104. Konferenz der unabhängigen
Datenschutzaufsichtsbehörden des Bundes und der Länder
vom 22. bis 24. November 2022
-Protokoll-
TOP 01 – Begrüßung und Organisatorisches
Der Vorsitzende begrüßt die Teilnehmenden zur 104. Sitzung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).
Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer an der Konferenz teilnehmen.
Zudem beschließt die DSK, dass Frau Jelinek, Vorsitzende des Europäischen Datenschutzausschusses (EDSA), an den Tagesordnungspunkten:
TOP 04, TOP 05, TOP 06, TOP 12, TOP 13, TOP 14, TOP 17, TOP 19, TOP 20, TOP 23 sowie an TOP 24
der Sitzung teilnimmt.
Der Vorsitzende weist darauf hin, dass zu Protokollzwecken eine Tonaufzeichnung der Konferenz erfolgt, welche nach Erstellen des Protokolls gelöscht wird. Es gibt keine Einwände gegen diese Vorgehensweise.
TOP 02 – Tagesordnung und Protokoll
Der Vorsitzende stellt die Tagesordnung für die 104. DSK vor.
Die Teilnehmenden beschließen, TOP 06 und TOP 26 vorzuziehen und nach TOP 3 zu behandeln.
Die Tagesordnung wird in dieser Form einstimmig angenommen.
Für die nachfolgenden Tagesordnungspunkte wurde auf der Vorkonferenz Einvernehmen hergestellt, sodass ihre Behandlung im verkürzten Verfahren erfolgen kann:
- TOP 3 – Information zu Umlaufverfahren
- TOP 7 – Information zur Veröffentlichung der Excecutive Order “Enhancing Safeguards for United Sattes Signals Intelligence Activities“
- TOP 08 – Auswirkungen der neuen Verbrauchervorschriften über digitale Produkte im BGB auf das Datenschutzrecht
- TOP 09 – Muster einer Einwilligungs- und Schweigepflichtsentbindungserklärung des GDV
- TOP 10 – Konsultation der Orientierungshilfe für Anbieterinnen und Anbieter von Telemedien
- TOP 11 – Taskforce Souveräne Cloud
- TOP 15 – Verbesserung der Kooperation mit den spezifischen Aufsichtsbehörden
- TOP 16 – Bericht aus dem Arbeitskreis Organisation und Struktur
Die DSK nimmt die Ergebnisse der Vorkonferenz einstimmig ohne weitere Aussprache an.
Der Vorsitzende weist darauf hin, dass das Protokoll der 3. Zwischenkonferenz im Umlaufverfahren abgestimmt und die finalisierte Fassung veröffentlicht wurde.
TOP 3 – Informationen zu Umlaufverfahren
Die DSK nimmt die am 17. November 2022 versendete Übersicht über die im Jahr 2022 durchgeführten Umlaufverfahren zur Kenntnis.
TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss
Die Vorsitzende des EDSA berichtet von der 70. Plenartagung am 21. September 2022. In dieser verabschiedete der EDSA die sogenannte „Wishlist“, ein Statement zum digitalen Euro, eine Stellungnahme zur Prüfung der Europrivacy certification criteria sowie jeweils ein Update der Leitlinien zur Bestimmung der Ermittlung der federführenden Aufsichtsbehörde eines Verantwortlichen bzw. Auftragsverarbeiters und der Leitlinien zur Meldung von Datenschutzverletzungen. Auf seiner 71. Plenartagung am 14. November 2022 verabschiedete der EDSA Empfehlungen zur Prüfung von Binding Corporate Rules, ein Update zur Taskforce Cookie Banner und verabschiedete die Leitlinien zur Blockchain.
BfDI ergänzt, dass die Leitlinie zur Meldung von Datenschutzverletzungen nach der DSGVO für die Konstellation angepasst wurde, in der der Verantwortliche über keine eigene Niederlassung in einem Mitgliedsstaat verfügt. Die Existenz eines Vertreters in einem Mitgliedstaat reicht nicht aus, um in den Genuss des One-Stop-Shop-Mechanismus zu kommen. Zudem hat der EDSA die Frage nach der Einordnung von Minern als Akteure in der öffentlichen Blockchain an die TECH ESG zurückgegeben.
