Toolbar-Menü

101. Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder am 28. und 29. April 2021

Protokoll –


TOP 01    Begrüßung und Organisatorisches

Die Vorsitzende begrüßt die Teilnehmenden zur 101. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird, und stellt den geplanten Ablauf der Videokonferenz dar.

Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer per Video an der Konferenz teilnehmen.

Die Vorsitzende weist darauf hin, dass zu Protokollzwecken eine Tonaufzeichnung der Konferenz erfolgt, welche nach Erstellen des Protokolls gelöscht wird. Es gibt keine Einwände gegen diese Vorgehensweise.

Der ZASt wird für die technische Organisation der Videokonferenz gedankt.

 

TOP 02    Tagesordnung und Protokoll

Die Vorsitzende stellt die Tagesordnung für die 101. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vor. Die finale Fassung wurde am 23. April 2021 versandt.

Unter TOP 23 sollen eine Orientierungshilfe zur Kontaktnachverfolgung und ein Entschließungsentwurf zur Luca-App diskutiert werden. Auf Grund der Wichtigkeit dieser Themen schlägt die Vorsitzende vor, die Punkte vorzuziehen und sie bereits am ers ten Sitzungstag zu behandeln.

Sachsen bittet darum, TOP 5 erst am zweiten Sitzungstag zu behandeln.

Der BfDI schlägt zu TOP 23 noch eine Entschließung vor, mit der die Landesgesetzgeber aufgefordert werden sollen, in ihren jeweiligen Regelungen zur Kontaktnachverfolgung auf die Nutzung der Corona-Warn-App (CWA) hinzuweisen. Ein Entwurf wird für den zweiten Sitzungstag vorbereitet. 

Die geänderte Tagesordnung wird wie folgt zur Abstimmung gestellt:

TOP 23 wird am ersten Sitzungstag nach der Mittagspause behandelt, TOP 5 zu Beginn des zweiten Sitzungstages. TOP 23 wird wie vorgeschlagen ergänzt.

Die Tagesordnung wird in dieser Form einstimmig angenommen.

Für die nachfolgenden Tagesordnungspunkte wurde auf der Vorkonferenz Einvernehmen hergestellt, so dass ihre Behandlung im verkürzten Verfahren erfolgen kann:

  • TOP 03 – Informationen zu Umlaufverfahren
  • TOP 07 – Aktuelle Bundesgesetzgebung – Übersicht (aktualisiert)
  • TOP 10 – Lagerung von Patientenakten als Speicherung gem. Art. 4 Nr. 2 DSGVO
  • TOP 13 – Änderung der Orientierungshilfe E-Mail-Verschlüsselung
    (hinsichtlich der Verweisung an den AK Grundsatz) 
  • TOP 16 – Gemeinsames Dokument zu Anforderungen an Zertifizierungskriterien von Zertifizierungsstellen
  • TOP 17 – Sanktionslistenscreening mit Beschäftigtendaten 
  • TOP 18 – Zugang zu Confluence für den Medienbeauftragten für den Datenschutz bei der Bayerischen Landeszentrale für neue Medien und für andere spezifische Aufsichtsbehörden

Die Konferenz nimmt die Ergebnisse der Vorkonferenz einstimmig ohne weitere Aussprache an.

Die Vorsitzende weist darauf hin, dass das Protokoll der 1. Zwischenkonferenz im Umlaufverfahren abgestimmt und die finalisierte Fassung veröffentlicht wurde.

 

TOP 03    Informationen zu Umlaufverfahren

Die Konferenz nimmt die am 15. April 2021versandte Übersicht über die durchgeführten Umlaufverfahren zur Kenntnis.

 

TOP 04   Bericht aus dem Europäischen Datenschutzausschuss

Die Vorsitzende führt in den TOP ein und übergibt dann an die Berichterstatter BfDI und Hamburg.

Der BfDI berichtet, dass der EDSA seit der 2. Zwischenkonferenz viermal getagt hat. In der Sitzung im Februar wurden unter anderem der Bericht des DPO-Netzwerks zu Twitter und Leitlinien für Sprachassistenten und vernetzte Fahrzeuge behandelt. Im März war der digitale europäische Impfausweis (Digital Green Pass) ein wichtiges Thema. Es gab zum Teil den Wunsch nach einer Datenminimierung dahingehend, dass der verabreichte Impfstoff und die jeweilige Charge nicht erfasst werden sollen. Die Mehrheit der EU-Länder hielt diese Angaben jedoch für erforderlich. Auf nationaler Ebene soll nun darauf hingewirkt werden, dass es im Zusammenhang mit dem Impfausweis nicht zu einer Diskriminierung kommt. Der BfDI steht diesbezüglich in Kontakt mit dem Bundesministerium für Gesundheit und hat eine gesetzliche Regelung angeregt, die festlegt, wann eine Vorlage des Nachweises gefordert werden darf. Der Gesetzgeber hat dies aber bisher nicht aufgegriffen.

In der Sitzung im April wurde eine Stellungnahme zum Angemessenheitsbeschluss für Großbritannien verabschiedet und eine Guideline zu Sozialen Medien angenommen. An den Leitlinien zu Art. 60 bis 65 DSGVO wird weiter gearbeitet.

Hamburg weist ergänzend auf das aktuelle Verfahren gegen WhatsApp hin, in dessen Rahmen die Transparenz des Messengers untersucht wird. Teilweise wurde im EDSA die Auffassung vertreten, das Auslesen des Adressbuches sei unproblematisch, da es sich dabei nicht um eine Verarbeitung personenbezogener Daten handele. Obwohl sich diese Haltung nicht durchgesetzt hat, wurde beschlossen, dass die Prüfung die- ses Themas nicht mehr Gegenstand des Verfahrens sein soll. Hamburg bedauert dies, da gerade das Auslesen der Kontakte ein wichtiger Punkt bei WhatsApp sei.

Der Vorgang hängt zusammen mit dem von Hamburg gegen Facebook eingeleiteten Verfahren nach Art. 66 DSGVO wegen der beabsichtigten Datenschutzanpassungen bei WhatsApp. Hamburg erhofft sich hierzu eine gemeinsame Äußerung der DSK (vgl. TOP 22 b).

 

TOP 05   Austausch der Landesbeauftragten für Datenschutz zum Thema „Stellvertretung des Gemeinsamen Vertreters im Europäischen Datenschutzausschuss“

Die Vorsitzende berichtet, dass sich der DSK-Vorsitz in der Sache wie vereinbart mit Schreiben vom 1. April 2021 an den Bundesrat gewandt und auf den Handlungsbedarf hinsichtlich einer zeitnahen Wahl einer Stellvertretung für den gemeinsamen Vertreter im Europäischen Datenschutzausschuss hingewiesen hat. Nun soll das weitere Verfahren besprochen werden.

Sachsen ergänzt, dass das Schreiben den Bundesrat erreicht hat und sich die Bundes- ratsverwaltung nun mit dem Thema befasst. Bis Ende Mai soll eine erste Stellungnahme erarbeitet werden.

Die Vorsitzende schlägt vor, auf den für Mai geplanten erneuten Austausch zum Thema zu verzichten, da vor Ende Mai nicht mit neuen Erkenntnissen in der Angelegenheit zu rechnen ist. Stattdessen soll das weitere Vorgehen auf der 2. Zwischenkonferenz im Juni besprochen werden.

Es gibt keine Einwände gegen diese Vorgehensweise.

