1. Zwischenkonferenz 2023
der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder am 31. Januar 2023
– Protokoll –
TOP 01 – Begrüßung und Organisatorisches
Die Vorsitzende begrüßt die Teilnehmenden der 1. Zwischenkonferenz 2023 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).
Die Vorsitzende dankt dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit für die Ausrichtung der Konferenzen und die geleistete hervorragende Arbeit im Jahr 2022. Der Vorsitz stellt den geplanten Ablauf des Konferenzjahres vor und betont die Wichtigkeit und Notwendigkeit des Austausches und das Bestreben, eine einheitliche Rechtsanwendung zu erreichen.
Es wird festgestellt, dass alle Mitglieder der DSK anwesend sind.
TOP 02 – Tagesordnung und Protokoll
Die Vorsitzende erläutert die Tagesordnung. Die DSK beschließt, den verspätet angemeldeten Tagesordnungspunkt „Positionspapier Souveräne Cloud“ als TOP 15 auf die Tagesordnung zu nehmen. Er soll nach TOP 05 behandelt werden. Das von Brandenburg angemeldete Thema „Umsetzung des EPPSG“ wird als TOP 16 auf die Tagesordnung genommen. Er soll zwischen TOP 11 und TOP 12 behandelt werden.
Die Tagesordnung wird in dieser Form einstimmig angenommen.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
Die Vorsitzende stellt fest, dass das Protokoll zur 104. DSK im Umlaufverfahren final abgestimmt wurde und das Protokoll damit angenommen ist. Die Veröffentlichung soll zeitnah erfolgen.
TOP 03 – Bericht über Umlaufverfahren
Die Vorsitzende berichtet über das abgeschlossene Umlaufverfahren zum Protokoll (01/2023) sowie über die erfolgte Abstimmung über die gemeinsame Stellungnahme der DSK in dem Bußgeldverfahren „Deutsche Wohnen“.
TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss
Der BfDI erläutert die aktuellen Themen, die im EDSA behandelt werden, der seit der 104. DSK dreimal getagt hat:
- Beschlussfassung in den Streitbeilegungsverfahren Facebook (Meta Ireland), Instagram (Meta Ireland) und WhatsApp (WhatsApp Ireland)
- Stellungnahme zur Umsetzung des Urteils des EuGH zur Verwendung von Fluggastdaten
- Mandatierung der Enforcement Expert Subgroup (ESG) zur Erarbeitung eines Musters zur Einlegung von Einsprüchen im Streitbeilegungsverfahren
- Bericht des Kommissars Reynders zum Entwurf eines Angemessenheitsbeschlusses zum EU-US Datenschutz-Abkommen
- Ergebnisbericht der Cookie Banner Taskforce
- Bericht zu den Durchsetzungsmaßnahmen bei der Nutzung von Cloud-Diensten durch öffentliche Stellen
- Bericht über die Besetzung der High Level Group nach Art. 40 DMA (Es wurden bisher erst 4 von 5 Stellen besetzt (Frankreich, Lettland, Norwegen, Italien). Für den Platz wird es zu einer Stichwahl zwischen Deutschland, Luxemburg und Irland kommen).
Bayern (LfD) ergänzt die Ausführungen wie folgt:
In der 73. Plenartagung fand ein Austausch über eine Entscheidung des Europäischen Gerichts vom 7. Dezember 2022 statt. Danach stehen Verantwortlichen keine Rechtsmittel direkt gegen bindende Entscheidungen des EDSA zu, da diese Entscheidungen die Verantwortlichen nicht unmittelbar belasten. Belastend wirkt nur die Entscheidung der Aufsichtsbehörde, die nach der Entscheidung des EDSA handelt.
Außerdem war der Direktor der Authority for European Political Parties and European Political Foundations (APPF) anwesend. Dabei handelt es sich um eine unabhängige Kontrollbehörde, die die Integrität der demokratischen Institutionen der EU schützen soll, insbesondere im Zusammenhang mit EU-Parlamentswahlen. Für diese besteht die Möglichkeit der Ahndung von Datenschutzverstößen im Zusammenhang mit EP-Wahlen.
Außerdem hat es im EDSA eine Diskussion zu einem Anliegen aus der Cooperation ESG zum Thema der Einrichtung eines Registers über die inländischen Vertreter nach Art. 27 DSGVO gegeben.
In der 74. Plenartagung wurde im Zusammenhang mit der Cookie Banner Taskforce das Thema der Veröffentlichung von Minderheitenvoten behandelt. In dem Fall des Ergebnisberichts der Cookie Banner Taskforce hat der EDSA mehrheitlich entschieden, im Bericht ausnahmsweise auf Minderheitenvoten hinzuweisen. Dies hängt auch damit zusammen, dass die Datenschutzaufsichtsbehörden in einigen Mitgliedstaaten keine aufsichtsbehördliche Zuständigkeit in dem betreffenden Bereich haben.
Niedersachsen merkt an, dass das Thema der Bußgeldhöhe und der Gewinnabschöpfung bei Meta noch nicht ausreichend diskutiert worden sei, und bittet darum, das Thema in Zukunft noch stärker zu in den Fokus zu stellen.
Bayern (LDA) fragt, ob die Fining Guidelines des EDSA in der Debatte berücksichtigt wurden, da diese bereits eine Einstufung des Verstoßes vorgeben würden. Bayern (LDA) erkundigt sich außerdem, ob und in welcher Weise der Bericht zu Joint Enforcement Cloud Computing behandelt wurde.
Der BfDI antwortet darauf, dass der Bericht ohne weitere Diskussion zur Kenntnis genommen wurde. Hinsichtlich der Fining Guidelines merkt der BfDI an, dass es für die Bemessung von Bußgeldern nach den Fining Guidelines maßgeblich auf die korrekte Ermittlung des Ausgangswerts ankommt. Für die Ermittlung von Umsätzen und Gewinnen gibt es verschiedene Ansätze.
