Toolbar-Menü

1. Zwischenkonferenz 2021
der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder am 27. Januar 2021

- Protokoll -

 

TOP 01 – Begrüßung und Organisatorisches

Die Vorsitzende begrüßt die Teilnehmenden der 1. Zwischenkonferenz 2021 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird.

Die Vorsitzende dankt Sachsen für die Ausrichtung der Konferenzen im Jahr 2020 und die unter Pandemiebedingungen geleistete hervorragende Arbeit.

Im Anschluss stellt die Vorsitzende den geplanten Ablauf der Videokonferenz dar.

Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer per Video an der Konferenz teilnehmen.

 

TOP 02 – Tagesordnung und Protokoll

Die Vorsitzende stellt die am 26. Januar 2021 versandte finale Tagesordnung vor.

Hessen bittet darum, TOP 05 erst nach der Mittagspause zu beraten und ggf. entsprechend zurückzustellen. Die Tagesordnung wird einstimmig angenommen.

Die Vorsitzende weist darauf hin, dass das Umlaufverfahren zum Protokoll der 100. DSK noch nicht abgeschlossen ist. Die finale Fassung wird im Anschluss an das Umlaufverfahren allen Aufsichtsbehörden zugeleitet sowie auf der DSK-Homepage veröffentlicht.

 

TOP 03 – Informationen zu Umlaufverfahren

Die Vorsitzende stellt fest, dass alle im Jahr 2020 eingeleiteten Umlaufverfahren zwischenzeitlich abgeschlossen sind. Die aktuell vorliegende Übersicht wird durch die Konferenz zur Kenntnis genommen.

 

TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss

Der BfDI berichtet aus dem EDSA zu den im Plenum vom 15. Dezember 2020 behandelten Themen:

  • Verabschiedung von drei Leitlinien:
    - Leitlinie zu Beschränkungen von Betroffenenrechten nach Art. 23 DSGVO:        Voraussetzung für nationale Einschränkungen von Betroffenenrechten mit dem Schwerpunkt auf dem Merkmal der Verhältnismäßigkeit
    - Leitlinie zum Verhältnis der Zahlungsdiensterichtlinie zur DSGVO
    - Leitlinie zum internationalen Datentransfer zwischen Behörden und internationalen Organisationen: Anleitung für die spezifischen Garantien bei internationalen Datenübermittlungen

  • Festlegung der Strategie für die Jahre 2021- 2023 mit den Schwerpunkten:
    - Verbesserungen im Kooperationsverfahren bei grenzüberschreitenden Verfahren
    - Bewertung neuer Technologien
    - Wahrung hoher Standards bei internationalen Datentransfers
    - Verstärkte internationale Tätigkeit des EDSA 

  • Festlegung von Programmbedingungen für einen Expertenpool zur Zusammenarbeit bei ressourcenintensiven Ermittlungen in Durchsetzungsfällen

Der BfDI berichtet weiterhin aus dem Plenum vom 14. Januar 2021:

  • Erstellung von zwei gemeinsamen Stellungnahmen im Rahmen des Beteiligungsverfahrens der Kommission zur Novellierung der Standardvertragsklauseln
  • Verabschiedung von zwei Leitlinien:
    - Leitlinie zu Beispielen für Benachrichtigungen über Datenschutzverletzungen
    - Leitlinie zur Anwendung von 62 DSGVO

Hamburg ergänzt um folgende Themen:

  • Gemeinsame Stellungnahme zur draft decision der irischen Aufsichtsbehörde zu WhatsApp
  • Papier des DPO-Networks (Zusammenschluss der unabhängigen behördlichen Datenschutzbeauftragten der mitgliedschaftlichen Datenschutzaufsichtsbehörden) über die Zulässigkeit der Nutzung eines Twitter-Accounts durch Datenschutzaufsichtsbehörden 
  • Zuständigkeit und weiteres Vorgehen betreffend die Clubhouse-App 
  • Hinweis auf die im Juni 2021 auslaufende Amtszeit des HmbBfDI und die damit verbundene Beendigung der Aufgabenwahrnehmung als kommissarischer Stellvertreter des gemeinsamen Vertreters im EDSA

Die Teilnehmenden diskutieren das Papier des DPO-Netzwerks im Hinblick auf den Umgang hiermit. Der BfDI stellt dar, dass der EDSA das DPO-Network um eine Einschätzung der Zulässigkeit der Nutzung eines Twitter-Accounts gebeten hatte. Es wird die Bedeutung des anstehenden Beschlusses des EDSA über das Papier diskutiert und inwiefern damit eine verbindliche Positionierung im Hinblick auf das im Papier gefundene Ergebnis verbunden sei.

Die Konferenz trifft hierzu mehrheitlich folgende Festlegung:

Der gemeinsame Vertreter der deutschen Aufsichtsbehörden im Europäischen Datenschutzausschuss wird gebeten zu beantragen, dass die Befassung über das Papier des DPO Networks zurückgestellt wird und zunächst ein Votum der Social Media Expert Subgroup eingeholt werden soll.