TOP 06    Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden

Der Bericht der ZASt sowie die Übersicht der im IMI-System eingeleiteten Verfahren unter Beteiligung der deutschen Aufsichtsbehörden mit Stand 15. April 2021 wurden den Teilnehmenden mit E-Mail vom 16. April 2021 zugesandt. Der Vertreter der ZASt erläutert auf der Konferenz die Inhalte des Berichts.

 

TOP 07    Aktuelle Bundesgesetzgebung – Übersicht (aktualisiert)

Der BfDI wird weiterhin zweimal im Jahr eine Übersicht in modifizierter Form zur Verfügung stellen. Um den Aufwand zu reduzieren, werden datenschutzpolitisch bedeutsame Gesetzgebungsverfahren weiterhin ausführlich vorgestellt, Vorhaben ohne datenschutzrechtliche Brisanz jedoch nur noch erwähnt.

Die Konferenz dankt dem BfDI für die Bereitschaft, den Aufsichtsbehörden der Länder weiterhin eine Übersicht zur Verfügung zu stellen.

TOP 08    Informationsmaterialien der deutschen Aufsichtsbehörden (Publikationen)

Die Vorsitzende erläutert, dass halbjährlich eine Aktualisierung aller zur Veröffentlichung auf der DSK Homepage vorgesehenen Publikationen der Aufsichtsbehörden erfolgt. Eine aktuelle Übersicht der Publikationen der Aufsichtsbehörden wurde den Teilnehmenden mit E-Mail vom 28. April 2021 zur Verfügung gestellt.

Die Vorsitzende bedankt sich beim LDA Bayern für die eingepflegten Änderungen.

Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz. [17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 09   Vereinheitlichung von Publikationsformaten

Die Vorsitzende führt in das Thema ein und stellt dar, dass der Tagesordnungspunkt weniger das Erscheinungsbild, sondern inhaltliche Überarbeitungen von Publikationen erfasse und schlägt vor, dem künftig durch die Änderung der Bezeichnung dieses TOPs in „Gemeinsame Publikationsformate der DSK“ Rechnung zu tragen.

Im Rahmen der 97. DSK wurde unter Ziffer 3 des Beschlusses zu TOP 24 eine Liste mit Themen festgelegt, zu denen neue Publikationen erstellt werden sollen. Auf der 100. DSK wurde unter TOP 20 diesbezüglich weiterhin die Festlegung getroffen, dass hinsichtlich der Themenliste eine Abfrage bei den Arbeitskreisen erfolgt.

Mittlerweile liegen Rückmeldungen aus den Arbeitskreisen vor. Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:

Basierend auf den Rückmeldungen aus den gemäß der Festlegung zu TOP 20 der 100. DSK angesprochenen Arbeitskreise trifft die Datenschutzkonferenz folgende Festlegung:

  1. Der Auftrag der DSK an die zuständigen Arbeitskreise wird hinsichtlich folgender Themenbereiche als erledigt angesehen bzw. aufgehoben:

    a. Videoüberwachung
    b. Bilder und Kunst- und Urhebergesetz
    c. Wohnungswirtschaft (WEG, Miete)
    d. Datenschutz im Verein
    e. Vertragsmuster nach Art. 28 Abs. 8 DSGVO
    f. Datenschutz für KMU

  2. Hinsichtlich der sonstigen in Ziffer 3 des Beschlusses zu TOP 24 der 97. DSK benannten Themen wird in der 2. Zwischenkonferenz über das weitere Vorgehen beraten.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

TOP 10    Lagerung von Patientenakten als Speicherung gem. Art. 4 Nr. 2 DSGVO

Die Konferenz nimmt den Bericht des AK Grundsatz zur Kenntnis und bedankt sich beim Arbeitskreis für die geleistete Arbeit.

TOP 11    Windows 10 – Bericht

Die Vorsitzende führt in das Thema ein. Nachdem die 100. DSK einen Beschluss zu Telemetriefunktionen und Datenschutz bei Einsatz von Windows 10 Enterprise gefasst hat, wurde auf der ersten Zwischenkonferenz vom 27. Januar 2021 vereinbart, dass der AK Technik über den Stand der Umsetzung des Beschlusses und den Fortgang der weiteren Besprechungen mit Microsoft im Rahmen der 101. DSK berichtet.

Das LDA Bayern berichtet, dass sich eine neue Arbeitsgruppe mit dem Ziel der Fortführung der Gespräche mit Microsoft noch nicht konstituiert habe und dies zeitnah nach der 101. DSK erfolge. Bezüglich der aufsichtsbehördlichen Tätigkeit sei zusammenfassend festzustellen, dass diese ihre Aktivität überwiegend zunächst auf den öffentlichen Bereich und hier insbesondere den der Landesverwaltungen richteten und anschließend den kommunalen und privaten Bereich adressieren werden.

Es wird festgehalten, dass das Thema spätestens nach Fortführung der Gespräche mit Microsoft in einer der folgenden Konferenzen erneut aufzurufen sein wird.

 

TOP 12    Aufsichtsbehördliche Produktwarnungen

Die Vorsitzende führt in die Thematik ein.

Die 3. Zwischenkonferenz im Jahr 2020 formulierte an den AK Grundsatz den Auftrag, die Rahmenbedingungen aufsichtsbehördlicher Produktwarnungen zu analysieren und hierüber auf der 100. DSK zu berichten. Die DSK diskutierte den daraufhin erarbeiteten Bericht und bat um erneute Berichterstattung auf der 101. DSK.

Nach einer allgemeinen Aussprache zu dem Thema trifft die Datenschutzkonferenz folgende Festlegung: 

Die DSK bittet eine bund- und länderoffene ad-hoc-Arbeitsgruppe unter der Leitung von LDA Bayern und Schleswig-Holstein auf der Grundlage der bisherigen Diskussion den Entwurf des AK Grundsatz zu den Rahmenbedingungen für aufsichtsbehördliche Produktwarnungen fortzuentwickeln.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

Die Vorsitzende hält fest, dass bei Interesse eine entsprechende Meldung an das LDA Bayern oder Schleswig-Holstein erfolgen kann.

 

TOP 13    Änderung der Orientierungshilfe E-Mail-Verschlüsselung

Die Vorsitzende führt in die Thematik ein. Der AK Technik hat aufgrund einer Stellungnahme der Bundesrechtsanwaltskammer die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per Mail“ vom 13. März 2020 überarbeitet und eine entsprechende Fassung vorgelegt.

Hierzu gibt es nunmehr eine neue Version mit Änderungsvorschlägen, die von Mecklenburg-Vorpommern gemeinsam mit NRW und Schleswig-Holstein erarbeitet wurde.

Die Änderungsvorschläge werden unter den Teilnehmenden erörtert. Dabei wird noch geringfügiger redaktioneller Änderungsbedarf geltend gemacht.

Die Datenschutzkonferenz erzielt Einvernehmen darüber, dass Mecklenburg-Vorpommern unter Einfügung der neuen Änderungsvorschläge die Orientierungshilfe redaktionell bearbeitet und diese Änderungen im Umlaufverfahren verabschiedet werden sollen.

Die Datenschutzkonferenz trifft weiterhin folgende Festlegung:

Die Frage, ob und ggf. unter welchen Bedingungen auf Wunsch von Betroffenen auf technische und organisatorische Maßnahmen nach Art. 32 DSGVO verzichtet werden kann, wird an den AK Grundsatz zur weiteren Befassung übermittelt.