Bayern (LfD) Weist darauf hin, dass der EDSA im Plenum selten erhebliche inhaltliche Änderungen vornimmt, die nicht in den sog. Infonotes enthalten sind. Merkt eine deutsche Vertretung, dass sie in ihrer Subgroup eine Mindermeinung vertritt, sollte die daher unbedingt darauf hinwirken, dass ihre Position in die Infonote aufgenommen wird. Bei strategischen Fällen sollte sie dann auch frühzeitig den Ländervertreter im EDSA informieren, damit er Vorfeldgespräche führen und so die Mitglieder der DSK als Subgroup- Vertretungen unterstützen kann. Wurde die deutsche Position nicht zur Abstimmung in die Infonote aufgenommen, ist der Ländervertreter darüber zu informieren, ob die Position bereits auf europäischer Ebene (Subgroup, Taskforce etc.) verhandelt wurde.
Auf Nachfrage von Bayern (LDA), ob die Harmonisierung der Meldungen nach Artikel 33 DSGVO geändert werden sollte, z.B. durch ein europäisches einheitliches Formular, teilte die Vorsitzende des EDSA mit, dass die Cooperation-Subgroup ein solches Formular erarbeitet.
Zudem erläutert die Vorsitzende des EDSA, dass bei Gesetzgebungsverfahren auf europäischer Ebene der EDSA befragt werden kann und der europäische Datenschutzbeauftragte zwingend beteiligt werden muss. Deutschland habe jedoch durch die Vertretung in den Subgroups die Möglichkeit, in laufende Gesetzgebungsverfahren einzuwirken.
Die DSK einigt sich darauf, dass die beiden europäischen Vertreter (BfDI und Bayern LfD) einen Erfahrungsaustausch organisieren, um das Vorgehen auf europäischer Ebene abzustimmen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 5 – Bericht der Zentralen Anlaufstelle über die Zusammenarbeit
Der Bericht der ZASt sowie die Übersicht der im IMI-System eingeleiteten Verfahren unter Beteiligung der deutschen Aufsichtsbehörden wurden den Teilnehmenden mit E-Mail vom 11. November 2022 zugesandt. Der Leiter der ZASt erläutert auf der Konferenz die Inhalte des Berichts. Auf direkte Nachfrage des Leiters der ZASt informiert die EDSA-Vorsitzende, dass dem EDSA-Sekretariat in den Haushaltsverhandlungen zwei neue Vollzeitäquivalente zugebilligt wurden.
Der Vorsitzende bedankt sich bei der ZASt für den Bericht. Die DSK nimmt den Berichtspunkt zur Kenntnis.
Die DSK trifft folgende Festlegung:
Der AK Organisation & Struktur wird beauftragt, das ZASt-Konzept zu evaluieren und einen Evaluationsbericht bis zur 105. DSK im Frühjahr 2023 (9. bis 11. Mai 2023) zu erstellen. Auf Grundlage des Evaluationsberichtes sind ggf. erforderliche Änderungsvorschläge des ZASt- Konzeptes zu erarbeiten und gemeinsam mit dem Evaluationsbericht der DSK vorzulegen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 6 – Entschließung „Petersberger Erklärung"
Bayern (LfD) führt in das Thema ein und erläutert die eingegangenen Änderungsvorschläge. Es folgt eine ausführliche inhaltliche Diskussion der vorgeschlagenen Änderungen.
Die DSK verabschiedet die Entschließung einstimmig.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 7 – Information zur Veröffentlichung der Excecutive Order “Enhancing Safeguards for United Sattes Signals Intelligence Activities“
BfDI berichtet über den Sachstand. Am 7. Oktober 2022 hat das Weiße Haus die Excecutive Order “Enhancing Safeguards for United States Signals Intelligence Activities” veröffentlicht. Die Europäische Kommission erarbeitet derzeit einen Angemessenheitsbeschluss. Der EDSA ist vor der Annahme eines Angemessenheitsbeschlusses verpflichtet, diesen zu konsolidieren. Eine Beteiligung des EDSA ist voraussichtlich Ende November vorgesehen. Zu den Arbeiten an der EDSA-Stellungnahme werden die Mitglieder der DSK über die Verteiler der Borders, Travel and Law Enforcement (BTLE) Subgroup und der International Transfer Expert Subgroup (ITS) informiert und beteiligt werden. Der BfDI ist in beiden Subgroups vertreten und wird sich in diesen einbringen.
