD) weist darauf hin, dass im Europäischen Parlament am 23. März 2023 die Frist für Änderungsanträge der beiden federführenden Ausschüsse (ENVI, LIBE) ausläuft.

Baden-Württemberg schließt an die Ausführungen von Bayern (LfD) an und berichtet über Informationen aus den beiden genannten Ausschüssen vom 1. März 2023. Gefordert werde, dass die Betroffenen eine Opt-out Möglichkeit für die Sekundärnutzung erhalten und dass die Daten in der EU gespeichert werden. Eine Übermittlung in Drittstaaten für wissenschaftliche Forschung, internationale Zusammenarbeit und weitere Zwecke solle aber möglich sein. Zudem werde eine stärkere Aufsicht über die Datenzugangsstellen gefordert. Baden-Württemberg weist darauf hin, dass es sich hierbei um Themen handele, die möglicherweise im Entwurf noch nicht exakt adressiert worden seien.

Der Entwurf der Stellungnahme wird inhaltlich diskutiert.

Anschließend werden weitere einzelne Formulierungen des Entwurfs diskutiert.

Aufgrund des noch vorhandenen Diskussionsbedarfs wird die Stellungnahme in der Sitzung nicht finalisiert. Die Vorsitzende schlägt vor, die Stellungnahme im Anschluss an die Konferenz im Rahmen eines Umlaufverfahrens bis zum 24.03.2023 final abzustimmen. Es gibt keine Einwände zu diesem Vorgehen. Die Teilnehmenden erkennen die Eilbedürftigkeit des Themas an.

Die DSK trifft nach einem ausführlichen Austausch die folgende Festlegung:

„Der von der Taskforce Forschungsdaten vorgelegte Entwurf für eine Stellungnahme zum Europäischen Gesundheitsdatenraum wird beraten. Die Abstimmung über den Entwurf erfolgt im Nachgang zur 2. Zwischenkonferenz im Umlaufverfahren mit kurzer Frist. Änderungswünsche können im Umlaufverfahren mitgeteilt werden.“

[15, 0, 0]* (Zustimmungen, Gegenstimmen, Enthaltungen)

*Bremen und Niedersachsen waren abwesend.

[Nachtrag: Die Stellungnahme wurde im Umlaufverfahren beschlossen und durch den Vorsitz an das Bundesministerium für Gesundheit, sowie an das Bundesministerium für Bildung und Forschung und an das Bundesministerium für Justiz versandt. Sie ist auf der Website der DSK veröffentlicht.]

TOP 06 – Positionspapier Souveräne Clouds

Die Vorsitzende führt in das Thema ein. Das Redaktionsteam, das mit der Überarbeitung beauftragt war, hat das Papier überarbeitet. Der BfDI erläutert kurz die Punkte, die bei der letztmaligen Behandlung noch weiteren Klärungsbedarf aufgewiesen hatten, insbesondere die die Änderung der Formulierung „Anforderungen“ in „Kriterien“ und die Begrenzung des Papiers auf den EWR. Durch das Redaktionsteam wurden insbesondere bis dahin unklare Formulierungen des Papiers überarbeitet.

Es entsteht ein intensiver Austausch. Die Teilnehmenden diskutieren einige Formulierungen des Papiers zur weiteren Klarstellung.

Der TOP wird in der 105. DSK erneut aufgerufen. Änderungswünsche sollen im Vorfeld mitgeteilt werden. Das Positionspapier soll nach erfolgter Abstimmung veröffentlicht werden.

TOP 07 – Bewertung von Pur-Abo-Modellen auf Websites

Hamburg führt in das Thema ein und erläutert, dass das Dokument im AK Medien abgestimmt worden sei. Die zentrale Aussage des Papiers sei, dass Tracking auf Websites unter bestimmten Voraussetzungen auf der Grundlage einer Einwilligung zulässig sein könne, auch wenn die trackingfreie Alternative – das so genannte Pur-Abo – bezahlpflichtig ist. Insbesondere müsse die Einwilligung aus datenschutzrechtlicher Sicht wirksam und die Leistung, die Nutzende bei einem Bezahlmodell erhalten, eine gleichwertige Alternative zu der Leistung darstellen, die diese durch eine Einwilligung erlangen. Auch das trackingfreie Angebot unterliege dem TTDSG. Eine allgemeine und pauschale Gesamt-Einwilligung sei nichtwirksam. Gefordert werde, dass die Einwilligung granular erteilt werden können muss. Die Teilnehmenden erörtern einige Aspekte des Papiers.