[13, 2, 2] (Zustimmung, Ablehnung, Enthaltung)

Zur Frage des Stellvertreters des gemeinsamen Vertreters im EDSA diskutieren die Teilnehmenden die in Betracht kommenden anstehenden Schritte.

Zudem informiert der BfDI darüber, dass von den anderen europäischen Aufsichtsbehörden erwartet wird, dass sich die deutschen Aufsichtsbehörden bei Stellungnahmen zu Verfahren nach Art. 60 national abstimmen.

Rheinland-Pfalz wirft zum Thema Clubhouse die Frage auf, inwiefern eine gemeinsame Positionierung sinnvoll und möglich ist. Hamburg teilt mit, dass seitens des HmbBfDI ein Aufsichtsverfahren gegen Clubhouse eingeleitet wird und bietet an, den an Clubhouse gerichteten, in Kürze erarbeiteten Fragenkatalog im Verteiler der DSK und des AK Medien unter Setzung einer kurzen Frist zur Ergänzung zu versenden. Die Teilnehmenden begrüßen dies und vereinbaren ein entsprechendes Vorgehen.

 

TOP 05 – Erweiterung DSK Beschluss - Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien

Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter Baden- Württemberg.

Seitens des AK Auskunfteien wurde ein Vorschlag zur Erweiterung des Beschlusses aus dem Jahr 2018 unterbreitet, der im Rahmen des Umlaufverfahrens 33/2020 auf Einwände gestoßen ist und nicht verabschiedet wurde.

Die Konferenz trifft einstimmig folgende Festlegungen:

  1. Der AK Auskunfteien und Inkasso wird beauftragt, sich mit dem Thema "Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien“ (DSK-Beschluss vom 11.6.2018) erneut zu befassen und der DSK bis zur 2. Zwischenkonferenz am 16.6.2021 eine inhaltlich überarbeitete Beschlussvorlage vorzulegen, welche insbesondere die im Umlaufverfahren 33/2020 vorgebrachten Einwände gegen die Beschlussvorlage des AK Auskunfteien vom 14.12.2020 berücksichtigt.
  2. Die Aufsichtsbehörden von Nordrhein-Westfalen und Berlin erarbeiten bis Ende Februar 2021 einen Vorschlag zum Thema E-Pool (Branchenpool der Energieversorger), welcher im Umlaufverfahren der DSK zur Abstimmung vorgelegt wird.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 06 – Umsetzung des Beschlusses der DSK zu Telemetriefunktionen und Datenschutz beim Einsatz von Windows 10 Enterprise

Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter. 

Der BfDI betont, dass es wichtig sei, sich regelmäßig dazu auszutauschen, wie der Beschluss in der Praxis von den Aufsichtsbehörden umgesetzt wird. Der BfDI beabsichtigt, zunächst konkrete Vorgaben für Bundesbehörden zu formulieren, anschlie- ßend auch für die Unternehmen in seiner Zuständigkeit.

Mehrere Länder berichten, dass sie zunächst die jeweils zuständigen Stellen ihrer Landesregierungen über den Beschluss informiert haben und mit diesen das weitere Vorgehen abstimmen.

Niedersachsen wird zunächst eine anlasslose Prüfung im öffentlichen Bereich durchführen. Dabei sollen insbesondere Erkenntnisse dazu gesammelt werden, wie die verantwortlichen Stellen die zusätzlichen Sicherungsmaßnahmen zur Sicherstellung der Unterbindung der Telemtriedatenübertragung (aufsetzend auf den Mindeststandard „Security Level“ und „Zero Exhaust Patch“) in der Praxis umsetzen. Nach der technischen und datenschutzrechtlichen Bewertung der Maßnahmen soll die Prüfung anschließend auf den nichtöffentlichen Bereich ausgeweitet werden.

Rheinland-Pfalz fragt in diesem Zusammenhang nach, wie der Sachstand bei den weiteren Gesprächen mit Microsoft ist.

Es wird angeregt, dass der AK Technik bei der nächsten DSK über den aktuellen Stand berichtet.

 

TOP 07 – Bericht aus der AG Cloud Computing und Digitale Souveränität

Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter. 

Niedersachsen erläutert zunächst, dass die AG eine durch den IT-Planungsrat eingerichtete, länderoffene Arbeitsgruppe unter Federführung des Bundes ist. Beim Thema Digitale Souveränität stehen in den nächsten Jahren wichtige Grundsatzentscheidungen an, unter anderem zur Nutzung von Clouds in der öffentlichen Verwaltung. Daher wird das Thema als wichtiges Handlungsfeld der DSK angesehen.

Die AG hat drei Unterarbeitsgruppen: UAG Technik und Betrieb, UAG Kommunikation und UAG Beschaffung und Compliance. Die DSK beteiligt sich bisher nur an der UAG Technik und Betrieb. Nach Auffassung von Niedersachsen sollte aber auch eine Mitwirkung in der UAG Beschaffung und Compliance erwogen werden. Hierzu werde es demnächst eine Interessenbekundung im AK Verwaltung geben. Niedersachsen sei gerne bereit, sich in der UAG zu engagieren.

