3. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 27. September 2023 – Protokoll
TOP 01 – Begrüßung und Organisatorisches
Die Vorsitzende eröffnet die 3. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) und begrüßt die Teilnehmenden.
Die Vorsitzende stellt den geplanten Ablauf der Konferenz vor. Es wird festgestellt, dass alle Mitglieder der DSK vertreten sind.
TOP 02 – Tagesordnung und Protokoll
Die Vorsitzende erläutert die Tagesordnung für die 3. Zwischenkonferenz, die in aktualisierter Version am 21.09.2023 verschickt wurde.
Hessen beantragt, den TOP Harmonisierung der Forschungsklauseln in den Landeskrankenhausgesetzen in die Tagesordnung aufzunehmen. Die Dringlichkeit begründet Hessen damit, dass in einigen Ländern bereits Vorhaben zur Änderung der Landeskrankenhausgesetze begonnen hätten. Er wird als neuer TOP 15 im Anschluss an TOP 11 behandelt.
Die DSK nimmt die Tagesordnung in der vorgeschlagenen Reihenfolge einstimmig an.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
Für den TOP Sonstiges werden folgende Themen angemeldet: Sachsen-Anhalt bittet um Besprechung von Möglichkeiten zum Austausch von Prüfkonzepten zwischen den Behörden. Der BfDI bittet um Aussprache zum Thema Veröffentlichung der Stellungnahme der DSK zur KOM-VVO, insbesondere vor dem Hintergrund, dass der EDSA eine Stellungnahme dazu veröffentlicht hat. Berlin und Schleswig-Holstein melden ebenfalls Wortbeiträge zum TOP Sonstiges an.
TOP 03 – Bericht des Vorsitzes
Die Vorsitzende berichtet aus dem Zeitraum der 105. DSK bis jetzt. Die Vorsitzende führt kurz zum Thema der Bereitstellung von DSK-Dokumenten auf der Website aus und regt eine proaktive Veröffentlichung der Dokumente zum frühestmöglichen Zeitpunkt an, soweit dem keine Hinderungsgründe entgegenstehen. Die Fragen der Veröffentlichung und etwaiger Hinderungsgründe sollen bei allen Beschlussfassungen geklärt und berücksichtigt werden. Das Protokoll des Austauschs mit den spezifischen Datenschutzaufsichtsbehörden werde im schleswig-holsteinischen Vorsitzjahr durch den DSK-Vorsitz standardmäßig veröffentlicht.
Die Vorsitzende gibt einen kurzen Überblick über den Stand zur Reform des BDSG, insbesondere zur möglichen Einführung einer Geschäftsstelle der DSK.
Die DSK nimmt die am 06.09.2023 versandte Übersicht über die bisher im Jahr 2023 durchgeführten Umlaufverfahren zur Kenntnis.
TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss
Der BfDI berichtet von den Sitzungen des Europäischen Datenschutzausschusses (EDSA). Seit der letzten DSK hat der EDSA fünfmal getagt.
80. Plenartagung:
- Neufassung der Leitlinien 4/2022 zur Berechnung von Bußgeldern nach Abschluss der öffentlichen Konsultation
- Neufassung der Leitlinien 3/2021 zur Anwendung des 65 Abs. 1 (a) DSGVO nach öffentlicher Konsultation
- Wahl des neuen EDSA Vorsitzes: Anu Talus, Vorsitzende / Irene Loizidou Nicolaidou, Stellvertreterin / Aleid Wolfsen, Stellvertreter (bleibt weiterhin Stellvertreter)
81. Plenartagung:
- Verabschiedung von Empfehlungen zum Umgang mit Zulassungsanträgen betreffend die verbindlichen Unternehmensregelungen von Verantwortlichen
- Beobachterstatus für Datenschutzaufsichtsbehörde aus Georgien
82. Plenartagung:
- Annahme der Empfehlung zur vereinfachten Handhabung von Cross-Border-Fällen
- Bestätigung der Adäquanzentscheidung zum Datenschutzniveau in Japan
83. Plenartagung:
- Streitbelegungsverfahren zum Entscheidungsentwurf der irischen Aufsichtsbehörde in Bezug auf TikTok Ireland Limited; verbindliche Entscheidung des EDSA wurde angenommen
84. Plenartagung:
- Verabschiedung der gemeinsamen Stellungnahme zum Vorschlag für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO
Bayern (LfD) ergänzt wie folgt:
In der 84. Plenartagung wurde die neue EDSA-Strategie diskutiert. Bis zum 10. Oktober 2023 können Vorschläge eingebracht werden.