Nordrhein-Westfalen bittet um Klarstellung, wie eine Erteilung von granularen Einwilligungen in der Praxis funktionieren soll, insbesondere, wenn die betroffene Person vereinzelten Zwecken nicht zustimmt. Insbesondere sei fraglich, ob das Unternehmen den Zugang zu der Website auch dann kostenfrei gewährleisten muss, wenn die Betroffenen nur in einen einzigen Zweck einwilligen. Hamburg erläutert, dass die Granularität der Einwilligung bei denjenigen Tracking-Maßnahmen ende, die zur Werbefinanzierung notwendig seien. Man könne aber gewisse andere Formen des Trackings oder der Reichweitenmessung ablehnen und trotzdem Werbung akzeptieren. Die Granularität beziehe sich auf Tracking-Methoden, die nicht den Werbemarkt im engeren Sinne betreffen.

Hessen erkundigt sich nach der Rechtsgrundlage für die Forderung einer Alternative. Die Vorsitzende weist darauf hin, dass sich diese Anforderung aus Art. 7 Abs. 4 DSGVO ergibt. Hamburg erläutert dazu, dass die Einwilligung nicht freiwillig sei, wenn die Betroffenen nicht die Möglichkeit haben, das Angebot auch ohne die Verarbeitung personenbezogener Daten wahrzunehmen. Hessen bittet darum, den Art. 7 Abs. 4 DSGVO und den EG 42 aufzunehmen. Hinsichtlich des Vorschlags aus Hessen erläutert Bayern LDA, dass das ausdrückliche Benennen des Art. 7 Abs. 4 DSGVO sowie des EG 42 nicht notwendig sei. Vielmehr könne die in der Fußnote angegebene Leitlinie des EDSA, die sich mit Art. 7 Abs. 4 DSGVO beschäftige, um konkrete Randnummern ergänzt werden.

Nordrhein-Westfalen wirft die Frage auf, ob der Beschluss die Aussage beinhaltet, dass die Verarbeitung personenbezogener Daten durch Web-Angebote ausschließlich auf der Grundlage einer Einwilligung ermöglicht werden soll. Hamburg legt dar, dass grundsätzlich auch Art. 6 Abs. 1 Buchst. b DSGVO in Betracht komme. Das sei hier aber bewusst ausgeklammert. Nordrhein-Westfalen merkt an, dass es neben der Lösung mit einer Einwilligung auch eine Vertragslösung geben kann. Bayern LDA stimmt dem zu. Hamburg plädiert dafür, das Thema der Rechtsgrundlage (Vertragslösung / Einwilligungslösung) separat zu behandeln.

Im Anschluss an den Austausch beschließt die DSK:

Die DSK verabschiedet den vorgelegten Beschluss zur „Bewertung von Pur-Abo-Modellen auf Websites“. Der Beschluss soll mit einer begleitenden Pressemitteilung veröffentlicht werden.

[14, 0, 3] (Zustimmungen, Gegenstimmen, Enthaltungen)

TOP 08 – Beratung der KMK - Bildungsverlaufsregister

Die Vorsitzende erläutert das Thema. Die Kultusministerkonferenz (KMK) hat die DSK um Beratung bezüglich des Ländervorschlags der Kommission für Statistik für ein Identitätsmanagement im Bildungsverlaufsregister gebeten. Vorgeschlagen ist, dass der AK Schule und Bildungseinrichtungen die Anfrage der KMK bearbeitet. Thüringen weist darauf hin, dass es im Jahr 2006 schon eine Entschließung zu dem Thema gegeben hat. Nordrhein-Westfalen regt eine Beteiligung des AK Statistik an. Bayern LfD spricht sich dafür aus, federführend den AK Statistik zu beauftragen. Das Thema sei auch damals im AK Statistik behandelt worden. Thüringen berichtet, dass es speziell zu diesem Thema aktuell keine Gespräche des AK Schulen und Bildungseinrichtungen mit der KMK gebe, man aber generell zu Datenschutzthemen im Austausch stehe.

Die DSK trifft die folgende Festlegung:

Die DSK beauftragt den AK Schulen und Bildungseinrichtungen, unter Beteiligung des AK Statistik eine Stellungnahme zu dem von der Kommission für Statistik der KMK übersandten Ländervorschlag für ein Identitätsmanagement im Bildungsverlaufsregister zur Vorlage an die DSK zu erarbeiten und, sofern er es für erforderlich hält, vorbereitende Gespräche mit der KMK führen und der DSK hierüber zu berichten.