Rheinland-Pfalz betont die Wichtigkeit der künftigen Regelung des Verwaltungsverfahrensrechts und die Möglichkeiten des EDSA, in diesem Bereich Einfluss zu nehmen. Rheinland-Pfalz wirbt für eine möglichst frühzeitige und enge Begleitung bei der Erarbeitung von Verfahrensregeln.
Bayern (LfD) erläutert, dass die Kommission einen Punkt aus der Wish-List des EDSA aufgreifen will und die Fragen der uneinheitlichen Verfahren einer Lösung zuführen will. Eine Entscheidung darüber, in welcher Subgroup das Thema behandelt werden wird, wurde noch nicht final getroffen.
Hessen weist auf die nicht unerhebliche Außenwirkung hin, die der eigene Umgang mit Bußgeldverfahren haben kann, und plädiert dafür, weiterhin mit gutem Beispiel voranzugehen.
Die Vorsitzende hebt in diesem Zusammenhang die Wichtigkeit des Arbeitskreises Sanktionen der DSK hervor.
Hinsichtlich der verbleibenden Position in der High Level Group nach Art. 40 DMA geht die Vorsitzende davon aus, dass Deutschland im EDSA für den Kandidaten Deutschlands stimmt. Eine gesonderte Abstimmung hierüber findet nicht statt.
TOP 05 – Bericht aus dem AK DSK 2.0
Die Vorsitzende ruft Rheinland-Pfalz als Berichterstatter auf.
Rheinland-Pfalz gibt einen Überblick über die Überlegungen des AK DSK 2.0 zur Einrichtung einer Geschäftsstelle der DSK. In dem Präsenztreffen am 20. Januar 2023 wurde der Aufgabenbereich der Geschäftsstelle konkretisiert. Der UAK Geschäftsstelle erarbeitet auf der Grundlage der Diskussion ein Papier. Spätestens bis Mai 2023 soll das Papier der DSK vorgestellt werden. Bayern (LDA) führt aus, dass in Bezug auf die inhaltliche Arbeit der Geschäftsstelle Einigkeit besteht. Hinsichtlich der organisatorischen Struktur und deren Ausgestaltung sowie bei der Frage der rechtlichen Rahmenbedingungen sind die Überlegungen noch nicht abgeschlossen. Der BfDI plädiert für einen möglichst zeitnahen Abschluss der Debatte, damit dies in einer etwaigen BDSG-Novelle Berücksichtigung finden kann.
Die DSK trifft nach dem Austausch die folgende Festlegung:
„Die DSK nimmt den mündlichen Bericht zur Kenntnis und bittet den AK DSK 2.0, möglichst bis zur 2. Zwischenkonferenz 2023 einen Vorschlag zur Frage der Einrichtung einer Geschäftsstelle für die DSK vorzulegen.“
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
Rheinland-Pfalz schließt den Tagesordnungspunkt mit einem kurzen Bericht über die Terminfindung zur Sommerklausur ab.
TOP 06 – Arbeiten des AK Internationaler Datenverkehr und AK Grundsatz zu extraterritorialen Zugriffen
Bayern (LDA) stellt die von dem Arbeitskreis Internationaler Datenverkehr und dem Arbeitskreis Grundsatz vorgelegte Bewertung der Möglichkeit von extraterritorialen Zugriffen durch Drittländer vor. Die Teilnehmenden diskutieren einige Formulierungen des Papiers.
Die DSK verabschiedet den Beschluss „Zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten“ und dessen Veröffentlichung mehrheitlich. Die DSK trifft darüber hinaus die folgende Festlegung: „Die DSK wird sich auf der Grundlage dieses Beschlusses für eine weitere Behandlung im EDSA einsetzen.“
[16, 0, 1] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 07 – Ausweitung der Vereinfachung des Prozesses zur Einvernehmensherstellung
1) bei 64 Stellungnahmen auf alle BCR-Verfahren
2) auf schriftliche Verfahren zum Verzicht auf eine Stellungnahme bei Verwaltungsvereinbarungen nationaler Abschlussprüfungsbehörden mit dem US-amerikanischen Pendant PCAOB nach abgestimmtem Muster
Der BfDI führt in das Thema ein und erläutert die zu beschließende Verfahrensweise. Es wird betont, dass die Möglichkeit, die ZASt um die formelle Herstellung eines gemeinsamen Standpunktes unter Einbeziehung aller Aufsichtsbehörden zu ersuchen, selbstverständlich weiterhin allen offensteht.
Die DSK trifft einvernehmlich die folgenden Festlegungen:
Zu 1) Die DSK beschließt, das vereinfachte Verfahren zur Herstellung des Einvernehmens in Verfahren nach Art. 64 DSGVO zu BCRs auch auf solche BCRs auszudehnen, die von einer deutschen Aufsichtsbehörde geprüft wurden. Bei BCR wird grundsätzlich davon ausgegangen, dass Einvernehmen besteht, der zugehörigen EDSA-Stellungnahme im Art. 64-Verfahren zuzustimmen. Hierauf weist die ZASt in der Internen Konsultation hin. Binnen einer von der ZASt gesetzten Frist haben die Aufsichtsbehörden aber das Recht, eine ausdrückliche Einvernehmensabfrage unter Einbeziehung aller deutschen Aufsichtsbehörden zu verlangen.