[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 14    Positionspapier Technische Datenschutzanforderungen an Messenger-Dienste

Die Vorsitzende führt in das Thema ein. Zur Diskussion steht eine überarbeitete Fassung des Papiers, das als Whitepaper bereits auf der Homepage der DSK veröffentlicht ist. Nach einer Verbändeanhörung und einer inhaltlichen Überarbeitung durch den AK Technik wurden durch den Vorsitz des AK Gesundheit und Soziales lediglich noch redaktionelle Änderungen vorgenommen. Im Rahmen der finalen Abstimmung wurden durch Sachsen Bedenken hinsichtlich der Einleitung geäußert.

Auf Bitte von Sachsen erfolgt eine separate Abstimmung zu den beiden Teilen des Papiers.

Die Datenschutzkonferenz verabschiedet das Papier in der vorliegenden Fassung einstimmig.

[Teil 1/Einführungskapitel: 16, 0, 1]

[Teil 2/Technisch Organisatorische Maßnahmen: 17, 0, 0]
(Zustimmung, Ablehnung, Enthaltung)

 

TOP 15    Positionierung der DSK zum EDSA-Dokument „EDPB DPO-Network
- assessment of Twitter usage by SAs and the EDPB“

Die Vorsitzende erläutert, dass das Thema bereits auf der 1. Zwischenkonferenz 2021 behandelt wurde. Dort wurde vereinbart, dass der gemeinsame Vertreter des EDSA eine Befassung der Social Media Expert Subgroup und Zurückstellung bis zu deren Votum beantragt. Dem daraufhin gestellten Antrag wurde seitens des EDSA nicht entsprochen.

Die Teilnehmenden diskutieren den Inhalt des Papiers und tauschen sich hierzu aus.

 

TOP 16    Gemeinsames Dokument zu Anforderungen an Zertifizierungskriterien von Zertifizierungsstellen

Ein entsprechendes Papier wurde bereits in der letzten Zwischenkonferenz angekündigt und nach der Tagung des AK Zertifizierung vom 13. April 2021 nunmehr vorge legt.

Das Papier ist im Rahmen einer Einigung des AK Zertifizierung auf Grundlage der Vorarbeiten des UAK Prüfkriterien entstanden. Es soll den Aufsichtsbehörden als Grundlage zur einheitlichen Anwendung dienen und ggf. auf Grundlage der noch ausstehenden Erfahrungen in der Praxis fortentwickelt werden.

Die Datenschutzkonferenz fasst einstimmig folgenden Beschluss:

  1. Die DSK beschließt die vom AK Zertifizierung vorgelegten Anforderungen datenschutzrechtlicher Zertifizierungsprogramme Version 1.8. vom 16.04.21 als Basis zur einheitlichen Anwendung durch die Datenschutzaufsichtsbehörden. Über zusätzliche Anforderungen und Änderungsbedarf informieren sich die Aufsichtsbehörden gegenseitig fortlaufend.
  2. Der AK Zertifizierung wird beauftragt, die Anwendung der Anforderungen in der Praxis bis spätestens zur 103. DSK zu bewerten.
  3. Der AK Zertifizierung wird beauftragt, das in Ziffer 1 genannte Papier bei Bedarf fortzuschreiben und der DSK zur Beschlussfassung erneut vorzulegen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 17    Sanktionslistenscreening mit Beschäftigtendaten

Im Rahmen der erneuten Befassung des AK Beschäftigtendatenschutz mit der Thematik gelangte dieser mehrheitlich zur Auffassung, dass die bisherigen Rechtsgrundlagen ein Sanktionslistenscreening mit Beschäftigtendaten nicht rechtfertigen und der Gesetzgeber normenklare Regeln schaffen sollte, die es dem Arbeitgeber ermöglichen, ein solches Screening rechtssicher durchführen zu können. Vor diesem Hintergrund wird der DSK-Vorsitz darum gebeten, den Gesetzgeber aufzufordern, für klare rechtliche Verhältnisse zu sorgen.

Niedersachsen als Vorsitz des Arbeitskreises bietet an, das Anschreiben zu formulieren.

Die Datenschutzkonferenz trifft folgende Festlegung:

Der DSK-Vorsitz wird beauftragt, mit einem Schreiben an den Bundesgesetzgeber heranzutreten und diesen aufzufordern, in Wahrnehmung seiner Spezifizierungsbefugnis nach Art. 88 Absatz 1 DSGVO gesetzlich festzulegen, in wel chen Fällen ein Sanktionslistenscreening mit Beschäftigtendaten durch Arbeit geberinnen und Arbeitgeber zulässig sein soll.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

TOP 18 Zugang zu Confluence für den Medienbeauftragten für den Datenschutz bei der Bayerischen Landeszentrale für neue Medien und für andere spezifische Aufsichtsbehörden

Der Medienbeauftragte für den Datenschutz der Bayerischen Landeszentrale beantragte in einem konkreten Fall aufgrund seiner Betroffenheit Zugang zu Confluence, so dass sich diesbezüglich und generell die Frage stellt, ob und unter welchen Voraussetzungen ein solcher Zugang gegenüber spezifischen Aufsichtsbehörden gewährt werden kann.

Der BfDI hat gemeinsam mit der ZAST eine Prüfung der rechtlichen Lage vorgenommen und das Ergebnis der Prüfung der DSK vorgelegt.

Die Datenschutzkonferenz trifft folgende Festlegung:

Unter Bezugnahme auf die Anmeldung zu TOP 18 der 101. DSK wird festgelegt, dass die Frage, ob bzw. inwieweit den spezifischen Aufsichtsbehörden ein Confluence-Zugang einzurichten/zu ermöglichen ist, zur Klärung an den AK Grundsatz verwiesen wird. Hierbei ist insbesondere auch zu prüfen, ob sich aus dem Zugang zu Confluence eine präjudizierende Wirkung ergibt, wie z.B. für den Zugang zu IMI, die Beteiligung an der Bildung eines gemeinsamen Standpunk tes oder die Teilnahme an den DSK-Sitzungen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

TOP 19    Bestimmung des Vorsitzes der Expert Subgroups des EDSA

Auf Wunsch von Berlin wird der TOP vertagt auf die 2. Zwischenkonferenz im Juni.

TOP 20    Umsetzung von Schrems II

a) Task Force Schrems II

Hamburg berichtet über die Arbeiten der Task Force „Schrems II“. Dort seien verschiedene Fragebögen hinsichtlich der Umsetzung des Schrems II-Urteils erarbeitet worden, die nunmehr von den Aufsichtsbehörden eingesetzt und möglichst im Rahmen eines gemeinsamen Vorgehens innerhalb der DSK an Verant wortliche versendet werden können.

Die Aufsichtsbehörden unterstützen das von Hamburg vorgeschlagene Vorgehen und halten fest, dass diesbezüglich ein gemeinsamer Starttermin bestimmt und das Vorhaben durch eine gemeinsame Pressearbeit begleitet werden soll.

Berlin weist darauf hin, dass das beauftragte Gutachten zur Rechtssituation in den USA vorliegt und die diesbezüglichen Rückmeldungen derzeit innerhalb der Task Force ausgewertet werden.

Die Vorsitzende bedankt sich bei der Task Force für die bisher geleistete Arbeit.

 
b) Umsetzung von Schrems II – Videokonferenzsysteme

 Der Tagesordnungspunkt wird einvernehmlich auf die nächste Zwischenkonferenz vertagt.

 

TOP 21   Nachfolge im IT-Planungsrat

Die Vorsitzende erläutert, dass der bisherige Vertreter in den Ruhestand verabschiedet worden ist und insoweit eine Nachfolgeregelung benötigt wird.