[16, 1, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)

TOP 09 – Umgang mit Taskforces

Aus Zeitgründen wird der TOP verschoben.

TOP 10 – Vorsitz AK Werbung und Adresshandel

Die Vorsitzende führt in das Thema ein. Bayern (LDA) und Nordrhein-Westfalen erklären sich bereit, den Vorsitz des Arbeitskreises gemeinsam zu übernehmen.

Nach kurzer Erörterung trifft die DSK die folgende Festlegung:

Der Vorsitz des Arbeitskreises Werbung und Adresshandel wird durch das Bayerische Landesamt für Datenschutzaufsicht und die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen gemeinsam als Co-Vorsitz ausgeübt. Abweichend von Abschnitt B. I. der Geschäftsordnung der DSK wird über die Verlängerung oder Neubesetzung des Vorsitzes bereits im Jahr 2026 entschieden.

[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)

TOP 11 – Umgang mit Dokumenten der DSK

Aus Zeitgründen wird der TOP verschoben.

TOP 12 – Youngdata-Redaktion

Thüringen und Mecklenburg-Vorpommern berichten. Zu Beginn des 2. Quartals soll die neue Youngdata-Website online gehen. Zur Betreuung der Website ist angedacht, dass ein Redaktionsteam die Beiträge für diese Website erstellt, ohne für jede Veröffentlichung eine Abstimmung in der DSK herbeizuführen. Die Einbindung der DSK soll durch regelmäßige Berichterstattung erfolgen. Hamburg befürwortet den Vorschlag, spricht sich aber perspektivisch für eine Zusammenführung mit den Aufgaben der Geschäftsstelle der DSK aus.

Die DSK trifft einvernehmlich die folgende Festlegung:

Die Mitglieder der Konferenz erklären ihre Zustimmung für die Errichtung einer „Redaktionsgruppe Youngdata“. Die Aufsichtsbehörden beteiligen sich, im Rahmen ihrer personellen Möglichkeiten, an der Redaktionsgruppe. Zukünftig werden Inhalte durch die Redaktionsgruppe für Youngdata erarbeitet und eingepflegt. Die DSK wird regelmäßig über den Stand der Website informiert.

Als ständige Mitglieder der Redaktionsgruppe melden sich Berlin, Mecklenburg-Vorpommern, Rheinland-Pfalz und Thüringen. Die Redaktionsgruppe ist für weitere Mitglieder offen.

[17, 0, 0] (Zustimmung, Gegenstimmen, Enthaltungen)

TOP 13 – Wechsel in der zeitlichen Abfolge des Vorsitzes der Datenschutzkonferenz zwischen Thüringen und Berlin

Thüringen erläutert den Antrag.

Die DSK trifft die folgende Festlegung:

Die DSK legt fest, dass der Vorsitz der Datenschutzkonferenz zwischen Thüringen und Berlin gewechselt wird. Danach übernimmt Berlin im Jahr 2025 und Thüringen im Jahr 2028 den Vorsitz der DSK.

[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)

TOP 14 – Angemessenheitsbeschlussentwurf USA (EU-U.S. DPF)

Aus Zeitgründen wird der TOP nicht behandelt.

TOP 15 – Überarbeitung Kurzpapier Nr. 9: Zertifizierung nach Art. 42 DSGVO

Aus Zeitgründen soll die Bearbeitung des TOPs im Nachgang per Umlaufverfahren erfolgen.

TOP 16 – Sonstiges

Brandenburg berichtet: Brandenburg vertrat bisher die Datenschutzkonferenz im Beirat „Digitales“ beim Verbraucherzentrale Bundesverband (VZBV). Der VZBV habe in der Beiratssitzung die Auflösung des Beirats nach Ende der Amtszeit im Herbst mitgeteilt. Der Wunsch aller Anwesenden sei es gewesen, ein neues Format für den Austausch zu finden. Brandenburg habe im Beirat Interesse der DSK an einer solchen Austauschmöglichkeit signalisiert.

Berlin kündigt an, dass beabsichtig sei, die Vertretung der Ländervertretung im Coordinated Supervision Committee (CSC) abzugeben.

Rheinland-Pfalz gibt Informationen zur Sommerklausur.