Hessen teilt mit, dass eine Teilnahme im Drafting-Team der ITS vorgesehen ist.
Auf Nachfrage von Hamburg wird mitgeteilt, dass im Anschluss ein gemeinsamer Standpunkt gemäß §18 BDSG hergestellt werden wird.
Die DSK nimmt den Bericht zur Veröffentlichung der Executive Order „Enhancing Safeguards of United States Signals Intelligence Activities“ zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 8 - Auswirkungen der neuen Verbrauchervorschriften über digitale Produkte im BGB auf das Datenschutzrecht
Hamburg führt in das Thema ein und stellt den Beschluss vor.
Nach redaktioneller Überarbeitung des Beschlusstextes wird der überarbeitete Beschluss einvernehmlich verabschiedet; er ist zur Veröffentlichung auf der DSK-Website vorgesehen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 09 – Muster einer Einwilligungs- und Schweigepflichtentbindungserklärung des GDV
Niedersachsen führt in die Thematik ein. Insbesondere wird auf die Problematik einer fehlenden Rechtsgrundlage im Sinne des § 9 Abs. 2 lit. g) DSGVO hingewiesen, die vom Gesetzgeber geschaffen werden sollte.
Es erfolgt eine Diskussion zwischen den Teilnehmenden, wie mit der Problematik weiter verfahren werden soll.
Die DSK beschließt, dass der Arbeitsauftrag der DSK an den AK Versicherungswirtschaft zurückverwiesen wird. Der vorgelegte Beschluss soll unter Beteiligung des AK Grundsatz und des AK Gesundheit und Soziales überarbeitet werden.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 10 – Konsultation der Orientierungshilfe für Anbieterinnen und Anbieter von Telemedien
Bayern (LDA) führt in das Thema ein und stellt die Orientierungshilfe vor.
Die DSK verabschiedet einvernehmlich die konsolidierte Fassung der Orientierungshilfe für Anbieterinnen und Anbieter von Telemedien.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 11 – Taskforce Souveräne Cloud
BfDI stellt das Ergebnis der Taskforce Souveräne Cloud vor und bedankt sich bei den Beteiligten aus den Aufsichtsbehörden aus Hessen, Bremen, Nordrhein-Westfalen und Schleswig-Holstein. Die bisherigen Ergebnisse der Taskforce wurden in dem Positionspapier „Anforderungen an Souveräne Clouds“ zusammengefasst. Hierin wurde, ausgehend von der Definition der digitalen Souveränität des Kompetenzzentrums Öffentliche IT (ÖFIT), eine Abgrenzung des Begriffs einer souveränen Cloud anhand von als Anforderungen formulierten Kriterien vorgenommen.
Mecklenburg-Vorpommern bittet, für eine Feinabstimmung des Positionspapiers, um Beteiligung des Arbeitskreises Technik. Zudem weisen Nordrhein-Westfalen und Niedersachsen darauf hin, dass das Papier auch noch dem Arbeitskreis Grundsatz und dem Arbeitskreis Internationaler Datenverkehr zur Abstimmung vorgelegt werden sollte.
Die DSK trifft folgenden Beschluss:
Die DSK nimmt das Positionspapier der Taskforce Souveräne Cloud zur Kenntnis und bittet die Taskforce Souveräne Cloud den Arbeitskreis Grundsatz, den Arbeitskreis Technik und den Arbeitskreis Internationaler Datenverkehr zwecks Herstellung eines Einvernehmens um Bearbeitung zu ersuchen. Die Fertigstellung wird bis zur 1. Zwischenkonferenz 2023 erbeten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 12 – Bericht der Task Force Schrems II
LfDI Hamburg berichtet von der Arbeit der Task Force Schrems II, welche im direkten Kontakt mit Unternehmen zu positiven Veränderungen in der Praxis geführt habe, die auch im europäischen und internationalen Umfeld wahrgenommen wurden.