Die DSK trifft einstimmig die Festlegung, dass der Sitz der Länder im IT-Planungsrat durch Niedersachsen wahrgenommen wird.

Die Vorsitzende würdigt die geleistete Arbeit des bisherigen Vertreters und bedankt sich zugleich bei dem neuen Vertreter für die Bereitschaft zur Übernahme dieser Aufgabe.

TOP 22   Sonstiges

 a) Öffentliche Konsultationen durch die DSK

 Die Vorsitzende führt in die Thematik ein.

Der BfDI spricht sich für eine verstärkte Nutzung des Instruments der öffentlichen Konsultation aus und verweist auf die positiven Erfahrungen hiermit auf europäischer Ebene. Er schlägt vor, dass die DSK bei der Verabschiedung von Papieren zukünftig zugleich über die Frage beschließen solle, ob eine öffentli che Konsultation durchzuführen sei.

Die Teilnehmenden erörtern den Vorschlag und erzielen Einvernehmen darüber, dass der AK DSK 2.0 gebeten wird, der DSK Vorschläge zu unterbreiten, wie mit grundlegenden Fragen der Durchführung öffentlicher Konsultationsver fahren umzugehen ist.

 
b) Dringlichkeitsverfahren nach 66 DSGVO

 Die Vorsitzende führt in den TOP ein und übergibt dann an Hamburg.

Hamburg berichtet über das gegen Facebook eingeleitete Dringlichkeitsverfahren nach Art. 66 DSGVO. Gegenstand sind die neuen Datenschutzbestimmungen von WhatsApp, denen die Nutzer bis spätestens 15. Mai 2021 zustimmen sollen, um den Messenger weiter verwenden zu können. Das Verfahren richtet sich gegen Facebook, weil die neuen Nutzungsbedingungen darauf abzielen, dass Facebook Daten von WhatsApp-Nutzern erheben und zu eigenen Zwecken verarbeiten kann. Von den Nutzern wird eine umfassende Einwilligung „auf Vorrat“ verlangt, um die Datenverarbeitung durch Facebook zu legitimieren. Facebook beruft sich darauf, die Datenübermittlung erfolge im Rahmen einer Auftragsverarbeitung, was Hamburg nicht nachvollziehen kann. Im Rahmen des Dringlichkeitsverfahrens kann die Datenübermittlung nur für einen Zeitraum von drei Monaten untersagt werden, eine Verlängerung durch den EDSA wäre aber möglich. Auch aus diesem Grund erhofft sich Hamburg Unterstützung durch die DSK, da eine gemeinsame Stellungnahme der deutschen Aufsichtsbehörden die Entscheidung des EDSA positiv beeinflussen könnte. Den Ausgang einer möglichen gerichtlichen Entscheidung sieht man völlig offen, da die Regelung über das Dringlichkeitsverfahren bisher wenig angewandt wurde.

Die Aufsichtsbehörden tauschen sich über das Verfahren aus. Eine gemeinsame Äußerung der DSK wird derzeit nicht für erforderlich gehalten.

 
c) Bericht des Vorsitzes zu Schreiben eco – Glücksspielstaatsvertrag

Die Vorsitzende berichtet über ein an die DSK gerichtetes Schreiben des eco Verbands der Internetwirtschaft e.V. hinsichtlich der Positionierung der DSK zum Glücksspielstaatsvertrag und diesbezüglich geplanter Maßnahmen. Die DSK erzielt Einvernehmen darüber, dass der Vorsitz eine Antwort verfassen wird.

 
d) DSK-Sitzungstermine 2022

Die im Rahmen der DSK des Jahres 2022 anstehenden Termine wurden mit E- Mail vom 27. April 2021, auf die insoweit Bezug genommen wird, durch den BfDI mitgeteilt.

  

TOP 23    Kontaktnachverfolgung

 a) Orientierungshilfe Kontaktnachverfolgung

Die Vorsitzende führt in den TOP ein. Die eingesetzte Task Force hat einen Entwurf für eine Orientierungshilfe erarbeitet und diese nach Ergänzungen durch den AK Technik der DSK am 23. April 2021 zur Verfügung gestellt.

Berlin sieht den dringenden Bedarf, als DSK gemeinsame Anforderungen an alle Systeme auf dem Markt zu richten. In einem beschleunigten Verfahren sei neben dem AK Technik auch der AK Wirtschaft eingebunden worden. Der Inhalt des Papiers wird vorgestellt. Hervorgehoben wurde unter anderem die notwendige Zweckbindung bei der Datenverarbeitung.

Die Konferenz stimmt über die Orientierungshilfe ab:

[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung) Das Papier wird somit angenommen.

Die Vorsitzende weist darauf hin, dass die Orientierungshilfe zur Veröffentlichung bestimmt ist, wogegen es keine Einwände gibt.

 b) Luca App – Entschließungsentwurf

 Die Vorsitzende führt in den TOP ein.

Berlin erläutert, dass die Task Force Luca auf Grund der Dynamik in der öffentlichen Diskussion kurzfristig einen Entwurf für eine Entschließung erarbeitet hat.

Die DSK verständigt sich darauf, das Papier nicht als Entschließung, sondern als eine Stellungnahme zu verabschieden.

In der Folge wird der vorliegende Entwurf besprochen.

Es werden Änderungsvorschläge diskutiert und abgestimmt.

Die Konferenz stimmt sodann über den Entwurf der Stellungnahme in der geänderten Fassung ab:

[15, 0, 2] (Zustimmung, Ablehnung, Enthaltung)
Das Papier wird somit angenommen.

Die Vorsitzende weist darauf hin, dass die Stellungnahme zur Veröffentlichung bestimmt ist, wogegen es keine Einwände gibt. Baden-Württemberg bittet um Kennzeichnung seiner Enthaltung.

 
c) Entschließungsentwurf zur Corona-Warn-App (CWA)

Die Vorsitzende verweist auf den durch den BfDI an alle Aufsichtsbehörden versandten Entwurf und stellt den Text zur Diskussion.

Der BfDI erläutert, dass die Länder aufgefordert werden sollen, sich für eine verstärkte Nutzung der CWA einzusetzen und dies ggf. auch in ihren jeweiligen Regelungen zur Kontaktnachverfolgung vorzusehen.

Bayern (LDA) und Sachsen weisen darauf hin, dass die CWA eine andere Zielsetzung verfolgt als beispielsweise Luca. Die unterschiedlichen Ansätze der Systeme müssten berücksichtigt werden. Die CWA könne ergänzend eingesetzt werden, erfüllt aber die derzeitigen Anforderungen für die vorgeschriebene Kontaktnachverfolgung nicht.

Der vorliegende Entwurf wird durch die Teilnehmerinnen und Teilnehmer überarbeitet. Dabei werden noch einmal die unterschiedlichen Ansätze der CWA und Apps zur Kontaktnachverfolgung herausgestellt.

Die Konferenz stimmt im vereinfachten Verfahren über die gemeinsam erarbeitete Fassung der Entschließung ab:

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

Die Entschließung wird einstimmig verabschiedet.

Die Vorsitzende weist darauf hin, dass die Entschließung zur Veröffentlichung bestimmt ist, wogegen es keine Einwände gibt.

Der Vorsitzende bedankt sich bei den Konferenzteilnehmerinnen und –teilnehmern und verabschiedet sich bis zur nächsten Sitzung.