Die DSK beschließt, die vom AK Internationaler Datenverkehr vorgelegten Änderungen der Anlage „Vorläufiges Prozedere bei BCR-Verfahren bzgl. des Verfahrensablaufs von BCR-Verfahren“ zum ZASt-Konzept anzunehmen.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
Zu 2) Die DSK beschließt, die zu TOP 5 der 2. Zwischenkonferenz 2022 der DSK ergänzte Ziffer 4 zum Beschluss zu TOP 25 der 97. DSK „Anbindung der Aufsichtsbehörden des Bundes und der Länder an das geplante IMI-Modul zur Durchführung der schriftlichen Verfahren des EDSA“ folgendermaßen abzuändern:
„4. Bei schriftlichen Verfahren des EDSA, die allein die Mandatierung/Bestätigung von Berichterstattenden oder den Verzicht auf eine Stellungnahme bei Verwaltungsvereinbarungen nationaler Abschlussprüfungsbehörden mit dem US-amerikanischen Pendant PCAOB nach abgestimmtem Muster zum Gegenstand haben, wird grundsätzlich davon ausgegangen, dass in der DSK Einvernehmen besteht, dem Abstimmungsvorschlag des EDSA zuzustimmen.“
Bei jedem einschlägigen schriftlichen Verfahren weist die ZASt gesondert auf die vorgenannte Abrede per E-Mail über den DSK-Verteiler und die vpo-IMI- Liste hin und räumt eine angemessene Interventionsfrist (ca. zwei Werktage) ein, innerhalb derer der Wunsch nach formeller Herstellung eines gemeinsamen Standpunktes vorgebracht werden kann, möglichst verbunden mit einem Abstimmungsvorschlag.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 08 – Angemessenheitsbeschlussentwurf USA (EU-U.S. DPF)
Der BfDI erläutert das Thema. Im EDSA wird eine Stellungnahme zu dem zu erwartenden Angemessenheitsbeschluss der Kommission durch die International Transfer ESG und die BTLE ESG vorbereitet. Die BTLE ESG beschäftigt sich insbesondere mit den staatlichen Zugriffsmöglichkeiten. Konkrete Ergebnisse liegen noch nicht vor. Am 24. Januar 2023 fand hierzu ein Gespräch mit Vertretern der US Regierung statt.
Bayern (LDA) erkundigt sich nach dem zeitlichen Horizont. Der BfDI berichtet, dass es Ende Februar ein Sonderplenum als Videokonferenz geben wird. Der BfDI regt daher die zeitnahe Herstellung eines gemeinsamen Standpunkts an. Rheinland-Pfalz schlägt vor, dass die DSK nach Finalisierung der EDSA-Stellungnahme eine Pressemitteilung zu dem Thema veröffentlicht. Hessen kündigt an, dass es auf der Arbeitsebene eine frühestmögliche Einbindung geben soll.
Die DSK nimmt den Bericht zur Kenntnis.
TOP 09 – Microsoft EU Data Boundary
Hamburg führt in das Thema ein und erinnert daran, dass sich die DSK im letzten Jahr eindeutig zu Microsoft 365 geäußert hat. Zwischenzeitlich hat Microsoft die EU Data Boundary eingeführt und die Datenschutzbestimmungen entsprechend geändert.
Die Teilnehmenden diskutieren einen Arbeitsauftrag an die AG DSK Microsoft Online- Dienste.
Die DSK trifft die folgende Festlegung:
Die DSK beauftragt die AG DSK „Microsoft-Onlinedienste“, ihr möglichst zur DSK über die Änderungen zu berichten, die sich aus der EU Data Boundary bzw. zumindest dem damit verbundenen DPA 01/23 ergeben.
[16, 0, 1] (Zustimmungen, Gegenstimmen, Enthaltungen)
Hamburg erkundigt sich nach dem Stand der Arbeiten an einer Handreichung für die Nutzung von Microsoft-Produkten. Niedersachsen führt dazu aus, dass die an der Erstellung der Handreichung beteiligten Aufsichtsbehörden Arbeitsaufträge untereinander aufgeteilt und die inhaltliche Arbeit begonnen haben und kündigt an, regelmäßig zu berichten.
Der BfDI verweist darauf, dass die Bundesregierung die Sichtweise der DSK zu Microsoft 365 im Grundsatz teilt.
TOP 10 – Stellvertretung der Ländervertretung in der Cooperation ESG
Zukünftig wird die Stellvertretung des Ländervertreters in der Cooperation ESG nicht mehr durch Bayern (LDA) wahrgenommen. Für die Nachbesetzung der Position gibt es Interessensbekundungen von Thüringen und Baden-Württemberg.
Die Vorsitzende weist auf einen bereits bestehenden Beschluss der DSK hin, nach dem jede Aufsichtsbehörde eines Landes grundsätzlich einen Anspruch auf eine Position in einem europäischen Arbeitsgremium haben soll.
Nach einer ausführlichen Erörterung trifft die DSK die folgende Festlegung:
Als stellvertretende Ländervertretung in der Cooperation Expert Subgroup des EDSA wird Thüringen bestimmt.
[16, 1] (Stimmen für Thüringen, Stimmen für Baden-Württemberg)
TOP 11 – Umgang mit Taskforces und anderen Arbeitsgruppen der DSK
Die Vorsitzende führt in das Thema ein. Konkret gehe es in diesem TOP um Taskforces und andere Arbeitsgruppen, nicht um die Arbeitskreise der DSK. Der Begriff „Taskforces“ vermittele, dass dort eine kleine Arbeitsgruppe in kurzer Zeit zu speziellen Einzelthemen direkt der DSK zuarbeitet. Die Vorsitzende stellt fest, dass es auch Taskforces gibt, die auf Dauer angelegt sind. Daher sollte generell der Umgang mit den verschiedenen Arbeitsgremien der DSK diskutiert werden. Die Vorsitzende bittet daher die Teilnehmenden, zu prüfen, welche konkreten Arbeitsaufträge die derzeit bestehenden Taskforces haben. Es sollte auch definiert werden, wie die Taskforces zueinander und zu den anderen Arbeitskreisen und Arbeitsgremien der DSK stehen. Es wird diskutiert, ob dies durch den AK DSK 2.0 erfolgen könnte.