Niedersachsen berichtet weiter, dass der Beauftragte der Bundesregierung für IT ein „Zentrum Digitale Souveränität“, kurz ZenDis, plane, welches sich für moderne, OSS basierte IT-Lösungen in der öffentlichen Verwaltung einsetzen soll. Auch hier solle eine Beteiligung der DSK in Betracht gezogen werden.

Im Anschluss berichtet der BfDI aus der UAG Technik und Betrieb und stellt deren Handlungsfelder vor.

Die Konferenz nimmt den Bericht zur Kenntnis.

 

TOP 08 – Umbenennung des AK Auskunfteien in „AK Auskunfteien und Inkasso“

Die Vorsitzende führt in den TOP ein und erläutert, dass der Wunsch zur Umbenennung auf Grund der Sachnähe der beiden Themenbereiche aus dem AK an die DSK herangetragen wurde. Sie übergibt anschließend an den Berichterstatter.

Nordrhein-Westfalen führt aus, dass die Themen Auskunfteien und Inkasso eng miteinander verwoben seien und auf Grund der großen gemeinsamen Schnittmenge eine Zusammenführung sinnvoll sei. Bisher war der Bereich Inkasso im AK Wirtschaft verortet.

Sachsen weist darauf hin, dass es sich nicht nur um eine reine Umbenennung, sondern auch um eine neue Aufgabenzuweisung handelt. 

Die DSK ist sich einig darüber, dass die Zuständigkeit für Verrechnungsstellen medizinischer Leistungserbringer beim AK Gesundheit und Soziales verbleibt, auch soweit diese Inkassoleistungen erbringen.

In der Folge wird ausführlich darüber diskutiert, wie die Aufgabenübertragung an den AK formuliert werden kann, um in diesem Zusammenhang klarzustellen, dass im Rahmen der Beteiligung externer Stellen alle Seiten angemessen Gehör finden sollen.

Die Konferenz trifft mehrheitlich folgende Festlegungen:

  1. Der "AK Auskunfteien" wird in "AK Auskunfteien und Inkasso" umbenannt und die Zuständigkeit des Arbeitskreises entsprechend erweitert. 
  1. Der AK tagt wie bislang grundsätzlich intern. Zu den Beratungen des AK sollen externe Akteure (z.B. Wirtschaftsverbände, Schuldnerberatungen, Verbraucherzentralen) in erforderlichem Maße hinzugezogen werden. Die DSK bittet den AK darüber zu beraten, wie eine ausgewogene Beteiligung Externer erfolgen kann.

[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 09 – Sonstiges

  •  Prüfkriterien von Zertifizierungsstellen

Die Vorsitzende führt in das Thema ein und erläutert, dass unter TOP 12 der DSK festgelegt wurde, dass der UAK Prüfkriterien ein Dokument mit dem Titel „Anforderungen an Zertifizierungsprogramme“ erstellt.

Schleswig-Holstein führt aus, dass das Papier noch nicht fertig sei. Der AK Zertifizierung strebe an, einen Entwurf im Laufe des ersten Quartals 2021 vorzulegen. Dieser wird dann der DSK zur Durchführung eines Umlaufverfahrens zugeleitet.
Ergänzend wird darauf hingewiesen, dass auch auf europäischer Ebene aktuell ein entsprechendes Papier erarbeitet wird. Es ist darauf zu achten, dass sich die Dokumente inhaltlich nicht widersprechen.

  • Corona – Rahmenbedingungen für Kontaktnachverfolgung per QR-Code durch Gastronomie, Veranstalter etc. 

Die Vorsitzende führt in das Thema ein, zu dem es kürzlich eine von Nordrhein-Westfalen initiierte Umfrage im AK Wirtschaft gab. 

Nordrhein-Westfalen bedankt sich zunächst bei den Ländern, die hierauf bereits geantwortet haben und erkundigt sich nach weiteren Erkenntnissen.

Schleswig-Holstein berichtet von der Planung des Einsatzes einer datenschutzfreundlichen App auf Sylt, die auch bereits in Thüringen verwendet werde. Problematisch beim Einsatz von Apps sei, dass die Landesverordnungen unterschiedliche Vorgaben zur Kontaktnachverfolgung enthalten, die jeweils zu berücksichtigen sind. Hier wäre eine einheitliche Lösung wünschenswert.

Der BfDI weist klarstellend darauf hin, dass in der Software SORMAS, die bald in allen Gesundheitsämtern zum Einsatz kommen soll und aktuell von den Aufsichtsbehörden bewertet wird, kein Tool für die Datenerhebung in der Gastronomie vorgesehen ist.

Das Saarland berichtet, dass auf Grund eines Urteils des Verfassungsgerichtshofs ein Gesetz zur Kontaktnachverfolgung geschaffen wurde. Die Vorschläge des Datenschutzzentrums zur Verpflichtung der Verantwortlichen, konkrete Datensicherheitsmaßnahmen zu ergreifen, wurden dabei vom Gesetzgeber umgesetzt.