Monika Grethel
Landesbeauftragte für Datenschutz und Informationsfreiheit

101. Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder am 28. und 29. April 2021

Protokoll –


TOP 01    Begrüßung und Organisatorisches

Die Vorsitzende begrüßt die Teilnehmenden zur 101. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird, und stellt den geplanten Ablauf der Videokonferenz dar.

Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer per Video an der Konferenz teilnehmen.

Die Vorsitzende weist darauf hin, dass zu Protokollzwecken eine Tonaufzeichnung der Konferenz erfolgt, welche nach Erstellen des Protokolls gelöscht wird. Es gibt keine Einwände gegen diese Vorgehensweise.

Der ZASt wird für die technische Organisation der Videokonferenz gedankt.

 

TOP 02    Tagesordnung und Protokoll

Die Vorsitzende stellt die Tagesordnung für die 101. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vor. Die finale Fassung wurde am 23. April 2021 versandt.

Unter TOP 23 sollen eine Orientierungshilfe zur Kontaktnachverfolgung und ein Entschließungsentwurf zur Luca-App diskutiert werden. Auf Grund der Wichtigkeit dieser Themen schlägt die Vorsitzende vor, die Punkte vorzuziehen und sie bereits am ers ten Sitzungstag zu behandeln.

Sachsen bittet darum, TOP 5 erst am zweiten Sitzungstag zu behandeln.

Der BfDI schlägt zu TOP 23 noch eine Entschließung vor, mit der die Landesgesetzgeber aufgefordert werden sollen, in ihren jeweiligen Regelungen zur Kontaktnachverfolgung auf die Nutzung der Corona-Warn-App (CWA) hinzuweisen. Ein Entwurf wird für den zweiten Sitzungstag vorbereitet. 

Die geänderte Tagesordnung wird wie folgt zur Abstimmung gestellt:

TOP 23 wird am ersten Sitzungstag nach der Mittagspause behandelt, TOP 5 zu Beginn des zweiten Sitzungstages. TOP 23 wird wie vorgeschlagen ergänzt.

Die Tagesordnung wird in dieser Form einstimmig angenommen.

Für die nachfolgenden Tagesordnungspunkte wurde auf der Vorkonferenz Einvernehmen hergestellt, so dass ihre Behandlung im verkürzten Verfahren erfolgen kann:

  • TOP 03 – Informationen zu Umlaufverfahren
  • TOP 07 – Aktuelle Bundesgesetzgebung – Übersicht (aktualisiert)
  • TOP 10 – Lagerung von Patientenakten als Speicherung gem. Art. 4 Nr. 2 DSGVO
  • TOP 13 – Änderung der Orientierungshilfe E-Mail-Verschlüsselung
    (hinsichtlich der Verweisung an den AK Grundsatz) 
  • TOP 16 – Gemeinsames Dokument zu Anforderungen an Zertifizierungskriterien von Zertifizierungsstellen
  • TOP 17 – Sanktionslistenscreening mit Beschäftigtendaten 
  • TOP 18 – Zugang zu Confluence für den Medienbeauftragten für den Datenschutz bei der Bayerischen Landeszentrale für neue Medien und für andere spezifische Aufsichtsbehörden

Die Konferenz nimmt die Ergebnisse der Vorkonferenz einstimmig ohne weitere Aussprache an.

Die Vorsitzende weist darauf hin, dass das Protokoll der 1. Zwischenkonferenz im Umlaufverfahren abgestimmt und die finalisierte Fassung veröffentlicht wurde.

 

TOP 03    Informationen zu Umlaufverfahren

Die Konferenz nimmt die am 15. April 2021versandte Übersicht über die durchgeführten Umlaufverfahren zur Kenntnis.

 

TOP 04   Bericht aus dem Europäischen Datenschutzausschuss

Die Vorsitzende führt in den TOP ein und übergibt dann an die Berichterstatter BfDI und Hamburg.

Der BfDI berichtet, dass der EDSA seit der 2. Zwischenkonferenz viermal getagt hat. In der Sitzung im Februar wurden unter anderem der Bericht des DPO-Netzwerks zu Twitter und Leitlinien für Sprachassistenten und vernetzte Fahrzeuge behandelt. Im März war der digitale europäische Impfausweis (Digital Green Pass) ein wichtiges Thema. Es gab zum Teil den Wunsch nach einer Datenminimierung dahingehend, dass der verabreichte Impfstoff und die jeweilige Charge nicht erfasst werden sollen. Die Mehrheit der EU-Länder hielt diese Angaben jedoch für erforderlich. Auf nationaler Ebene soll nun darauf hingewirkt werden, dass es im Zusammenhang mit dem Impfausweis nicht zu einer Diskriminierung kommt. Der BfDI steht diesbezüglich in Kontakt mit dem Bundesministerium für Gesundheit und hat eine gesetzliche Regelung angeregt, die festlegt, wann eine Vorlage des Nachweises gefordert werden darf. Der Gesetzgeber hat dies aber bisher nicht aufgegriffen.

In der Sitzung im April wurde eine Stellungnahme zum Angemessenheitsbeschluss für Großbritannien verabschiedet und eine Guideline zu Sozialen Medien angenommen. An den Leitlinien zu Art. 60 bis 65 DSGVO wird weiter gearbeitet.

Hamburg weist ergänzend auf das aktuelle Verfahren gegen WhatsApp hin, in dessen Rahmen die Transparenz des Messengers untersucht wird. Teilweise wurde im EDSA die Auffassung vertreten, das Auslesen des Adressbuches sei unproblematisch, da es sich dabei nicht um eine Verarbeitung personenbezogener Daten handele. Obwohl sich diese Haltung nicht durchgesetzt hat, wurde beschlossen, dass die Prüfung die- ses Themas nicht mehr Gegenstand des Verfahrens sein soll. Hamburg bedauert dies, da gerade das Auslesen der Kontakte ein wichtiger Punkt bei WhatsApp sei.

Der Vorgang hängt zusammen mit dem von Hamburg gegen Facebook eingeleiteten Verfahren nach Art. 66 DSGVO wegen der beabsichtigten Datenschutzanpassungen bei WhatsApp. Hamburg erhofft sich hierzu eine gemeinsame Äußerung der DSK (vgl. TOP 22 b).

 

TOP 05   Austausch der Landesbeauftragten für Datenschutz zum Thema „Stellvertretung des Gemeinsamen Vertreters im Europäischen Datenschutzausschuss“

Die Vorsitzende berichtet, dass sich der DSK-Vorsitz in der Sache wie vereinbart mit Schreiben vom 1. April 2021 an den Bundesrat gewandt und auf den Handlungsbedarf hinsichtlich einer zeitnahen Wahl einer Stellvertretung für den gemeinsamen Vertreter im Europäischen Datenschutzausschuss hingewiesen hat. Nun soll das weitere Verfahren besprochen werden.

Sachsen ergänzt, dass das Schreiben den Bundesrat erreicht hat und sich die Bundes- ratsverwaltung nun mit dem Thema befasst. Bis Ende Mai soll eine erste Stellungnahme erarbeitet werden.

Die Vorsitzende schlägt vor, auf den für Mai geplanten erneuten Austausch zum Thema zu verzichten, da vor Ende Mai nicht mit neuen Erkenntnissen in der Angelegenheit zu rechnen ist. Stattdessen soll das weitere Vorgehen auf der 2. Zwischenkonferenz im Juni besprochen werden.

Es gibt keine Einwände gegen diese Vorgehensweise.