Nach eingehender Diskussion über Erreichtes sowie das weitere Vorgehen nimmt die DSK den Berichtspunkt zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 13 – Arbeit des AK Internationaler Datenverkehr und AK Grundsatz zu extraterritorialen Zugriffen
Bayern (LDA) führt in das Thema ein und berichtet über den Umsetzungsstand des Arbeitsauftrags aus der 3. Zwischenkonferenz hinsichtlich einer Beschlussvorlage für die Frage extraterritorialer Zugriffsmöglichkeiten durch öffentliche Stellen von Drittländern. So habe der AK seitdem einmal getagt und sich über verschiedene Aspekte, die bei der Behandlung der Frage solcher extraterritorialer Zugriffsmöglichkeiten zu berücksichtigen sind, ausgetauscht.
Die DSK nimmt den Berichtspunkt zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 14 – Nachfolgeregelung betreffend die „deutsche federführende Behörde“ in BCR- Verfahren mit nichtdeutscher Federführung
Hessen berichtet über den Umsetzungsstand des Arbeitsauftrags aus der 3. Zwischenkonferenz hinsichtlich einer Nachfolgeregelung betreffend der „deutschen federführenden Behörde“ in BCR-Verfahren und informiert über die unterschiedlichen BCR- Verfahren und Aufgabenverteilung in den Jahren 2020-2022.
Nach eingehender Erörterung einigt sich die DSK darauf, den Arbeitsauftrag an den AK zu konkretisieren sowie die individuellen Beteiligungsoptionen und die Aufgabenverteilung zu prüfen.
Die Teilnehmenden werden gebeten, entsprechende Daten bis zum *9. Dezember 2022, Dienstschluss* zu übersenden.
Des Weiteren nimmt die DSK den Berichtspunkt zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 15 – Verbesserung der Kooperation mit den spezifischen Aufsichtsbehörden
BfDI berichtet über die Ergebnisse des AK Grundsatz, wie die Kooperation mit den spezifischen Aufsichtsbehörden verbessert werden könnte. Zudem wird über den Entwurf des Antwortschreibens auf das Positionspapier der Rundfunkdatenschutzkonferenz berichtet.
Die DSK trifft folgenden Beschluss:
- Die DSK billigt und verabschiedet die folgenden Vorschläge für eine verbesserte Kooperation mit den spezifischen Aufsichtsbehörden:
„Konkrete Vorschläge des AK Grundsatz zur Vertiefung der Kooperation mit den spezifischen Aufsichtsbehörden
a. Vorschlag Nummer 1
Im Rahmen der 17. Sitzung des AK Grundsatz am 19./20.10.2022 wurden folgende Vorschläge für eine Verbesserung der Kooperation mit den spezifischen Aufsichtsbehörden zur Übermittlung an die DSK abgestimmt: Zum einen sollte im Rahmen des regelmäßigen Austausch zwischen dem DSK-Vorsitz und den Repräsentanten der spezifischen Aufsichtsbehörden, der gemäß dem Positionspapier von der RDSK als wenig ertragreich angesehen wird, neben der Information über die aktuelle Arbeit der DSK, die insbesondere bereits von der DSK behandelte Themen umfasst, verstärkt auch die noch ausstehenden, aber bereits geplanten Themen der DSK, aufgegriffen werden (s.a. TOP 10 der 16. Sitzung des AK Grundsatz). Dies sollte mit der Möglichkeit für die spezifischen Aufsichtsbehörden verbunden werden, sich frühzeitig aktiv einzubringen. Zudem könnte im Rahmen dieses Formates das Interesse an gemeinsamen Initiativen bzw. Aktivitäten aller deutschen, das heißt auch der spezifischen Aufsichtsbehörden, bei den selbigen abgefragt werden.
b. Vorschlag Nummer 2
Zum anderen sollte den spezifischen Aufsichtsbehörden auf Nachfrage die Teilnahme als Gäste an allen Arbeitskreisen der DSK verbunden mit der Übersendung der Tagesordnung und der Anmeldebögen derjenigen TOPs, zu denen ihre Teilnahme nicht ausgeschlossen ist, ermöglicht werden. Die Entscheidung über die Zulassung als Gäste sollte dabei den jeweiligen Vorsitzenden der AK obliegen. Sofern eine Zulassung der spezifischen Aufsichtsbehörden zu einem AK erfolgt, sollten diese – abweichend von einem reinen Gaststatus – eigene Themenvorschläge einbringen können. Ob und inwiefern diese Themenvorschläge auf die Tagesordnung gesetzt werden, sollte der Prüfung der/des jeweiligen AK Vorsitzenden, wenn nötig in Abstimmung mit den übrigen Teilnehmerinnen und Teilnehmern des AK, obliegen. Nach den Sitzungen der AK sollten die als Gast zugelassenen spezifischen Aufsichtsbehörden – wie bereits aktuell im AK Grundsatz praktiziert – das Sitzungsprotokoll erhalten, wobei dieses vorab gegebenenfalls um die TOPs bereinigt werden sollte, bei denen die spezifischen Aufsichtsbehörden von der Beratung ausgeschlossen waren (s.a. TOP 10 der 16. Sitzung des AK Grundsatz).