Schleswig-Holstein fragt nach, ob es noch Bundesländer gebe, in denen keine Regelungen zur Kontaktnachverfolgung existieren. Dies wird verneint.

  •  Übersicht über die aktuelle Bundesgesetzgebung 

Die Vorsitzende führt in das Thema ein. Vom BfDI wird seit vielen Jahren regelmäßig eine entsprechende Übersicht zur Verfügung gestellt.

Der BfDI erläutert, dass Erstellung und Pflege des Dokuments sehr aufwändig und zeitintensiv seien und sich deshalb die Frage nach dem Verhältnis zwischen Nutzen und Aufwand stelle.

Die Aufsichtsbehörden halten die Übersicht mehrheitlich für sehr hilfreich und würden es daher begrüßen, wenn sie weiterhin zur Verfügung gestellt werden könnte, möglicherweise in anderer Form.

Die Vorsitzende bedankt sich beim BfDI für die in der Vergangenheit geleistete Arbeit. Sie bittet ihn, die Rückmeldungen aus den Ländern zu berücksichtigen und zu prüfen, ob die Informationen mit vermindertem Aufwand weiterhin bereitgestellt werden können. Der BfDI sagt zu, dies intern zu klären.

  •  Task Force KI

Rheinland-Pfalz berichtet über eine Einladung des BSI an die Task Force, auf Projektebene mitzuarbeiten; es handelt sich um mehrere anstehende Projekte im Bereich KI. Man wird über die Mitwirkung entscheiden, sobald jeweils eine schriftliche Projektbeschreibung vorliegt, und der DSK weiterhin berichten.

  • Telekommunikationsmodernisierungsgesetz

Sachsen-Anhalt weist auf die Bundesratsdrucksache 29/21 (Gesetzentwurf) hin. Es hat im Innenausschuss einen Antrag aus Bayern gegeben zu § 3 Nr. 61 des Gesetzes, der den Begriff der Telekommunikationsdienste definiert. Diese neue Definition könnte Auswirkungen auf die Zuständigkeit der Landesbeauftragten z. B. bei Facebook-Fanpages von Landesbehörden haben. Bayern (LfD) hat hiervon bisher keine Kenntnis und wird intern nachfragen.

  •  Vorstellung Team für Vorsitz 2022 

Der BfDI stellt sein Team für den DSK-Vorsitz im kommenden Jahr vor, welches zur Vorbereitung regelmäßig an den diesjährigen Konferenzen teilnehmen wird. Bis April 2021 soll der Terminplan für das Jahr 2022 versandt werden.

 

TOP 10 – Bericht des Vorsitzes

  •  Erstellung und Überarbeitung von Publikationen

Die Vorsitzende erläutert, dass in der 100. DSK unter TOP 20 eine Abfrage in den Arbeitskreisen zur Erstellung und Überarbeitung von Publikationen vereinbart wurde. Die von Sachsen hierzu erstellte Übersicht wurde zusammen mit der TO versandt. Mit Blick auf noch ausstehende Rückmeldungen aus den AKs schlägt die Vorsitzende vor, diese abzuwarten und das Thema dann auf der 101. DSK zu behandeln. Es gibt keine Einwände.

Die Vorsitzende berichtet weiter von einer Anfrage an den Vorsitz zu verschiedenen in Überarbeitung befindlichen und entsprechend gekennzeichneten Kurzpapieren der DSK, in der es darum geht, inwieweit die Kurzpapiere aktuell noch angewendet werden können. Nach kurzer Diskussion besteht Einvernehmen darüber, dass bei allen in Überarbeitung befindlichen Veröffentlichungen der DSK jeweils ein allgemeiner Überarbeitungshinweis angefügt werden solle.

  • Evaluation des BDSG

Die Vorsitzende erläutert, dass der AK Grundsatz in der 100. DSK damit beauftragt wurde, eine Stellungnahme zu der vom BMI durchgeführten Evaluierung des BDSG zu erarbeiten. Über die Stellungnahme solle anschließend in einem Umlaufverfahren der DSK entschieden werden. Der AK Grundsatz hat eine AG gegründet, die sich intensiv mit der Thematik beschäftigt. Die ursprünglich vorgesehene Frist für die Rückmeldung kann aller Voraussicht nach nicht eingehalten werden. Es wird daher vorgeschlagen, dass der Vorsitz das BMI um Fristverlängerung bittet. Dieser Vorschlag wird unterstützt.

  •  Anfrage Health Innovation Hub

Die Vorsitzende berichtet von einer Anfrage des Health Innovation Hub, einem Projekt des BMG, das sich mit Fragen der Digitalisierung im Gesundheitswesen befasst, zur Umsetzung von § 287a SGB V. Zum Vorschlag, die Anfrage zuständigkeitshalber an den Vorsitz des AK Wissenschaft und Forschung weiterzuleiten und die anfragende Stelle entsprechend zu informieren, gibt es keine Einwände.

Die Vorsitzende bedankt sich bei den Konferenzteilnehmerinnen und –teilnehmern und verabschiedet sich bis zur nächsten Sitzung.