TOP 05 – Bericht aus der Taskforce KI
Die Vorsitzende ruft Rheinland-Pfalz zur Berichterstattung auf. Rheinland-Pfalz berichtet zur Prüfung von ChatGPT. Die Antworten von OpenAI werden gemeinsam ausgewertet und etwaige Nachfragen gebündelt. Die Taskforce KI tauscht sich dazu auch auf EU-Ebene mit der Taskforce ChatGPT des EDSA aus. Dabei würden auch die Pläne von OpenAI zur Gründung einer Niederlassung in der EU (Irland) berücksichtigt.
Zum Arbeitsauftrag der DSK zur KI-Verordnung führt Rheinland-Pfalz aus, dass zunächst von den DSK-Mitgliedern abgefragt wurde, welche Personalressourcen im Hinblick auf KI zur Verfügung stünden oder geplant seien. Der Rücklauf sei gut gewesen und werde zurzeit ausgewertet. Erste Zwischenergebnisse könnten zur 106. DSK vorliegen.
TOP 06 – Bericht aus dem AK DSK 2.0
Die Vorsitzende ruft Rheinland-Pfalz zur Berichterstattung auf. Rheinland-Pfalz erläutert die Themen, mit denen sich der Arbeitskreis zurzeit im Wesentlichen befasst:
- Geschäftsstelle
- Aufgaben der Geschäftsstelle
- Regelung der Geschäftsstelle (Verwaltungsvereinbarung/Vertrag)
Mit diesen Themen ist der UAK Geschäftsstelle befasst. Erste Arbeitsergebnisse liegen vor, die fortlaufend ergänzt werden. Der weitere Fortgang hängt maßgeblich davon ab, ob die Einrichtung der Geschäftsstelle in das aktuelle Gesetzgebungsverfahren zum BDSG aufgenommen wird.
Darüber hinaus berichtet Rheinland-Pfalz von der Sommerklausur. Diese habe in diesem Jahr als Pilot stattgefunden und sollte aus Sicht von Rheinland-Pfalz fortgeführt werden.
Die nächste Sitzung des AK DSK 2.0 soll in Präsenz am Tag nach der Veranstaltung zum Europäischen Datenschutztag stattfinden, d. h. am 30. Januar 2024.
Bis zur nächsten Sitzung des AK DSK 2.0 wird der UAK Mehrheitsentscheidungen unter der Leitung von Hessen die Geschäftsordnung der DSK auf Änderungsbedarf prüfen.
TOP 07 – Microsoft EU Data Boundary
Bayern (LDA) führt aus, dass eine Überprüfung des EU Data Boundary das damit verbundene DPA 01/23 erfolgt sei. Im Ergebnis ändere sich die Bewertung der Vereinbarung zur Auftragsverarbeitung für Microsoft 365 vom 2. November 2022 dadurch nicht. Eine Abstimmung in der AG stehe noch aus.
Die Vorsitzende kündigt an, dass der Bericht der Arbeitsgruppe im schriftlichen Umlaufverfahren abgestimmt und anschließend veröffentlicht werden soll.
TOP 08 – Audiovisuelle Umgebungserfassung
Der BfDI erläutert, dass das vorliegende Papier aus Beratungen mit dem Verband der Automobilindustrie (VDA) entstanden ist. Auf Ebene der DSK wurde das Papier von einer Redaktionsgruppe überarbeitet.