Nordrhein-Westfalen bittet darum, die Leitungen der Taskforces zu beteiligen. Rheinland-Pfalz erinnert, dass im AK DSK 2.0 Themen behandelt werden sollen, die die Leitungsebene direkt berühren. Es wird vorgeschlagen, eher das Verhältnis zu der DSK zu beleuchten. Der BfDI meint, dass die Entscheidung darüber, welche Zuarbeit durch welche Arbeitsgremien erfolgen soll, letztlich bei der DSK liegen sollte. Es gehe daher nicht nur um das Verhältnis der Arbeitsgremien untereinander, sondern auch um das Verhältnis der Arbeitsgremien und der DSK. Für die Einrichtung von Taskforces gebe es unterschiedliche Gründe: das Erfordernis schneller, enger Abstimmungen einerseits sowie andererseits die übergreifende Behandlung von Themen, die mehrere Arbeitskreise berühren. In diesem Zusammenhang findet ein Austausch über den Sitzungs-Rhythmus der Arbeitskreise statt. Sachsen-Anhalt merkt an, dass Arbeitskreise sich inzwischen deutlich häufiger treffen. Daher könne es sich anbieten, auch in kurzer Zeit zu erarbeitende Arbeitsaufträge an Arbeitskreise zu geben. Taskforces würden dann möglicherweise eine Ausnahme darstellen.
Die DSK trifft die folgende Festlegung:
Die Taskforces und Arbeitsgruppen werden gebeten, im Vorfeld zur 2. Zwischenkonferenz 2023 mitzuteilen, ob ihr Fortbestehen für erforderlich gehalten wird.
Der TOP wird vom Vorsitz in der 2. Zwischenkonferenz 2023 erneut aufgerufen.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 12 – Verfahren bei Codes of Conducts
Die Teilnehmenden einigen sich darauf, den Tagesordnungspunkt aus zeitlichen Gründen auf die 2. Zwischenkonferenz 2023 zu vertagen.
TOP 13 – Vorsitz des AK Werbung und Adresshandel
Die Vorsitzende führt in das Thema ein. Für den Arbeitskreis Werbung und Adresshandel konnte noch kein neuer Vorsitz gefunden werden. Das Thema wird bei der 2. Zwischenkonferenz 2023 erneut aufgerufen. Bis dahin wird Bayern (LDA) den Vorsitz des Arbeitskreises weiter ausüben.
TOP 14 – Sonstiges
Die Vorsitzende kündigt die baldige Abfrage von möglichen Terminen für ein nächstes Treffen mit den spezifischen Aufsichtsbehörden per Videokonferenz an.
Sachsen-Anhalt bittet darum, die Beschlüsse und Festlegungen der DSK schon vorab zum Protokoll zu versenden.
Hamburg weist darauf hin, im Rahmen eines Referentenentwurfs zur Neufassung des OZG beteiligt worden zu sein, und regt ein möglichst koordiniertes Vorgehen an.
TOP 15 – Positionspapier Souveräne Cloud
(Anmerkung: TOP 15 wurde zeitlich nach TOP 05 behandelt.)
Die Vorsitzende ruft den BfDI zur Berichterstattung auf. Der BfDI führt in den TOP ein. In der 104. DSK wurden die Arbeitskreise Grundsatz, Technik und Internationaler Datenverkehr mit der weiteren Bearbeitung des Papiers und der Herstellung von Einvernehmen auf Arbeitsebene beauftragt. In der Diskussion geht es um Begrifflichkeiten, Zielsetzung und Adressaten des vorliegenden und in den Arbeitskreisen beratenen Entwurfs des Positionspapiers.
Nach einem ausführlichen Austausch trifft die DSK die folgende Festlegung:
„Die DSK dankt der Taskforce Souveräne Cloud sowie den beteiligten Arbeitskreisen für die geleistete Arbeit. Sie setzt eine Redaktionsgruppe ein mit dem Ziel, den vorgelegten Entwurf zu bearbeiten. Der TOP wird erneut zur 2. Zwischenkonferenz 2023 aufgerufen. Mitglied der Redaktionsgruppe sind BfDI (Leitung), Niedersachsen, Baden-Württemberg, Hessen und Schleswig-Holstein.“
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 16 – Stellungnahme zum Energiepreispauschalengesetz (EPPSG)
(Anmerkung: TOP 16 wurde zeitlich nach TOP 10 behandelt.)
Brandenburg führt in den Tagesordnungspunkt ein und nimmt Bezug auf den übersandten Entwurf einer Stellungnahme zum EPPSG. Brandenburg schlägt vor, eine Verfahrensweise festzulegen, wie mit dem Entwurf der Stellungnahme umzugehen ist und wirbt dafür, die Stellungnahme bis zum 3. Februar 2023 abschließend abzustimmen. Es entsteht eine Diskussion über das weitere Vorgehen und zu den Verwendungsmöglichkeiten der Stellungnahme
Die Vorsitzende plädiert für eine gemeinsame Stellungnahme, auch wenn die Landesregierungen einiger Bundesländer die Datenschutzaufsichtsbehörden inzwischen beteiligt haben oder gerade beteiligen. Die Stellungnahme soll von den Datenschutzaufsichtsbehörden bei Bedarf in ihrer unmittelbaren Kommunikation mit den für die Umsetzung des EPPSG zuständigen Stellen verwendet werden können. Dem Saarland ist nicht bekannt, ob das in seiner Stellungnahme skizzierte technische Verfahren zur Eindämmung der Risiken inzwischen so umgesetzt worden ist.
Der BfDI weist darauf hin, dass es sich bei dem EPPSG um Bundesgesetzgebung handelt. In Gesetzgebungsverfahren des Bundes ist eine Beteiligung der Datenschutzaufsichtsbehörden der Länder nicht üblich; die Länder würden normalerweise über den Bundesrat an Bundesgesetzgebungsverfahren beteiligt werden und könnten sich dann an ihre jeweilige Aufsichtsbehörde wenden.
Das Saarland macht deutlich, dass die Länder im Bundesratsverfahren auf offene datenschutzrechtliche Fragen hingewiesen hätten, die jedoch durch das EPPSG nicht geklärt worden seien.
Die Diskussion zum weiteren Verfahren hinsichtlich des Umgangs mit der Stellungnahme wird fortgeführt.
Die DSK trifft daraufhin die folgende Festlegung:
Der Entwurf für eine Stellungnahme zur Umsetzung des EPPSG wird im Umlaufverfahren abgestimmt. Das Verfahren soll bis zum 03.02.2023 abgeschlossen sein.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
1. Zwischenkonferenz 2023
der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder am 31. Januar 2023
– Protokoll –
TOP 01 – Begrüßung und Organisatorisches
Die Vorsitzende begrüßt die Teilnehmenden der 1. Zwischenkonferenz 2023 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).