c. Vorschlag Nummer 3
Darüber hinaus sollte die Einbindung der spezifischen Aufsichtsbehörden auch zwischen den Sitzungen der AKs bzw. der DSK erfolgen. Dies betrifft insbesondere das Teilen von Informationen über Entwicklungen auf EDSA und DSK-Ebene. Zur Umsetzung dieses Vorschlags sollte ein Adressverteiler mit den gesammelten E-Mail-Adressen der jeweiligen Ansprechpartnerinnen und Ansprechpartner der spezifischen Aufsichtsbehörden und die der DSK (DSK-Vorsitz und Vorsitz des jeweiligen AKs) erstellt werden. Das Zusammentragen sowie die Aktualisierung der für den Adressverteiler notwendigen Kontaktinformationen sollte durch den jeweiligen DSK-Vorsitz in Zusammenarbeit mit der ZASt erfolgen. Dieser Adressverteiler kann sodann dazu genutzt werden, regelmäßig ausgewählte, auch für die spezifischen Aufsichtsbehörden relevante Informationen zu teilen. Für diesen Verteiler sollte der jeweilige DSK-Vorsitz zuständig sein.“
- Die DSK billigt das Antwortschreiben auf das Positionspapier der Rundfunkdatenschutzkonferenz und beauftragt den Vorsitz, dieses der Rundfunkdatenschutzkonferenz zu übermitteln.
Zudem besteht Einvernehmen, dass über das Ergebnis beim Treffen mit den spezifischen Aufsichtsbehörden am 15. Dezember 2022 berichtet werden kann.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 16 – Bericht aus dem Arbeitskreis Organisation und Struktur
Hessen berichtet von der Arbeit des Arbeitskreises Organisation und Struktur. Im ersten Quartal 2023 wird die Kollaborationsplattform „Phoenix“ von Dataport getestet und im Anschluss an die Evaluation eine Empfehlung für die DSK erarbeitet werden. Zudem findet am 14. Dezember 2022 ein Treffen aller Gremienvertreter auf deutscher und europäischer Ebene statt. Vor allem soll dort besprochen werden, wie Gremien auf europäischer Ebene, die nicht Subgroups sind, in die erprobten und bewährten Informationsflüsse und Beteiligungswege in Deutschland eingebunden werden können und wo besondere Regelungen notwendig sind. Im Anschluss wird auch hier eine Empfehlung für die DSK erarbeitet werden.
Die DSK nimmt den Bericht zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 17 – Austausch zwischen DSK und Bundeskartellamt
Hamburg berichtet über den bisherigen Austausch mit dem Bundeskartellamt und regt angesichts legislativer Entwicklungen und zunehmender Berührungspunkte von datenschutz- und kartellrechtlichen Fragen weitere Gespräche an.
Bayern (LDA) und Hessen weisen darauf hin, dass im Vorfeld des ersten Treffens das gemeinsame Vorgehen der DSK erörtert werden sollte. Die nähere Durchführung soll in einem Jour fixe der DSK erörtert werden. Nach eingehender Aussprache trifft die DSK folgende Festlegung:
Die DSK lädt das Bundeskartellamt zu einem Austausch auf strategischer Ebene ein. Der BfDI wird um die Organisation des Treffens gebeten.
[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)
TOP 18 – Vorschläge für künftige Handlungsempfehlungen oder Regelungen im Bereich „Scoring“
Nordrhein-Westfalen führt in das Thema ein und bittet um Erteilung des Arbeitsauftrags an den Arbeitskreis Kreditwirtschaft.
Hessen begrüßt die Ausarbeitung des AK Kreditwirtschaft weist jedoch darauf hin, dass die angesprochenen Problematiken nicht nur den Bereich der Risikobewertung im Kreditbereich betreffen.