Die Teilnehmenden verabschieden den Beschluss „Audiovisuelle Umgebungserfassung bei Entwicklungsfahrten“ und beschließen dessen Veröffentlichung.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
Darüber hinaus trifft die DSK folgende Festlegung:
Die DSK beauftragt den AK Verkehr, zu prüfen, ob Bedarf für eine gesetzliche Regelung solcher Datenverarbeitungen gesehen wird und wenn ja, möglichst bis zur 106. DSK eine entsprechende Entschließung vorzubereiten.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 09 – Ablauf Konsultationsverfahren
Niedersachsen führt in den TOP ein. Das Eckpunktepapier soll die Strukturen zum Ablauf von Konsultationsverfahren vorgeben, die z. B. im Rahmen der Erstellung von Orientierungshilfen und anderen Arten von Praxishilfen der DSK erfolgen können. Die im Rahmen der Konsultation eingehenden Stellungnahmen sollen veröffentlicht werden. Darauf müssten diejenigen, die Stellungnahmen abgeben, hingewiesen werden.
Kriterien für die Entscheidung, ob eine Konsultation durchgeführt werden soll, sind in dem Papier nicht aufgestellt worden. Es wird diskutiert, das Papier zu erproben und zu einem späteren Zeitpunkt zu ergänzen, soweit sich dafür ein Bedarf dafür zeigt.
Die Teilnehmenden treffen die folgende Festlegung:
Die DSK nimmt das Eckpunktepapier des AK Organisation & Struktur zur Kenntnis. Die DSK stimmt dem Verfahren zu. Das Eckpunktepapier wird im Anschluss an die Konferenz mit der Bitte um Beachtung an alle Arbeitskreis-Vorsitzenden gegeben. Zur 110. DSK erbittet die DSK einen ersten Evaluationsbericht.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 10 – Verarbeitung von Genomdaten
Hessen führt in den TOP ein. Der Hintergrund ist insbesondere die Änderung des § 64e SGB V. Danach soll für die Sekundärnutzung von Genomdaten das Erfordernis der Einwilligung aufgehoben werden. Die Löschfrist von 30 Jahren soll gestrichen werden. Der Kreis der Nutzungsberechtigten von Genomdaten soll deutlich erweitert werden. Die Teilnehmenden tauschen sich zu einzelnen Formulierungen des Arbeitsauftrags aus und nehmen Änderungen daran vor.
Bayern (LfD) betont die Bedeutung des Einwilligungserfordernisses für die Gewährleistung des Rechts auf informationelle Selbstbestimmung und verweist hierzu auf die Petersberger Erklärung.
Die Teilnehmenden treffen die folgende Festlegung:
Die DSK beauftragt die Taskforce Forschungsdaten, zu dem folgenden Thema einen Entschließungsentwurf zu erstellen und möglichst bis zur 106. DSK vorzulegen:
„Datenschutzrechtliche Anforderungen an gesetzliche Rechtsgrundlagen zur Verarbeitung von Genomdaten, insbesondere im Rahmen der Sekundärnutzung“
Die Taskforce Forschungsdaten soll in dem Entschließungsentwurf herausarbeiten, welche datenschutzrechtlichen Anforderungen der deutsche und europäische Gesetzgeber bei der Regelung der Verarbeitung von Genomdaten zu beachten hat.
Die Sekundärnutzung von Genomdaten soll im Vordergrund stehen. In diesem Zusammenhang ist insbesondere zu erörtern, ob und ggf. inwiefern eine Sekundärnutzung von Genomdaten ohne Einwilligung auf gesetzlicher Rechtsgrundlage zulässig sein kann und welche Anforderungen (z. B. gesetzliche Schutzmaßnahmen, Garantien und alternative Mitwirkungsmöglichkeiten) hierbei zu beachten wären. Die unterschiedlichen Zwecke der Sekundärnutzung (z. B. Forschung, Qualitätssicherung und Evaluation) sind dabei getrennt zu untersuchen.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 11 – AK Auskunfteien und Inkasso Drittbeteiligung
Die Vorsitzende ruft Bayern (LDA) zur Berichterstattung auf. Bayern (LDA) führt in den TOP ein. Es handele sich um eine Regelung ausschließlich für den AK Auskunfteien und Inkasso. Die Beteiligung Dritter solle insbesondere der Qualitätssicherung dienen.