Die Vorsitzende dankt dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit für die Ausrichtung der Konferenzen und die geleistete hervorragende Arbeit im Jahr 2022. Der Vorsitz stellt den geplanten Ablauf des Konferenzjahres vor und betont die Wichtigkeit und Notwendigkeit des Austausches und das Bestreben, eine einheitliche Rechtsanwendung zu erreichen.
Es wird festgestellt, dass alle Mitglieder der DSK anwesend sind.
TOP 02 – Tagesordnung und Protokoll
Die Vorsitzende erläutert die Tagesordnung. Die DSK beschließt, den verspätet angemeldeten Tagesordnungspunkt „Positionspapier Souveräne Cloud“ als TOP 15 auf die Tagesordnung zu nehmen. Er soll nach TOP 05 behandelt werden. Das von Brandenburg angemeldete Thema „Umsetzung des EPPSG“ wird als TOP 16 auf die Tagesordnung genommen. Er soll zwischen TOP 11 und TOP 12 behandelt werden.
Die Tagesordnung wird in dieser Form einstimmig angenommen.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
Die Vorsitzende stellt fest, dass das Protokoll zur 104. DSK im Umlaufverfahren final abgestimmt wurde und das Protokoll damit angenommen ist. Die Veröffentlichung soll zeitnah erfolgen.
TOP 03 – Bericht über Umlaufverfahren
Die Vorsitzende berichtet über das abgeschlossene Umlaufverfahren zum Protokoll (01/2023) sowie über die erfolgte Abstimmung über die gemeinsame Stellungnahme der DSK in dem Bußgeldverfahren „Deutsche Wohnen“.
TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss
Der BfDI erläutert die aktuellen Themen, die im EDSA behandelt werden, der seit der 104. DSK dreimal getagt hat:
- Beschlussfassung in den Streitbeilegungsverfahren Facebook (Meta Ireland), Instagram (Meta Ireland) und WhatsApp (WhatsApp Ireland)
- Stellungnahme zur Umsetzung des Urteils des EuGH zur Verwendung von Fluggastdaten
- Mandatierung der Enforcement Expert Subgroup (ESG) zur Erarbeitung eines Musters zur Einlegung von Einsprüchen im Streitbeilegungsverfahren
- Bericht des Kommissars Reynders zum Entwurf eines Angemessenheitsbeschlusses zum EU-US Datenschutz-Abkommen
- Ergebnisbericht der Cookie Banner Taskforce
- Bericht zu den Durchsetzungsmaßnahmen bei der Nutzung von Cloud-Diensten durch öffentliche Stellen
- Bericht über die Besetzung der High Level Group nach Art. 40 DMA (Es wurden bisher erst 4 von 5 Stellen besetzt (Frankreich, Lettland, Norwegen, Italien). Für den Platz wird es zu einer Stichwahl zwischen Deutschland, Luxemburg und Irland kommen).
Bayern (LfD) ergänzt die Ausführungen wie folgt:
In der 73. Plenartagung fand ein Austausch über eine Entscheidung des Europäischen Gerichts vom 7. Dezember 2022 statt. Danach stehen Verantwortlichen keine Rechtsmittel direkt gegen bindende Entscheidungen des EDSA zu, da diese Entscheidungen die Verantwortlichen nicht unmittelbar belasten. Belastend wirkt nur die Entscheidung der Aufsichtsbehörde, die nach der Entscheidung des EDSA handelt.
Außerdem war der Direktor der Authority for European Political Parties and European Political Foundations (APPF) anwesend. Dabei handelt es sich um eine unabhängige Kontrollbehörde, die die Integrität der demokratischen Institutionen der EU schützen soll, insbesondere im Zusammenhang mit EU-Parlamentswahlen. Für diese besteht die Möglichkeit der Ahndung von Datenschutzverstößen im Zusammenhang mit EP-Wahlen.
Außerdem hat es im EDSA eine Diskussion zu einem Anliegen aus der Cooperation ESG zum Thema der Einrichtung eines Registers über die inländischen Vertreter nach Art. 27 DSGVO gegeben.
In der 74. Plenartagung wurde im Zusammenhang mit der Cookie Banner Taskforce das Thema der Veröffentlichung von Minderheitenvoten behandelt. In dem Fall des Ergebnisberichts der Cookie Banner Taskforce hat der EDSA mehrheitlich entschieden, im Bericht ausnahmsweise auf Minderheitenvoten hinzuweisen. Dies hängt auch damit zusammen, dass die Datenschutzaufsichtsbehörden in einigen Mitgliedstaaten keine aufsichtsbehördliche Zuständigkeit in dem betreffenden Bereich haben.
Niedersachsen merkt an, dass das Thema der Bußgeldhöhe und der Gewinnabschöpfung bei Meta noch nicht ausreichend diskutiert worden sei, und bittet darum, das Thema in Zukunft noch stärker zu in den Fokus zu stellen.
Bayern (LDA) fragt, ob die Fining Guidelines des EDSA in der Debatte berücksichtigt wurden, da diese bereits eine Einstufung des Verstoßes vorgeben würden. Bayern (LDA) erkundigt sich außerdem, ob und in welcher Weise der Bericht zu Joint Enforcement Cloud Computing behandelt wurde.
Der BfDI antwortet darauf, dass der Bericht ohne weitere Diskussion zur Kenntnis genommen wurde. Hinsichtlich der Fining Guidelines merkt der BfDI an, dass es für die Bemessung von Bußgeldern nach den Fining Guidelines maßgeblich auf die korrekte Ermittlung des Ausgangswerts ankommt. Für die Ermittlung von Umsätzen und Gewinnen gibt es verschiedene Ansätze.