Nach eingehender Erörterung trifft die DSK folgende Festlegung:
Die DSK nimmt den Bericht des AK Kreditwirtschaft vom 27. Oktober 2022 zur Kenntnis.
Sie beauftragt den Arbeitskreis Kreditwirtschaft – unter Beteiligung des Arbeitskreises Auskunfteien und Inkasso – auf dieser Basis und unter Berücksichtigung aller Einsatzbereiche von Kreditscoring, Handlungsempfehlungen für die Bundesregierung zur Verbesserung von Scoringverfahren zu erarbeiten. Diese werden der 105. DSK zur Beschlussfassung zugeleitet.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 19 – Errichtung eines Präsidiums der DSK
Rheinland-Pfalz berichtet über das Ergebnis des Arbeitskreises DSK 2.0. Im Jahr 2023 soll als Pilotprojekt ein Präsidium der DSK errichtet werden. Dieses soll grundsätzlich aus fünf Mitgliedern – dem vorherigen, aktuellen und nächstjährigen Vorsitz sowie den beiden Vertretern im EDSA – bestehen. Aufgrund des Pilotcharakters des Präsidiums sei eine Änderung der Geschäftsordnung vorerst nicht notwendig.
Die DSK trifft folgende Festlegung:
Es wird ein Präsidium der DSK ab dem Jahr 2023 als Pilotprojekt errichtet. Dieses besteht grundsätzlich aus fünf Mitgliedern; dem vorherigen, aktuellen und nächstjährigen Vorsitz sowie den beiden EDSA-Vertreterinnen bzw. Vertretern.
Namentlich sind dies für das Jahr 2023 der BfDI als vorheriger Vorsitz der DSK und Gemeinsamer Vertreter im EDSA, Schleswig-Holstein als aktueller Vorsitz der DSK, Bremen als nächstjähriger Vorsitz und der Bayerische LfD als Stellvertreter im EDSA.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 20 – Durchführung einer jährlichen Klausurtagung
Rheinland-Pfalz erläutert Überlegungen für eine jährliche Klausurtagung der DSK, welche jeweils an einem Wochenende stattfinden soll. Gäste können nach Bedarf eingeladen werden.
Die DSK trifft folgende Festlegung:
Der Vorsitz des AK DSK 2.0 wird gebeten, eine Klausurtagung im Sommer 2023 als Pilotprojekt zu organisieren. Die inhaltliche Ausrichtung/Planung erfolgt durch ein Gremium bestehend aus den Mitgliedern des Präsidiums der DSK des Jahres 2023 und dem Vorsitz des AK DSK 2.0.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 21 – Arbeitsaufträge an den AK Grundsatz und AK Sicherheit im Nachgang der 103. DSK anlässlich von Vorhaben aus dem Koalitionsvertrag
Schleswig-Holstein berichtet, dass im AK Sicherheit eine Unterarbeitsgruppe gebildet wurde, die sich mit dem Auftrag der DSK an den Arbeitskreis Sicherheit beschäftigt. Insbesondere sollen Eckpunkte erarbeitet werden, welche sich mit den Vorschlägen zu Methodik und Schwerpunkten einer Evaluation von Sicherheitsgesetzen (auch unter dem Gesichtspunkt einer Überwachungsgesamtrechnung) auseinandersetzen.
BfDI berichtet, dass der AK Grundsatz die Arbeiten zum Arbeitsauftrag der DSK begonnen hat. Es erfolgte bereits ein Austausch zu den Themen Recht auf Interoperabilität, Portabilität und Verschlüsselung, Förderung von Anonymisierungstechniken, zur digitalen Produkthaftung und Recht auf Updates sowie zur Gewähr anonymer und pseudonymer Online-Nutzung.
Beide Arbeitskreise werden spätestens zur 105. DSK einen Bericht zu den erteilten Arbeitsaufträgen abgeben.
Die DSK nimmt die Berichte des Arbeitskreises Sicherheit und des Arbeitskreises Grundsatz zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 22 – Erneuerung des Vorsitzes des Arbeitskreises Werbung und Adresshandel
Der Vorsitz führt in das Thema ein und weist daraufhin, dass in der 3. Zwischenkonferenz der DSK 2022 sämtliche AK-Vorsitze im Sinne der Geschäftsordnung der DSK erneuert bzw. neue Vorsitze ernannt wurden. Für den Arbeitskreis Werbung und Adresshandel konnte jedoch kein neuer Vorsitz gefunden werden.