TOP 06    Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden

Der Bericht der ZASt sowie die Übersicht der im IMI-System eingeleiteten Verfahren unter Beteiligung der deutschen Aufsichtsbehörden mit Stand 15. April 2021 wurden den Teilnehmenden mit E-Mail vom 16. April 2021 zugesandt. Der Vertreter der ZASt erläutert auf der Konferenz die Inhalte des Berichts.

 

TOP 07    Aktuelle Bundesgesetzgebung – Übersicht (aktualisiert)

Der BfDI wird weiterhin zweimal im Jahr eine Übersicht in modifizierter Form zur Verfügung stellen. Um den Aufwand zu reduzieren, werden datenschutzpolitisch bedeutsame Gesetzgebungsverfahren weiterhin ausführlich vorgestellt, Vorhaben ohne datenschutzrechtliche Brisanz jedoch nur noch erwähnt.

Die Konferenz dankt dem BfDI für die Bereitschaft, den Aufsichtsbehörden der Länder weiterhin eine Übersicht zur Verfügung zu stellen.

TOP 08    Informationsmaterialien der deutschen Aufsichtsbehörden (Publikationen)

Die Vorsitzende erläutert, dass halbjährlich eine Aktualisierung aller zur Veröffentlichung auf der DSK Homepage vorgesehenen Publikationen der Aufsichtsbehörden erfolgt. Eine aktuelle Übersicht der Publikationen der Aufsichtsbehörden wurde den Teilnehmenden mit E-Mail vom 28. April 2021 zur Verfügung gestellt.

Die Vorsitzende bedankt sich beim LDA Bayern für die eingepflegten Änderungen.

Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz. [17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 09   Vereinheitlichung von Publikationsformaten

Die Vorsitzende führt in das Thema ein und stellt dar, dass der Tagesordnungspunkt weniger das Erscheinungsbild, sondern inhaltliche Überarbeitungen von Publikationen erfasse und schlägt vor, dem künftig durch die Änderung der Bezeichnung dieses TOPs in „Gemeinsame Publikationsformate der DSK“ Rechnung zu tragen.

Im Rahmen der 97. DSK wurde unter Ziffer 3 des Beschlusses zu TOP 24 eine Liste mit Themen festgelegt, zu denen neue Publikationen erstellt werden sollen. Auf der 100. DSK wurde unter TOP 20 diesbezüglich weiterhin die Festlegung getroffen, dass hinsichtlich der Themenliste eine Abfrage bei den Arbeitskreisen erfolgt.

Mittlerweile liegen Rückmeldungen aus den Arbeitskreisen vor. Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:

Basierend auf den Rückmeldungen aus den gemäß der Festlegung zu TOP 20 der 100. DSK angesprochenen Arbeitskreise trifft die Datenschutzkonferenz folgende Festlegung:

  1. Der Auftrag der DSK an die zuständigen Arbeitskreise wird hinsichtlich folgender Themenbereiche als erledigt angesehen bzw. aufgehoben:

    a. Videoüberwachung
    b. Bilder und Kunst- und Urhebergesetz
    c. Wohnungswirtschaft (WEG, Miete)
    d. Datenschutz im Verein
    e. Vertragsmuster nach Art. 28 Abs. 8 DSGVO
    f. Datenschutz für KMU

  2. Hinsichtlich der sonstigen in Ziffer 3 des Beschlusses zu TOP 24 der 97. DSK benannten Themen wird in der 2. Zwischenkonferenz über das weitere Vorgehen beraten.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

TOP 10    Lagerung von Patientenakten als Speicherung gem. Art. 4 Nr. 2 DSGVO

Die Konferenz nimmt den Bericht des AK Grundsatz zur Kenntnis und bedankt sich beim Arbeitskreis für die geleistete Arbeit.

TOP 11    Windows 10 – Bericht

Die Vorsitzende führt in das Thema ein. Nachdem die 100. DSK einen Beschluss zu Telemetriefunktionen und Datenschutz bei Einsatz von Windows 10 Enterprise gefasst hat, wurde auf der ersten Zwischenkonferenz vom 27. Januar 2021 vereinbart, dass der AK Technik über den Stand der Umsetzung des Beschlusses und den Fortgang der weiteren Besprechungen mit Microsoft im Rahmen der 101. DSK berichtet.

Das LDA Bayern berichtet, dass sich eine neue Arbeitsgruppe mit dem Ziel der Fortführung der Gespräche mit Microsoft noch nicht konstituiert habe und dies zeitnah nach der 101. DSK erfolge. Bezüglich der aufsichtsbehördlichen Tätigkeit sei zusammenfassend festzustellen, dass diese ihre Aktivität überwiegend zunächst auf den öffentlichen Bereich und hier insbesondere den der Landesverwaltungen richteten und anschließend den kommunalen und privaten Bereich adressieren werden.

Es wird festgehalten, dass das Thema spätestens nach Fortführung der Gespräche mit Microsoft in einer der folgenden Konferenzen erneut aufzurufen sein wird.

 

TOP 12    Aufsichtsbehördliche Produktwarnungen

Die Vorsitzende führt in die Thematik ein.

Die 3. Zwischenkonferenz im Jahr 2020 formulierte an den AK Grundsatz den Auftrag, die Rahmenbedingungen aufsichtsbehördlicher Produktwarnungen zu analysieren und hierüber auf der 100. DSK zu berichten. Die DSK diskutierte den daraufhin erarbeiteten Bericht und bat um erneute Berichterstattung auf der 101. DSK.

Nach einer allgemeinen Aussprache zu dem Thema trifft die Datenschutzkonferenz folgende Festlegung: 

Die DSK bittet eine bund- und länderoffene ad-hoc-Arbeitsgruppe unter der Leitung von LDA Bayern und Schleswig-Holstein auf der Grundlage der bisherigen Diskussion den Entwurf des AK Grundsatz zu den Rahmenbedingungen für aufsichtsbehördliche Produktwarnungen fortzuentwickeln.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

Die Vorsitzende hält fest, dass bei Interesse eine entsprechende Meldung an das LDA Bayern oder Schleswig-Holstein erfolgen kann.

 

TOP 13    Änderung der Orientierungshilfe E-Mail-Verschlüsselung

Die Vorsitzende führt in die Thematik ein. Der AK Technik hat aufgrund einer Stellungnahme der Bundesrechtsanwaltskammer die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per Mail“ vom 13. März 2020 überarbeitet und eine entsprechende Fassung vorgelegt.

Hierzu gibt es nunmehr eine neue Version mit Änderungsvorschlägen, die von Mecklenburg-Vorpommern gemeinsam mit NRW und Schleswig-Holstein erarbeitet wurde.

Die Änderungsvorschläge werden unter den Teilnehmenden erörtert. Dabei wird noch geringfügiger redaktioneller Änderungsbedarf geltend gemacht.

Die Datenschutzkonferenz erzielt Einvernehmen darüber, dass Mecklenburg-Vorpommern unter Einfügung der neuen Änderungsvorschläge die Orientierungshilfe redaktionell bearbeitet und diese Änderungen im Umlaufverfahren verabschiedet werden sollen.

Die Datenschutzkonferenz trifft weiterhin folgende Festlegung:

Die Frage, ob und ggf. unter welchen Bedingungen auf Wunsch von Betroffenen auf technische und organisatorische Maßnahmen nach Art. 32 DSGVO verzichtet werden kann, wird an den AK Grundsatz zur weiteren Befassung übermittelt.