Rheinland-Pfalz betont die Wichtigkeit der künftigen Regelung des Verwaltungsverfahrensrechts und die Möglichkeiten des EDSA, in diesem Bereich Einfluss zu nehmen. Rheinland-Pfalz wirbt für eine möglichst frühzeitige und enge Begleitung bei der Erarbeitung von Verfahrensregeln.
Bayern (LfD) erläutert, dass die Kommission einen Punkt aus der Wish-List des EDSA aufgreifen will und die Fragen der uneinheitlichen Verfahren einer Lösung zuführen will. Eine Entscheidung darüber, in welcher Subgroup das Thema behandelt werden wird, wurde noch nicht final getroffen.
Hessen weist auf die nicht unerhebliche Außenwirkung hin, die der eigene Umgang mit Bußgeldverfahren haben kann, und plädiert dafür, weiterhin mit gutem Beispiel voranzugehen.
Die Vorsitzende hebt in diesem Zusammenhang die Wichtigkeit des Arbeitskreises Sanktionen der DSK hervor.
Hinsichtlich der verbleibenden Position in der High Level Group nach Art. 40 DMA geht die Vorsitzende davon aus, dass Deutschland im EDSA für den Kandidaten Deutschlands stimmt. Eine gesonderte Abstimmung hierüber findet nicht statt.
TOP 05 – Bericht aus dem AK DSK 2.0
Die Vorsitzende ruft Rheinland-Pfalz als Berichterstatter auf.
Rheinland-Pfalz gibt einen Überblick über die Überlegungen des AK DSK 2.0 zur Einrichtung einer Geschäftsstelle der DSK. In dem Präsenztreffen am 20. Januar 2023 wurde der Aufgabenbereich der Geschäftsstelle konkretisiert. Der UAK Geschäftsstelle erarbeitet auf der Grundlage der Diskussion ein Papier. Spätestens bis Mai 2023 soll das Papier der DSK vorgestellt werden. Bayern (LDA) führt aus, dass in Bezug auf die inhaltliche Arbeit der Geschäftsstelle Einigkeit besteht. Hinsichtlich der organisatorischen Struktur und deren Ausgestaltung sowie bei der Frage der rechtlichen Rahmenbedingungen sind die Überlegungen noch nicht abgeschlossen. Der BfDI plädiert für einen möglichst zeitnahen Abschluss der Debatte, damit dies in einer etwaigen BDSG-Novelle Berücksichtigung finden kann.
Die DSK trifft nach dem Austausch die folgende Festlegung:
„Die DSK nimmt den mündlichen Bericht zur Kenntnis und bittet den AK DSK 2.0, möglichst bis zur 2. Zwischenkonferenz 2023 einen Vorschlag zur Frage der Einrichtung einer Geschäftsstelle für die DSK vorzulegen.“
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
Rheinland-Pfalz schließt den Tagesordnungspunkt mit einem kurzen Bericht über die Terminfindung zur Sommerklausur ab.
TOP 06 – Arbeiten des AK Internationaler Datenverkehr und AK Grundsatz zu extraterritorialen Zugriffen
Bayern (LDA) stellt die von dem Arbeitskreis Internationaler Datenverkehr und dem Arbeitskreis Grundsatz vorgelegte Bewertung der Möglichkeit von extraterritorialen Zugriffen durch Drittländer vor. Die Teilnehmenden diskutieren einige Formulierungen des Papiers.
Die DSK verabschiedet den Beschluss „Zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten“ und dessen Veröffentlichung mehrheitlich. Die DSK trifft darüber hinaus die folgende Festlegung: „Die DSK wird sich auf der Grundlage dieses Beschlusses für eine weitere Behandlung im EDSA einsetzen.“
[16, 0, 1] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 07 – Ausweitung der Vereinfachung des Prozesses zur Einvernehmensherstellung
1) bei 64 Stellungnahmen auf alle BCR-Verfahren
2) auf schriftliche Verfahren zum Verzicht auf eine Stellungnahme bei Verwaltungsvereinbarungen nationaler Abschlussprüfungsbehörden mit dem US-amerikanischen Pendant PCAOB nach abgestimmtem Muster
Der BfDI führt in das Thema ein und erläutert die zu beschließende Verfahrensweise. Es wird betont, dass die Möglichkeit, die ZASt um die formelle Herstellung eines gemeinsamen Standpunktes unter Einbeziehung aller Aufsichtsbehörden zu ersuchen, selbstverständlich weiterhin allen offensteht.
Die DSK trifft einvernehmlich die folgenden Festlegungen:
Zu 1) Die DSK beschließt, das vereinfachte Verfahren zur Herstellung des Einvernehmens in Verfahren nach Art. 64 DSGVO zu BCRs auch auf solche BCRs auszudehnen, die von einer deutschen Aufsichtsbehörde geprüft wurden. Bei BCR wird grundsätzlich davon ausgegangen, dass Einvernehmen besteht, der zugehörigen EDSA-Stellungnahme im Art. 64-Verfahren zuzustimmen. Hierauf weist die ZASt in der Internen Konsultation hin. Binnen einer von der ZASt gesetzten Frist haben die Aufsichtsbehörden aber das Recht, eine ausdrückliche Einvernehmensabfrage unter Einbeziehung aller deutschen Aufsichtsbehörden zu verlangen.