Monika Grethel
Landesbeauftragte für Datenschutz und Informationsfreiheit

1. Zwischenkonferenz 2021
der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder am 27. Januar 2021

- Protokoll -

 

TOP 01 – Begrüßung und Organisatorisches

Die Vorsitzende begrüßt die Teilnehmenden der 1. Zwischenkonferenz 2021 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird.

Die Vorsitzende dankt Sachsen für die Ausrichtung der Konferenzen im Jahr 2020 und die unter Pandemiebedingungen geleistete hervorragende Arbeit.

Im Anschluss stellt die Vorsitzende den geplanten Ablauf der Videokonferenz dar.

Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer per Video an der Konferenz teilnehmen.

 

TOP 02 – Tagesordnung und Protokoll

Die Vorsitzende stellt die am 26. Januar 2021 versandte finale Tagesordnung vor.

Hessen bittet darum, TOP 05 erst nach der Mittagspause zu beraten und ggf. entsprechend zurückzustellen. Die Tagesordnung wird einstimmig angenommen.

Die Vorsitzende weist darauf hin, dass das Umlaufverfahren zum Protokoll der 100. DSK noch nicht abgeschlossen ist. Die finale Fassung wird im Anschluss an das Umlaufverfahren allen Aufsichtsbehörden zugeleitet sowie auf der DSK-Homepage veröffentlicht.

 

TOP 03 – Informationen zu Umlaufverfahren

Die Vorsitzende stellt fest, dass alle im Jahr 2020 eingeleiteten Umlaufverfahren zwischenzeitlich abgeschlossen sind. Die aktuell vorliegende Übersicht wird durch die Konferenz zur Kenntnis genommen.

 

TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss

Der BfDI berichtet aus dem EDSA zu den im Plenum vom 15. Dezember 2020 behandelten Themen:

  • Verabschiedung von drei Leitlinien:
    - Leitlinie zu Beschränkungen von Betroffenenrechten nach Art. 23 DSGVO:        Voraussetzung für nationale Einschränkungen von Betroffenenrechten mit dem Schwerpunkt auf dem Merkmal der Verhältnismäßigkeit
    - Leitlinie zum Verhältnis der Zahlungsdiensterichtlinie zur DSGVO
    - Leitlinie zum internationalen Datentransfer zwischen Behörden und internationalen Organisationen: Anleitung für die spezifischen Garantien bei internationalen Datenübermittlungen

  • Festlegung der Strategie für die Jahre 2021- 2023 mit den Schwerpunkten:
    - Verbesserungen im Kooperationsverfahren bei grenzüberschreitenden Verfahren
    - Bewertung neuer Technologien
    - Wahrung hoher Standards bei internationalen Datentransfers
    - Verstärkte internationale Tätigkeit des EDSA 

  • Festlegung von Programmbedingungen für einen Expertenpool zur Zusammenarbeit bei ressourcenintensiven Ermittlungen in Durchsetzungsfällen

Der BfDI berichtet weiterhin aus dem Plenum vom 14. Januar 2021:

  • Erstellung von zwei gemeinsamen Stellungnahmen im Rahmen des Beteiligungsverfahrens der Kommission zur Novellierung der Standardvertragsklauseln
  • Verabschiedung von zwei Leitlinien:
    - Leitlinie zu Beispielen für Benachrichtigungen über Datenschutzverletzungen
    - Leitlinie zur Anwendung von 62 DSGVO

Hamburg ergänzt um folgende Themen:

  • Gemeinsame Stellungnahme zur draft decision der irischen Aufsichtsbehörde zu WhatsApp
  • Papier des DPO-Networks (Zusammenschluss der unabhängigen behördlichen Datenschutzbeauftragten der mitgliedschaftlichen Datenschutzaufsichtsbehörden) über die Zulässigkeit der Nutzung eines Twitter-Accounts durch Datenschutzaufsichtsbehörden 
  • Zuständigkeit und weiteres Vorgehen betreffend die Clubhouse-App 
  • Hinweis auf die im Juni 2021 auslaufende Amtszeit des HmbBfDI und die damit verbundene Beendigung der Aufgabenwahrnehmung als kommissarischer Stellvertreter des gemeinsamen Vertreters im EDSA

Die Teilnehmenden diskutieren das Papier des DPO-Netzwerks im Hinblick auf den Umgang hiermit. Der BfDI stellt dar, dass der EDSA das DPO-Network um eine Einschätzung der Zulässigkeit der Nutzung eines Twitter-Accounts gebeten hatte. Es wird die Bedeutung des anstehenden Beschlusses des EDSA über das Papier diskutiert und inwiefern damit eine verbindliche Positionierung im Hinblick auf das im Papier gefundene Ergebnis verbunden sei.

Die Konferenz trifft hierzu mehrheitlich folgende Festlegung:

Der gemeinsame Vertreter der deutschen Aufsichtsbehörden im Europäischen Datenschutzausschuss wird gebeten zu beantragen, dass die Befassung über das Papier des DPO Networks zurückgestellt wird und zunächst ein Votum der Social Media Expert Subgroup eingeholt werden soll.