[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 14    Positionspapier Technische Datenschutzanforderungen an Messenger-Dienste

Die Vorsitzende führt in das Thema ein. Zur Diskussion steht eine überarbeitete Fassung des Papiers, das als Whitepaper bereits auf der Homepage der DSK veröffentlicht ist. Nach einer Verbändeanhörung und einer inhaltlichen Überarbeitung durch den AK Technik wurden durch den Vorsitz des AK Gesundheit und Soziales lediglich noch redaktionelle Änderungen vorgenommen. Im Rahmen der finalen Abstimmung wurden durch Sachsen Bedenken hinsichtlich der Einleitung geäußert.

Auf Bitte von Sachsen erfolgt eine separate Abstimmung zu den beiden Teilen des Papiers.

Die Datenschutzkonferenz verabschiedet das Papier in der vorliegenden Fassung einstimmig.

[Teil 1/Einführungskapitel: 16, 0, 1]

[Teil 2/Technisch Organisatorische Maßnahmen: 17, 0, 0]
(Zustimmung, Ablehnung, Enthaltung)

 

TOP 15    Positionierung der DSK zum EDSA-Dokument „EDPB DPO-Network
- assessment of Twitter usage by SAs and the EDPB“

Die Vorsitzende erläutert, dass das Thema bereits auf der 1. Zwischenkonferenz 2021 behandelt wurde. Dort wurde vereinbart, dass der gemeinsame Vertreter des EDSA eine Befassung der Social Media Expert Subgroup und Zurückstellung bis zu deren Votum beantragt. Dem daraufhin gestellten Antrag wurde seitens des EDSA nicht entsprochen.

Die Teilnehmenden diskutieren den Inhalt des Papiers und tauschen sich hierzu aus.

 

TOP 16    Gemeinsames Dokument zu Anforderungen an Zertifizierungskriterien von Zertifizierungsstellen

Ein entsprechendes Papier wurde bereits in der letzten Zwischenkonferenz angekündigt und nach der Tagung des AK Zertifizierung vom 13. April 2021 nunmehr vorge legt.

Das Papier ist im Rahmen einer Einigung des AK Zertifizierung auf Grundlage der Vorarbeiten des UAK Prüfkriterien entstanden. Es soll den Aufsichtsbehörden als Grundlage zur einheitlichen Anwendung dienen und ggf. auf Grundlage der noch ausstehenden Erfahrungen in der Praxis fortentwickelt werden.

Die Datenschutzkonferenz fasst einstimmig folgenden Beschluss:

  1. Die DSK beschließt die vom AK Zertifizierung vorgelegten Anforderungen datenschutzrechtlicher Zertifizierungsprogramme Version 1.8. vom 16.04.21 als Basis zur einheitlichen Anwendung durch die Datenschutzaufsichtsbehörden. Über zusätzliche Anforderungen und Änderungsbedarf informieren sich die Aufsichtsbehörden gegenseitig fortlaufend.
  2. Der AK Zertifizierung wird beauftragt, die Anwendung der Anforderungen in der Praxis bis spätestens zur 103. DSK zu bewerten.
  3. Der AK Zertifizierung wird beauftragt, das in Ziffer 1 genannte Papier bei Bedarf fortzuschreiben und der DSK zur Beschlussfassung erneut vorzulegen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 17    Sanktionslistenscreening mit Beschäftigtendaten

Im Rahmen der erneuten Befassung des AK Beschäftigtendatenschutz mit der Thematik gelangte dieser mehrheitlich zur Auffassung, dass die bisherigen Rechtsgrundlagen ein Sanktionslistenscreening mit Beschäftigtendaten nicht rechtfertigen und der Gesetzgeber normenklare Regeln schaffen sollte, die es dem Arbeitgeber ermöglichen, ein solches Screening rechtssicher durchführen zu können. Vor diesem Hintergrund wird der DSK-Vorsitz darum gebeten, den Gesetzgeber aufzufordern, für klare rechtliche Verhältnisse zu sorgen.

Niedersachsen als Vorsitz des Arbeitskreises bietet an, das Anschreiben zu formulieren.

Die Datenschutzkonferenz trifft folgende Festlegung:

Der DSK-Vorsitz wird beauftragt, mit einem Schreiben an den Bundesgesetzgeber heranzutreten und diesen aufzufordern, in Wahrnehmung seiner Spezifizierungsbefugnis nach Art. 88 Absatz 1 DSGVO gesetzlich festzulegen, in wel chen Fällen ein Sanktionslistenscreening mit Beschäftigtendaten durch Arbeit geberinnen und Arbeitgeber zulässig sein soll.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

TOP 18 Zugang zu Confluence für den Medienbeauftragten für den Datenschutz bei der Bayerischen Landeszentrale für neue Medien und für andere spezifische Aufsichtsbehörden

Der Medienbeauftragte für den Datenschutz der Bayerischen Landeszentrale beantragte in einem konkreten Fall aufgrund seiner Betroffenheit Zugang zu Confluence, so dass sich diesbezüglich und generell die Frage stellt, ob und unter welchen Voraussetzungen ein solcher Zugang gegenüber spezifischen Aufsichtsbehörden gewährt werden kann.

Der BfDI hat gemeinsam mit der ZAST eine Prüfung der rechtlichen Lage vorgenommen und das Ergebnis der Prüfung der DSK vorgelegt.

Die Datenschutzkonferenz trifft folgende Festlegung:

Unter Bezugnahme auf die Anmeldung zu TOP 18 der 101. DSK wird festgelegt, dass die Frage, ob bzw. inwieweit den spezifischen Aufsichtsbehörden ein Confluence-Zugang einzurichten/zu ermöglichen ist, zur Klärung an den AK Grundsatz verwiesen wird. Hierbei ist insbesondere auch zu prüfen, ob sich aus dem Zugang zu Confluence eine präjudizierende Wirkung ergibt, wie z.B. für den Zugang zu IMI, die Beteiligung an der Bildung eines gemeinsamen Standpunk tes oder die Teilnahme an den DSK-Sitzungen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

TOP 19    Bestimmung des Vorsitzes der Expert Subgroups des EDSA

Auf Wunsch von Berlin wird der TOP vertagt auf die 2. Zwischenkonferenz im Juni.

TOP 20    Umsetzung von Schrems II

a) Task Force Schrems II

Hamburg berichtet über die Arbeiten der Task Force „Schrems II“. Dort seien verschiedene Fragebögen hinsichtlich der Umsetzung des Schrems II-Urteils erarbeitet worden, die nunmehr von den Aufsichtsbehörden eingesetzt und möglichst im Rahmen eines gemeinsamen Vorgehens innerhalb der DSK an Verant wortliche versendet werden können.

Die Aufsichtsbehörden unterstützen das von Hamburg vorgeschlagene Vorgehen und halten fest, dass diesbezüglich ein gemeinsamer Starttermin bestimmt und das Vorhaben durch eine gemeinsame Pressearbeit begleitet werden soll.

Berlin weist darauf hin, dass das beauftragte Gutachten zur Rechtssituation in den USA vorliegt und die diesbezüglichen Rückmeldungen derzeit innerhalb der Task Force ausgewertet werden.

Die Vorsitzende bedankt sich bei der Task Force für die bisher geleistete Arbeit.

 
b) Umsetzung von Schrems II – Videokonferenzsysteme

 Der Tagesordnungspunkt wird einvernehmlich auf die nächste Zwischenkonferenz vertagt.

 

TOP 21   Nachfolge im IT-Planungsrat

Die Vorsitzende erläutert, dass der bisherige Vertreter in den Ruhestand verabschiedet worden ist und insoweit eine Nachfolgeregelung benötigt wird.