Die DSK beschließt, die vom AK Internationaler Datenverkehr vorgelegten Änderungen der Anlage „Vorläufiges Prozedere bei BCR-Verfahren bzgl. des Verfahrensablaufs von BCR-Verfahren“ zum ZASt-Konzept anzunehmen.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
Zu 2) Die DSK beschließt, die zu TOP 5 der 2. Zwischenkonferenz 2022 der DSK ergänzte Ziffer 4 zum Beschluss zu TOP 25 der 97. DSK „Anbindung der Aufsichtsbehörden des Bundes und der Länder an das geplante IMI-Modul zur Durchführung der schriftlichen Verfahren des EDSA“ folgendermaßen abzuändern:
„4. Bei schriftlichen Verfahren des EDSA, die allein die Mandatierung/Bestätigung von Berichterstattenden oder den Verzicht auf eine Stellungnahme bei Verwaltungsvereinbarungen nationaler Abschlussprüfungsbehörden mit dem US-amerikanischen Pendant PCAOB nach abgestimmtem Muster zum Gegenstand haben, wird grundsätzlich davon ausgegangen, dass in der DSK Einvernehmen besteht, dem Abstimmungsvorschlag des EDSA zuzustimmen.“
Bei jedem einschlägigen schriftlichen Verfahren weist die ZASt gesondert auf die vorgenannte Abrede per E-Mail über den DSK-Verteiler und die vpo-IMI- Liste hin und räumt eine angemessene Interventionsfrist (ca. zwei Werktage) ein, innerhalb derer der Wunsch nach formeller Herstellung eines gemeinsamen Standpunktes vorgebracht werden kann, möglichst verbunden mit einem Abstimmungsvorschlag.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 08 – Angemessenheitsbeschlussentwurf USA (EU-U.S. DPF)
Der BfDI erläutert das Thema. Im EDSA wird eine Stellungnahme zu dem zu erwartenden Angemessenheitsbeschluss der Kommission durch die International Transfer ESG und die BTLE ESG vorbereitet. Die BTLE ESG beschäftigt sich insbesondere mit den staatlichen Zugriffsmöglichkeiten. Konkrete Ergebnisse liegen noch nicht vor. Am 24. Januar 2023 fand hierzu ein Gespräch mit Vertretern der US Regierung statt.
Bayern (LDA) erkundigt sich nach dem zeitlichen Horizont. Der BfDI berichtet, dass es Ende Februar ein Sonderplenum als Videokonferenz geben wird. Der BfDI regt daher die zeitnahe Herstellung eines gemeinsamen Standpunkts an. Rheinland-Pfalz schlägt vor, dass die DSK nach Finalisierung der EDSA-Stellungnahme eine Pressemitteilung zu dem Thema veröffentlicht. Hessen kündigt an, dass es auf der Arbeitsebene eine frühestmögliche Einbindung geben soll.
Die DSK nimmt den Bericht zur Kenntnis.
TOP 09 – Microsoft EU Data Boundary
Hamburg führt in das Thema ein und erinnert daran, dass sich die DSK im letzten Jahr eindeutig zu Microsoft 365 geäußert hat. Zwischenzeitlich hat Microsoft die EU Data Boundary eingeführt und die Datenschutzbestimmungen entsprechend geändert.
Die Teilnehmenden diskutieren einen Arbeitsauftrag an die AG DSK Microsoft Online- Dienste.
Die DSK trifft die folgende Festlegung:
Die DSK beauftragt die AG DSK „Microsoft-Onlinedienste“, ihr möglichst zur DSK über die Änderungen zu berichten, die sich aus der EU Data Boundary bzw. zumindest dem damit verbundenen DPA 01/23 ergeben.
[16, 0, 1] (Zustimmungen, Gegenstimmen, Enthaltungen)
Hamburg erkundigt sich nach dem Stand der Arbeiten an einer Handreichung für die Nutzung von Microsoft-Produkten. Niedersachsen führt dazu aus, dass die an der Erstellung der Handreichung beteiligten Aufsichtsbehörden Arbeitsaufträge untereinander aufgeteilt und die inhaltliche Arbeit begonnen haben und kündigt an, regelmäßig zu berichten.
Der BfDI verweist darauf, dass die Bundesregierung die Sichtweise der DSK zu Microsoft 365 im Grundsatz teilt.
TOP 10 – Stellvertretung der Ländervertretung in der Cooperation ESG
Zukünftig wird die Stellvertretung des Ländervertreters in der Cooperation ESG nicht mehr durch Bayern (LDA) wahrgenommen. Für die Nachbesetzung der Position gibt es Interessensbekundungen von Thüringen und Baden-Württemberg.
Die Vorsitzende weist auf einen bereits bestehenden Beschluss der DSK hin, nach dem jede Aufsichtsbehörde eines Landes grundsätzlich einen Anspruch auf eine Position in einem europäischen Arbeitsgremium haben soll.
Nach einer ausführlichen Erörterung trifft die DSK die folgende Festlegung:
Als stellvertretende Ländervertretung in der Cooperation Expert Subgroup des EDSA wird Thüringen bestimmt.
[16, 1] (Stimmen für Thüringen, Stimmen für Baden-Württemberg)
TOP 11 – Umgang mit Taskforces und anderen Arbeitsgruppen der DSK
Die Vorsitzende führt in das Thema ein. Konkret gehe es in diesem TOP um Taskforces und andere Arbeitsgruppen, nicht um die Arbeitskreise der DSK. Der Begriff „Taskforces“ vermittele, dass dort eine kleine Arbeitsgruppe in kurzer Zeit zu speziellen Einzelthemen direkt der DSK zuarbeitet. Die Vorsitzende stellt fest, dass es auch Taskforces gibt, die auf Dauer angelegt sind. Daher sollte generell der Umgang mit den verschiedenen Arbeitsgremien der DSK diskutiert werden. Die Vorsitzende bittet daher die Teilnehmenden, zu prüfen, welche konkreten Arbeitsaufträge die derzeit bestehenden Taskforces haben. Es sollte auch definiert werden, wie die Taskforces zueinander und zu den anderen Arbeitskreisen und Arbeitsgremien der DSK stehen. Es wird diskutiert, ob dies durch den AK DSK 2.0 erfolgen könnte.