[13, 2, 2] (Zustimmung, Ablehnung, Enthaltung)

Zur Frage des Stellvertreters des gemeinsamen Vertreters im EDSA diskutieren die Teilnehmenden die in Betracht kommenden anstehenden Schritte.

Zudem informiert der BfDI darüber, dass von den anderen europäischen Aufsichtsbehörden erwartet wird, dass sich die deutschen Aufsichtsbehörden bei Stellungnahmen zu Verfahren nach Art. 60 national abstimmen.

Rheinland-Pfalz wirft zum Thema Clubhouse die Frage auf, inwiefern eine gemeinsame Positionierung sinnvoll und möglich ist. Hamburg teilt mit, dass seitens des HmbBfDI ein Aufsichtsverfahren gegen Clubhouse eingeleitet wird und bietet an, den an Clubhouse gerichteten, in Kürze erarbeiteten Fragenkatalog im Verteiler der DSK und des AK Medien unter Setzung einer kurzen Frist zur Ergänzung zu versenden. Die Teilnehmenden begrüßen dies und vereinbaren ein entsprechendes Vorgehen.

 

TOP 05 – Erweiterung DSK Beschluss - Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien

Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter Baden- Württemberg.

Seitens des AK Auskunfteien wurde ein Vorschlag zur Erweiterung des Beschlusses aus dem Jahr 2018 unterbreitet, der im Rahmen des Umlaufverfahrens 33/2020 auf Einwände gestoßen ist und nicht verabschiedet wurde.

Die Konferenz trifft einstimmig folgende Festlegungen:

  1. Der AK Auskunfteien und Inkasso wird beauftragt, sich mit dem Thema "Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien“ (DSK-Beschluss vom 11.6.2018) erneut zu befassen und der DSK bis zur 2. Zwischenkonferenz am 16.6.2021 eine inhaltlich überarbeitete Beschlussvorlage vorzulegen, welche insbesondere die im Umlaufverfahren 33/2020 vorgebrachten Einwände gegen die Beschlussvorlage des AK Auskunfteien vom 14.12.2020 berücksichtigt.
  2. Die Aufsichtsbehörden von Nordrhein-Westfalen und Berlin erarbeiten bis Ende Februar 2021 einen Vorschlag zum Thema E-Pool (Branchenpool der Energieversorger), welcher im Umlaufverfahren der DSK zur Abstimmung vorgelegt wird.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 06 – Umsetzung des Beschlusses der DSK zu Telemetriefunktionen und Datenschutz beim Einsatz von Windows 10 Enterprise

Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter. 

Der BfDI betont, dass es wichtig sei, sich regelmäßig dazu auszutauschen, wie der Beschluss in der Praxis von den Aufsichtsbehörden umgesetzt wird. Der BfDI beabsichtigt, zunächst konkrete Vorgaben für Bundesbehörden zu formulieren, anschlie- ßend auch für die Unternehmen in seiner Zuständigkeit.

Mehrere Länder berichten, dass sie zunächst die jeweils zuständigen Stellen ihrer Landesregierungen über den Beschluss informiert haben und mit diesen das weitere Vorgehen abstimmen.

Niedersachsen wird zunächst eine anlasslose Prüfung im öffentlichen Bereich durchführen. Dabei sollen insbesondere Erkenntnisse dazu gesammelt werden, wie die verantwortlichen Stellen die zusätzlichen Sicherungsmaßnahmen zur Sicherstellung der Unterbindung der Telemtriedatenübertragung (aufsetzend auf den Mindeststandard „Security Level“ und „Zero Exhaust Patch“) in der Praxis umsetzen. Nach der technischen und datenschutzrechtlichen Bewertung der Maßnahmen soll die Prüfung anschließend auf den nichtöffentlichen Bereich ausgeweitet werden.

Rheinland-Pfalz fragt in diesem Zusammenhang nach, wie der Sachstand bei den weiteren Gesprächen mit Microsoft ist.

Es wird angeregt, dass der AK Technik bei der nächsten DSK über den aktuellen Stand berichtet.

 

TOP 07 – Bericht aus der AG Cloud Computing und Digitale Souveränität

Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter. 

Niedersachsen erläutert zunächst, dass die AG eine durch den IT-Planungsrat eingerichtete, länderoffene Arbeitsgruppe unter Federführung des Bundes ist. Beim Thema Digitale Souveränität stehen in den nächsten Jahren wichtige Grundsatzentscheidungen an, unter anderem zur Nutzung von Clouds in der öffentlichen Verwaltung. Daher wird das Thema als wichtiges Handlungsfeld der DSK angesehen.

Die AG hat drei Unterarbeitsgruppen: UAG Technik und Betrieb, UAG Kommunikation und UAG Beschaffung und Compliance. Die DSK beteiligt sich bisher nur an der UAG Technik und Betrieb. Nach Auffassung von Niedersachsen sollte aber auch eine Mitwirkung in der UAG Beschaffung und Compliance erwogen werden. Hierzu werde es demnächst eine Interessenbekundung im AK Verwaltung geben. Niedersachsen sei gerne bereit, sich in der UAG zu engagieren.