TOP 17 – AK DSK 2.0

Rheinland-Pfalz erörtert den derzeitigen Stand. Der AK DSK 2.0 hat ein Papier zum Auftrag der Geschäftsstelle erstellt, das jetzt konsolidiert und im AK DSK 2.0 verabschiedet wurde. Enthalten ist insbesondere der Aufgabenkranz, den die Geschäftsstelle abdecken soll. Im Kern soll sie den Vorsitz unterstützen. Der Arbeitskreis hat den Teil „Aufgaben“ und „Rahmenbedingungen“ abgearbeitet. Rheinland-Pfalz bittet die DSK, das Papier zur Kenntnis zu nehmen.

Die DSK trifft die folgende Festlegung:

1. Die Datenschutzkonferenz spricht sich für die Einrichtung einer Geschäftsstelle aus, um ihre Tätigkeiten zu effektivieren und die Koordinierung zu verbessern. Die Geschäftsstelle soll von Bund und Ländern gemeinsam errichtet und unterhalten werden.
2. Die Datenschutzkonferenz nimmt das Zwischenergebnis des AK DSK 2.0 zur Errichtung einer Geschäftsstelle zur Kenntnis. Dieses soll als Grundlage für das weitere Vorgehen dienen.
3. Der Vorsitz wird gebeten, sich an das BMI und die IMK zu wenden und für die baldmögliche Einrichtung einer gemeinsamen Geschäftsstelle der Datenschutzkonferenz zu werben.

[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)

TOP 18 – Forschungsklauseln in den Landeskrankenhausgesetzen der Länder

Hessen erläutert die Thematik. Insbesondere geht es um eine verbesserte Harmonisierung des Datenschutzes bei länderübergreifender Forschung. Momentan gibt es unterschiedliche Forschungsklauseln in den Landeskrankenhausgesetzen. Die Teilnehmenden diskutieren die Formulierung des Arbeitsauftrags an die Taskforce Forschungsdaten und die geplante Verwendung des Papiers.

Die DSK trifft die folgende Festlegung:

Die DSK beauftragt die Taskforce Forschungsdaten, zu dem folgenden Thema ein Papier zu erstellen und zur 106. DSK vorzulegen:

„Harmonisierung der Landesdatenschutz- und Landeskrankenhausgesetze in datenschutzrechtlicher Hinsicht zur Unterstützung der Verbundforschung – Ein Appell an die Gesetzgeber, zu einer verbesserten Harmonisierung zu kommen“

Der Hintergrund des Arbeitsauftrages sind die anhaltenden – oft an die Datenschutzaufsichtsbehörden adressierten – Beschwerden von Forschenden, die uneinheitlichen Landesregelungen, insbesondere in den Landeskrankenhausgesetzen, erschwerten die länderübergreifende Forschung.

Die Taskforce Forschungsdaten wird daher beauftragt, der DSK ein Papier vorzulegen, das sich mit den folgenden Fragen beschäftigt:

• Gibt es Erfahrungen aus bisherigen Beratungen von Projekten durch die Taskforce Forschungsdaten, welche Regelungen die länderübergreifende Forschung erschweren (Bsp. RACOON)?
• Können uneinheitliche Regelungen aus dem Bereich Datenschutz in einzelnen Landesdatenschutz- und/ oder Landeskrankenhausgesetzen identifiziert werden, die eine Erschwernis für die länderübergreifende Forschung darstellen? Wenn ja, welche?
• Gibt es Möglichkeiten, dies zu korrigieren, wenn ja, wodurch (Lösungsansätze, z. B. Regelungen zur Forschung mit bildgebenden Dateien – diese werden nicht als anonyme Daten behandelt, mit ihnen könnte aber in Verbindung mit ausreichenden Garantien geforscht werden, entsprechend dem Grundsatz aus der Petersberger Erklärung – je mehr datenschutzrechtliche Garantien, desto mehr Forschung ist möglich)?
• Gibt es auch auf Bundesebene Regelungen, die einer Harmonisierung in datenschutzrechtlicher Hinsicht bei der länderübergreifenden Forschung dienen bzw. sind diese geplant (z. B. Überarbeitung des § 287a SGB V)?

Die Arbeiten der Taskforce sollen darauf gerichtet sein, Eckpunkte für eine Regulierung zu erarbeiten; ein konkreter Formulierungsvorschlag für eine Regelung soll nicht erstellt werden. Das Papier soll nach Beschlussfassung durch die DSK veröffentlicht werden.

[16, 1, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)