Nordrhein-Westfalen bittet darum, die Leitungen der Taskforces zu beteiligen. Rheinland-Pfalz erinnert, dass im AK DSK 2.0 Themen behandelt werden sollen, die die Leitungsebene direkt berühren. Es wird vorgeschlagen, eher das Verhältnis zu der DSK zu beleuchten. Der BfDI meint, dass die Entscheidung darüber, welche Zuarbeit durch welche Arbeitsgremien erfolgen soll, letztlich bei der DSK liegen sollte. Es gehe daher nicht nur um das Verhältnis der Arbeitsgremien untereinander, sondern auch um das Verhältnis der Arbeitsgremien und der DSK. Für die Einrichtung von Taskforces gebe es unterschiedliche Gründe: das Erfordernis schneller, enger Abstimmungen einerseits sowie andererseits die übergreifende Behandlung von Themen, die mehrere Arbeitskreise berühren. In diesem Zusammenhang findet ein Austausch über den Sitzungs-Rhythmus der Arbeitskreise statt. Sachsen-Anhalt merkt an, dass Arbeitskreise sich inzwischen deutlich häufiger treffen. Daher könne es sich anbieten, auch in kurzer Zeit zu erarbeitende Arbeitsaufträge an Arbeitskreise zu geben. Taskforces würden dann möglicherweise eine Ausnahme darstellen.
Die DSK trifft die folgende Festlegung:
Die Taskforces und Arbeitsgruppen werden gebeten, im Vorfeld zur 2. Zwischenkonferenz 2023 mitzuteilen, ob ihr Fortbestehen für erforderlich gehalten wird.
Der TOP wird vom Vorsitz in der 2. Zwischenkonferenz 2023 erneut aufgerufen.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 12 – Verfahren bei Codes of Conducts
Die Teilnehmenden einigen sich darauf, den Tagesordnungspunkt aus zeitlichen Gründen auf die 2. Zwischenkonferenz 2023 zu vertagen.
TOP 13 – Vorsitz des AK Werbung und Adresshandel
Die Vorsitzende führt in das Thema ein. Für den Arbeitskreis Werbung und Adresshandel konnte noch kein neuer Vorsitz gefunden werden. Das Thema wird bei der 2. Zwischenkonferenz 2023 erneut aufgerufen. Bis dahin wird Bayern (LDA) den Vorsitz des Arbeitskreises weiter ausüben.
TOP 14 – Sonstiges
Die Vorsitzende kündigt die baldige Abfrage von möglichen Terminen für ein nächstes Treffen mit den spezifischen Aufsichtsbehörden per Videokonferenz an.
Sachsen-Anhalt bittet darum, die Beschlüsse und Festlegungen der DSK schon vorab zum Protokoll zu versenden.
Hamburg weist darauf hin, im Rahmen eines Referentenentwurfs zur Neufassung des OZG beteiligt worden zu sein, und regt ein möglichst koordiniertes Vorgehen an.
TOP 15 – Positionspapier Souveräne Cloud
(Anmerkung: TOP 15 wurde zeitlich nach TOP 05 behandelt.)
Die Vorsitzende ruft den BfDI zur Berichterstattung auf. Der BfDI führt in den TOP ein. In der 104. DSK wurden die Arbeitskreise Grundsatz, Technik und Internationaler Datenverkehr mit der weiteren Bearbeitung des Papiers und der Herstellung von Einvernehmen auf Arbeitsebene beauftragt. In der Diskussion geht es um Begrifflichkeiten, Zielsetzung und Adressaten des vorliegenden und in den Arbeitskreisen beratenen Entwurfs des Positionspapiers.
Nach einem ausführlichen Austausch trifft die DSK die folgende Festlegung:
„Die DSK dankt der Taskforce Souveräne Cloud sowie den beteiligten Arbeitskreisen für die geleistete Arbeit. Sie setzt eine Redaktionsgruppe ein mit dem Ziel, den vorgelegten Entwurf zu bearbeiten. Der TOP wird erneut zur 2. Zwischenkonferenz 2023 aufgerufen. Mitglied der Redaktionsgruppe sind BfDI (Leitung), Niedersachsen, Baden-Württemberg, Hessen und Schleswig-Holstein.“
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)
TOP 16 – Stellungnahme zum Energiepreispauschalengesetz (EPPSG)
(Anmerkung: TOP 16 wurde zeitlich nach TOP 10 behandelt.)
Brandenburg führt in den Tagesordnungspunkt ein und nimmt Bezug auf den übersandten Entwurf einer Stellungnahme zum EPPSG. Brandenburg schlägt vor, eine Verfahrensweise festzulegen, wie mit dem Entwurf der Stellungnahme umzugehen ist und wirbt dafür, die Stellungnahme bis zum 3. Februar 2023 abschließend abzustimmen. Es entsteht eine Diskussion über das weitere Vorgehen und zu den Verwendungsmöglichkeiten der Stellungnahme
Die Vorsitzende plädiert für eine gemeinsame Stellungnahme, auch wenn die Landesregierungen einiger Bundesländer die Datenschutzaufsichtsbehörden inzwischen beteiligt haben oder gerade beteiligen. Die Stellungnahme soll von den Datenschutzaufsichtsbehörden bei Bedarf in ihrer unmittelbaren Kommunikation mit den für die Umsetzung des EPPSG zuständigen Stellen verwendet werden können. Dem Saarland ist nicht bekannt, ob das in seiner Stellungnahme skizzierte technische Verfahren zur Eindämmung der Risiken inzwischen so umgesetzt worden ist.
Der BfDI weist darauf hin, dass es sich bei dem EPPSG um Bundesgesetzgebung handelt. In Gesetzgebungsverfahren des Bundes ist eine Beteiligung der Datenschutzaufsichtsbehörden der Länder nicht üblich; die Länder würden normalerweise über den Bundesrat an Bundesgesetzgebungsverfahren beteiligt werden und könnten sich dann an ihre jeweilige Aufsichtsbehörde wenden.
Das Saarland macht deutlich, dass die Länder im Bundesratsverfahren auf offene datenschutzrechtliche Fragen hingewiesen hätten, die jedoch durch das EPPSG nicht geklärt worden seien.
Die Diskussion zum weiteren Verfahren hinsichtlich des Umgangs mit der Stellungnahme wird fortgeführt.
Die DSK trifft daraufhin die folgende Festlegung:
Der Entwurf für eine Stellungnahme zur Umsetzung des EPPSG wird im Umlaufverfahren abgestimmt. Das Verfahren soll bis zum 03.02.2023 abgeschlossen sein.
[17, 0, 0] (Zustimmungen, Gegenstimmen, Enthaltungen)