Niedersachsen berichtet weiter, dass der Beauftragte der Bundesregierung für IT ein „Zentrum Digitale Souveränität“, kurz ZenDis, plane, welches sich für moderne, OSS basierte IT-Lösungen in der öffentlichen Verwaltung einsetzen soll. Auch hier solle eine Beteiligung der DSK in Betracht gezogen werden.

Im Anschluss berichtet der BfDI aus der UAG Technik und Betrieb und stellt deren Handlungsfelder vor.

Die Konferenz nimmt den Bericht zur Kenntnis.

 

TOP 08 – Umbenennung des AK Auskunfteien in „AK Auskunfteien und Inkasso“

Die Vorsitzende führt in den TOP ein und erläutert, dass der Wunsch zur Umbenennung auf Grund der Sachnähe der beiden Themenbereiche aus dem AK an die DSK herangetragen wurde. Sie übergibt anschließend an den Berichterstatter.

Nordrhein-Westfalen führt aus, dass die Themen Auskunfteien und Inkasso eng miteinander verwoben seien und auf Grund der großen gemeinsamen Schnittmenge eine Zusammenführung sinnvoll sei. Bisher war der Bereich Inkasso im AK Wirtschaft verortet.

Sachsen weist darauf hin, dass es sich nicht nur um eine reine Umbenennung, sondern auch um eine neue Aufgabenzuweisung handelt. 

Die DSK ist sich einig darüber, dass die Zuständigkeit für Verrechnungsstellen medizinischer Leistungserbringer beim AK Gesundheit und Soziales verbleibt, auch soweit diese Inkassoleistungen erbringen.

In der Folge wird ausführlich darüber diskutiert, wie die Aufgabenübertragung an den AK formuliert werden kann, um in diesem Zusammenhang klarzustellen, dass im Rahmen der Beteiligung externer Stellen alle Seiten angemessen Gehör finden sollen.

Die Konferenz trifft mehrheitlich folgende Festlegungen:

  1. Der "AK Auskunfteien" wird in "AK Auskunfteien und Inkasso" umbenannt und die Zuständigkeit des Arbeitskreises entsprechend erweitert. 
  1. Der AK tagt wie bislang grundsätzlich intern. Zu den Beratungen des AK sollen externe Akteure (z.B. Wirtschaftsverbände, Schuldnerberatungen, Verbraucherzentralen) in erforderlichem Maße hinzugezogen werden. Die DSK bittet den AK darüber zu beraten, wie eine ausgewogene Beteiligung Externer erfolgen kann.

[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 09 – Sonstiges

  •  Prüfkriterien von Zertifizierungsstellen

Die Vorsitzende führt in das Thema ein und erläutert, dass unter TOP 12 der DSK festgelegt wurde, dass der UAK Prüfkriterien ein Dokument mit dem Titel „Anforderungen an Zertifizierungsprogramme“ erstellt.

Schleswig-Holstein führt aus, dass das Papier noch nicht fertig sei. Der AK Zertifizierung strebe an, einen Entwurf im Laufe des ersten Quartals 2021 vorzulegen. Dieser wird dann der DSK zur Durchführung eines Umlaufverfahrens zugeleitet.
Ergänzend wird darauf hingewiesen, dass auch auf europäischer Ebene aktuell ein entsprechendes Papier erarbeitet wird. Es ist darauf zu achten, dass sich die Dokumente inhaltlich nicht widersprechen.

  • Corona – Rahmenbedingungen für Kontaktnachverfolgung per QR-Code durch Gastronomie, Veranstalter etc. 

Die Vorsitzende führt in das Thema ein, zu dem es kürzlich eine von Nordrhein-Westfalen initiierte Umfrage im AK Wirtschaft gab. 

Nordrhein-Westfalen bedankt sich zunächst bei den Ländern, die hierauf bereits geantwortet haben und erkundigt sich nach weiteren Erkenntnissen.

Schleswig-Holstein berichtet von der Planung des Einsatzes einer datenschutzfreundlichen App auf Sylt, die auch bereits in Thüringen verwendet werde. Problematisch beim Einsatz von Apps sei, dass die Landesverordnungen unterschiedliche Vorgaben zur Kontaktnachverfolgung enthalten, die jeweils zu berücksichtigen sind. Hier wäre eine einheitliche Lösung wünschenswert.

Der BfDI weist klarstellend darauf hin, dass in der Software SORMAS, die bald in allen Gesundheitsämtern zum Einsatz kommen soll und aktuell von den Aufsichtsbehörden bewertet wird, kein Tool für die Datenerhebung in der Gastronomie vorgesehen ist.

Das Saarland berichtet, dass auf Grund eines Urteils des Verfassungsgerichtshofs ein Gesetz zur Kontaktnachverfolgung geschaffen wurde. Die Vorschläge des Datenschutzzentrums zur Verpflichtung der Verantwortlichen, konkrete Datensicherheitsmaßnahmen zu ergreifen, wurden dabei vom Gesetzgeber umgesetzt.

Schleswig-Holstein fragt nach, ob es noch Bundesländer gebe, in denen keine Regelungen zur Kontaktnachverfolgung existieren. Dies wird verneint.