Die DSK trifft einstimmig die Festlegung, dass der Sitz der Länder im IT-Planungsrat durch Niedersachsen wahrgenommen wird.

Die Vorsitzende würdigt die geleistete Arbeit des bisherigen Vertreters und bedankt sich zugleich bei dem neuen Vertreter für die Bereitschaft zur Übernahme dieser Aufgabe.

TOP 22   Sonstiges

 a) Öffentliche Konsultationen durch die DSK

 Die Vorsitzende führt in die Thematik ein.

Der BfDI spricht sich für eine verstärkte Nutzung des Instruments der öffentlichen Konsultation aus und verweist auf die positiven Erfahrungen hiermit auf europäischer Ebene. Er schlägt vor, dass die DSK bei der Verabschiedung von Papieren zukünftig zugleich über die Frage beschließen solle, ob eine öffentli che Konsultation durchzuführen sei.

Die Teilnehmenden erörtern den Vorschlag und erzielen Einvernehmen darüber, dass der AK DSK 2.0 gebeten wird, der DSK Vorschläge zu unterbreiten, wie mit grundlegenden Fragen der Durchführung öffentlicher Konsultationsver fahren umzugehen ist.

 
b) Dringlichkeitsverfahren nach 66 DSGVO

 Die Vorsitzende führt in den TOP ein und übergibt dann an Hamburg.

Hamburg berichtet über das gegen Facebook eingeleitete Dringlichkeitsverfahren nach Art. 66 DSGVO. Gegenstand sind die neuen Datenschutzbestimmungen von WhatsApp, denen die Nutzer bis spätestens 15. Mai 2021 zustimmen sollen, um den Messenger weiter verwenden zu können. Das Verfahren richtet sich gegen Facebook, weil die neuen Nutzungsbedingungen darauf abzielen, dass Facebook Daten von WhatsApp-Nutzern erheben und zu eigenen Zwecken verarbeiten kann. Von den Nutzern wird eine umfassende Einwilligung „auf Vorrat“ verlangt, um die Datenverarbeitung durch Facebook zu legitimieren. Facebook beruft sich darauf, die Datenübermittlung erfolge im Rahmen einer Auftragsverarbeitung, was Hamburg nicht nachvollziehen kann. Im Rahmen des Dringlichkeitsverfahrens kann die Datenübermittlung nur für einen Zeitraum von drei Monaten untersagt werden, eine Verlängerung durch den EDSA wäre aber möglich. Auch aus diesem Grund erhofft sich Hamburg Unterstützung durch die DSK, da eine gemeinsame Stellungnahme der deutschen Aufsichtsbehörden die Entscheidung des EDSA positiv beeinflussen könnte. Den Ausgang einer möglichen gerichtlichen Entscheidung sieht man völlig offen, da die Regelung über das Dringlichkeitsverfahren bisher wenig angewandt wurde.

Die Aufsichtsbehörden tauschen sich über das Verfahren aus. Eine gemeinsame Äußerung der DSK wird derzeit nicht für erforderlich gehalten.

 
c) Bericht des Vorsitzes zu Schreiben eco – Glücksspielstaatsvertrag

Die Vorsitzende berichtet über ein an die DSK gerichtetes Schreiben des eco Verbands der Internetwirtschaft e.V. hinsichtlich der Positionierung der DSK zum Glücksspielstaatsvertrag und diesbezüglich geplanter Maßnahmen. Die DSK erzielt Einvernehmen darüber, dass der Vorsitz eine Antwort verfassen wird.

 
d) DSK-Sitzungstermine 2022

Die im Rahmen der DSK des Jahres 2022 anstehenden Termine wurden mit E- Mail vom 27. April 2021, auf die insoweit Bezug genommen wird, durch den BfDI mitgeteilt.

  

TOP 23    Kontaktnachverfolgung

 a) Orientierungshilfe Kontaktnachverfolgung

Die Vorsitzende führt in den TOP ein. Die eingesetzte Task Force hat einen Entwurf für eine Orientierungshilfe erarbeitet und diese nach Ergänzungen durch den AK Technik der DSK am 23. April 2021 zur Verfügung gestellt.

Berlin sieht den dringenden Bedarf, als DSK gemeinsame Anforderungen an alle Systeme auf dem Markt zu richten. In einem beschleunigten Verfahren sei neben dem AK Technik auch der AK Wirtschaft eingebunden worden. Der Inhalt des Papiers wird vorgestellt. Hervorgehoben wurde unter anderem die notwendige Zweckbindung bei der Datenverarbeitung.

Die Konferenz stimmt über die Orientierungshilfe ab:

[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung) Das Papier wird somit angenommen.

Die Vorsitzende weist darauf hin, dass die Orientierungshilfe zur Veröffentlichung bestimmt ist, wogegen es keine Einwände gibt.

 b) Luca App – Entschließungsentwurf

 Die Vorsitzende führt in den TOP ein.

Berlin erläutert, dass die Task Force Luca auf Grund der Dynamik in der öffentlichen Diskussion kurzfristig einen Entwurf für eine Entschließung erarbeitet hat.

Die DSK verständigt sich darauf, das Papier nicht als Entschließung, sondern als eine Stellungnahme zu verabschieden.

In der Folge wird der vorliegende Entwurf besprochen.

Es werden Änderungsvorschläge diskutiert und abgestimmt.

Die Konferenz stimmt sodann über den Entwurf der Stellungnahme in der geänderten Fassung ab:

[15, 0, 2] (Zustimmung, Ablehnung, Enthaltung)
Das Papier wird somit angenommen.

Die Vorsitzende weist darauf hin, dass die Stellungnahme zur Veröffentlichung bestimmt ist, wogegen es keine Einwände gibt. Baden-Württemberg bittet um Kennzeichnung seiner Enthaltung.

 
c) Entschließungsentwurf zur Corona-Warn-App (CWA)

Die Vorsitzende verweist auf den durch den BfDI an alle Aufsichtsbehörden versandten Entwurf und stellt den Text zur Diskussion.

Der BfDI erläutert, dass die Länder aufgefordert werden sollen, sich für eine verstärkte Nutzung der CWA einzusetzen und dies ggf. auch in ihren jeweiligen Regelungen zur Kontaktnachverfolgung vorzusehen.

Bayern (LDA) und Sachsen weisen darauf hin, dass die CWA eine andere Zielsetzung verfolgt als beispielsweise Luca. Die unterschiedlichen Ansätze der Systeme müssten berücksichtigt werden. Die CWA könne ergänzend eingesetzt werden, erfüllt aber die derzeitigen Anforderungen für die vorgeschriebene Kontaktnachverfolgung nicht.

Der vorliegende Entwurf wird durch die Teilnehmerinnen und Teilnehmer überarbeitet. Dabei werden noch einmal die unterschiedlichen Ansätze der CWA und Apps zur Kontaktnachverfolgung herausgestellt.

Die Konferenz stimmt im vereinfachten Verfahren über die gemeinsam erarbeitete Fassung der Entschließung ab:

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

Die Entschließung wird einstimmig verabschiedet.

Die Vorsitzende weist darauf hin, dass die Entschließung zur Veröffentlichung bestimmt ist, wogegen es keine Einwände gibt.

Der Vorsitzende bedankt sich bei den Konferenzteilnehmerinnen und –teilnehmern und verabschiedet sich bis zur nächsten Sitzung.

Monika Grethel
Landesbeauftragte für Datenschutz und Informationsfreiheit

Seite drucken