Die DSK trifft folgende Festlegung:
Die DSK nimmt den Entwurf vom 25.04.2023 des AK Auskunfteien und Inkasso zur Arbeitsweise hinsichtlich der Beteiligung Dritter zur Kenntnis.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 12 – Unverschlüsselte E-Mail-Kommunikation
Die Vorsitzende ruft Bremen zur Berichterstattung auf. Bremen erörtert den Hintergrund des Austauschs mit der Rechtsanwaltskammer. Die Teilnehmenden tauschen sich zu dem Thema aus.
TOP 13 – DSK-Homepage
Der BfDI führt in den Tagesordnungspunkt ein und erläutert den Hintergrund, weshalb ein Bedarf gesehen wird, den Arbeitsauftrag zu erweitern.
Der Arbeitsauftrag aus der 105. DSK wird wie folgt erweitert (Änderungen unterstrichen):
Es wird eine Arbeitsgruppe bestehend aus Schleswig-Holstein, BfDI, LDA Bayern, NRW und Bremen eingerichtet, die möglichst bis zur 106. DSK ein Konzept und einen Plan für die Finanzierung eines Relaunchs der DSK-Website sowie für ein Corporate Design der DSK erarbeitet. Der BfDI übernimmt die Federführung für die Arbeitsgruppe und wird die Verantwortlichen der Presse- und Öffentlichkeitsarbeit einbinden und die DSK über die Fortschritte informieren.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 14 – Sonstiges
Berlin bietet an, zu einer Videokonferenz zur gemeinsamen Besprechung der EuGH-Urteile zur Rechenschaftspflicht einzuladen.
Sachsen-Anhalt hält einen stärkeren Austausch von einzelnen Prüfkonzepten zwischen den Aufsichtsbehörden für sinnvoll. Die Vorsitzende schließt sich dem an und regt an zu prüfen, ob diese Konzepte auch auf DSK-Ebene ausgetauscht werden können und wo es sinnvoll wäre, mittelfristig eine Vereinheitlichung anzustreben.
Der BfDI schlägt vor, die Stellungnahme der DSK zum Entwurf der Europäischen Kommission für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 auf der Website der DSK zu veröffentlichen. Dazu gibt es keine Gegenstimmen. Berlin weist darauf hin, dass das Thema am kommenden Freitag im Bundesrat behandelt werde.
Berlin teilt mit, dass eine Einladung für einen Besuch beim EuGH in Luxemburg ausgesprochen wurde. Berlin bietet an, die Organisation zu übernehmen. Dies wird allseits begrüßt.
Berlin regt an, dass sich die DSK zum Thema Chatkontrolle äußert. Die Vorsitzende schlägt eine Diskussion im Jour fixe am 9. Oktober 2023 vor.
Die Vorsitzende erläutert die Hintergründe zum Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen. Aus Baden-Württemberg und Nordrhein-Westfalen sind Kommentare eingegangen. Die Vorsitzende stellt die eingegangenen Änderungen sowie den Vorschlag seitens des Vorsitzes vor. Das neue Dokument soll im Nachgang an die Konferenz versandt und im Umlaufverfahren abgestimmt werden.
TOP 15 – Harmonisierung der Landeskrankenhausgesetze
Hessen führt in den TOP ein. In der Taskforce Forschungsdaten wurde ein Text erarbeitet. Es schließt sich eine Aussprache an, in der der Adressatenkreis für ein DSK-Dokument sowie einzelne Formulierungen diskutiert werden.
Hessen schlägt vor, unterschiedliche Texte zu erstellen. Adressaten können die Landesgesetzgeber, Landesministerien und die Fachministerkonferenz einerseits sowie andererseits die Wissenschaft und die Fachebene sein.
Die Vorsitzende bittet die Taskforce Forschungsdaten, der DSK zwei Texte vorzulegen. Diese sollen im Umlaufverfahren in einer ersten Runde kommentiert und im Anschluss in einer zweiten Runde abgestimmt werden.
gez. Dr. h.c. Marit Hansen
Landesbeauftragte für Datenschutz Schleswig-Holstein