  •  Übersicht über die aktuelle Bundesgesetzgebung 

Die Vorsitzende führt in das Thema ein. Vom BfDI wird seit vielen Jahren regelmäßig eine entsprechende Übersicht zur Verfügung gestellt.

Der BfDI erläutert, dass Erstellung und Pflege des Dokuments sehr aufwändig und zeitintensiv seien und sich deshalb die Frage nach dem Verhältnis zwischen Nutzen und Aufwand stelle.

Die Aufsichtsbehörden halten die Übersicht mehrheitlich für sehr hilfreich und würden es daher begrüßen, wenn sie weiterhin zur Verfügung gestellt werden könnte, möglicherweise in anderer Form.

Die Vorsitzende bedankt sich beim BfDI für die in der Vergangenheit geleistete Arbeit. Sie bittet ihn, die Rückmeldungen aus den Ländern zu berücksichtigen und zu prüfen, ob die Informationen mit vermindertem Aufwand weiterhin bereitgestellt werden können. Der BfDI sagt zu, dies intern zu klären.

  •  Task Force KI

Rheinland-Pfalz berichtet über eine Einladung des BSI an die Task Force, auf Projektebene mitzuarbeiten; es handelt sich um mehrere anstehende Projekte im Bereich KI. Man wird über die Mitwirkung entscheiden, sobald jeweils eine schriftliche Projektbeschreibung vorliegt, und der DSK weiterhin berichten.

  • Telekommunikationsmodernisierungsgesetz

Sachsen-Anhalt weist auf die Bundesratsdrucksache 29/21 (Gesetzentwurf) hin. Es hat im Innenausschuss einen Antrag aus Bayern gegeben zu § 3 Nr. 61 des Gesetzes, der den Begriff der Telekommunikationsdienste definiert. Diese neue Definition könnte Auswirkungen auf die Zuständigkeit der Landesbeauftragten z. B. bei Facebook-Fanpages von Landesbehörden haben. Bayern (LfD) hat hiervon bisher keine Kenntnis und wird intern nachfragen.

  •  Vorstellung Team für Vorsitz 2022 

Der BfDI stellt sein Team für den DSK-Vorsitz im kommenden Jahr vor, welches zur Vorbereitung regelmäßig an den diesjährigen Konferenzen teilnehmen wird. Bis April 2021 soll der Terminplan für das Jahr 2022 versandt werden.

 

TOP 10 – Bericht des Vorsitzes

  •  Erstellung und Überarbeitung von Publikationen

Die Vorsitzende erläutert, dass in der 100. DSK unter TOP 20 eine Abfrage in den Arbeitskreisen zur Erstellung und Überarbeitung von Publikationen vereinbart wurde. Die von Sachsen hierzu erstellte Übersicht wurde zusammen mit der TO versandt. Mit Blick auf noch ausstehende Rückmeldungen aus den AKs schlägt die Vorsitzende vor, diese abzuwarten und das Thema dann auf der 101. DSK zu behandeln. Es gibt keine Einwände.

Die Vorsitzende berichtet weiter von einer Anfrage an den Vorsitz zu verschiedenen in Überarbeitung befindlichen und entsprechend gekennzeichneten Kurzpapieren der DSK, in der es darum geht, inwieweit die Kurzpapiere aktuell noch angewendet werden können. Nach kurzer Diskussion besteht Einvernehmen darüber, dass bei allen in Überarbeitung befindlichen Veröffentlichungen der DSK jeweils ein allgemeiner Überarbeitungshinweis angefügt werden solle.

  • Evaluation des BDSG

Die Vorsitzende erläutert, dass der AK Grundsatz in der 100. DSK damit beauftragt wurde, eine Stellungnahme zu der vom BMI durchgeführten Evaluierung des BDSG zu erarbeiten. Über die Stellungnahme solle anschließend in einem Umlaufverfahren der DSK entschieden werden. Der AK Grundsatz hat eine AG gegründet, die sich intensiv mit der Thematik beschäftigt. Die ursprünglich vorgesehene Frist für die Rückmeldung kann aller Voraussicht nach nicht eingehalten werden. Es wird daher vorgeschlagen, dass der Vorsitz das BMI um Fristverlängerung bittet. Dieser Vorschlag wird unterstützt.

  •  Anfrage Health Innovation Hub

Die Vorsitzende berichtet von einer Anfrage des Health Innovation Hub, einem Projekt des BMG, das sich mit Fragen der Digitalisierung im Gesundheitswesen befasst, zur Umsetzung von § 287a SGB V. Zum Vorschlag, die Anfrage zuständigkeitshalber an den Vorsitz des AK Wissenschaft und Forschung weiterzuleiten und die anfragende Stelle entsprechend zu informieren, gibt es keine Einwände.

Die Vorsitzende bedankt sich bei den Konferenzteilnehmerinnen und –teilnehmern und verabschiedet sich bis zur nächsten Sitzung.

Monika Grethel
Landesbeauftragte für Datenschutz und Informationsfreiheit

Seite drucken