Bayern (LDA) weist darauf hin, dass der Co-Vorsitz des Arbeitskreises Auskunfteien und Inkasso unter der Prämisse übernommen wurde, dass der Vorsitz des Arbeitskreises Werbung und Adresshandel abgeben wird. Sollte kein neuer Vorsitz gefunden werden, müsste der Co-Vorsitz wieder abgegeben werden.
Es folgt eine Diskussion, den Arbeitskreis in den Arbeitskreis Wirtschaft aufgehen zu lassen oder mit Co-Vorsitzen zu führen.
Der Tagesordnungspunkt wird auf die 1. Zwischenkonferenz der DSK 2023 verschoben. Der Vorsitz bittet um Prüfung, ob zwei Aufsichtsbehörden gefunden werden können, die den Arbeitskreis gemeinsam leiten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 23 – Bericht zur 44. Konferenz der Global Privacy Assembly
BfDI berichtet von der 44. Konferenz der Global Privacy Assembly (GPA) in Istanbul. Das Motto der 44. GPA lautete „A Matter of Balance: Privacy in The Era of Rapid Technological Advancement“. Es wurden drei Entschließungen zum ständigen Sekretariat der GPA, zur Zusammenarbeit zur Bekämpfung unberechtigter Datenzugriffe und Vermeidung diesbezüglicher Schäden für die Betroffenen sowie zu Grundsätzen und Vorgaben für Systeme der Gesichtserkennung.
Zudem weist BfDI darauf hin, dass für den Zeitraum 2022-2024 seine zweite Amtszeit im Executive Committee bestätigt wurde.
Die DSK nimmt den Bericht zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 24 – Bericht zum 70. Treffen der Berlin Group
BfDI berichtet über die Arbeit der Berlin Group und weist auf das 70. Treffen der Berlin Group in London Ende November hin. Auf diesem werden die Themen Smart Cities, Facial Recognition Technology und Telemetry/ Diagnostic Data erörtert werden.
Zudem weist BfDI darauf hin, dass eine Teilnahme an der Berlin Group auch den Angehörigen der Länderaufsichtsbehörden offensteht.
Die DSK nimmt den Bericht zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 25 – Neufassung des Standard-Datenschutzmodells (SDM 3.0)
Mecklenburg-Vorpommern führt in das Thema SDM als Werkzeug für eine risikoadäquate Auswahl und rechtliche Bewertung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen ein und erläutert die Neuerungen des SDM 3.0, insbesondere den sogenannten SDM-Würfel.
Niedersachsen weist darauf hin, dass die Anwendung der SDM Methodik durch den sog. „SDM Würfel“ für Anwender mit Version 3.0 deutlich komplexer wird und verweist hinsichtlich der strategischen Ausrichtung auf Diskussionen im Arbeitskreis Technik und in der Vorkonferenz. Es bestehe die Gefahr, dass kleinere Anwender in der Praxis überfordert werden. Bayern (LDA) betont gute Ergebnisse in der Vollzugspraxis. Schleswig-Holstein ergänzt, dass insbesondere die Bausteine des SDM gut angenommen würden und hier – ähnlich wie dies seit vielen Jahren beim IT-Grundschutz des BSI geschieht – künftig weitere Bausteine erarbeitet werden müssten.
In einer Diskussion über den Empfehlungscharakter wird insgesamt festgestellt, dass das SDM weder für Verantwortliche noch Aufsichtsbehörden ein verbindlicher methodischer Maßstab sei. Weiterhin kann eine Feststellung von Baden-Württemberg im Hinblick auf verpflichtende Anforderungen aus dem SDM 3.0 bei öffentlichen Ausschreibungen in der Diskussion nicht bestätigt werden. Die DSK trifft, bei Ablehnung Baden-Württembergs, folgenden Beschluss:
Die DSK stimmt der aktuellen Version 3.0 des Standard-Datenschutzmodells (SDM) zu.
Das SDM 3.0 wird in deutscher und englischer Sprache veröffentlicht. Die Kosten für die Übersetzung werden nach dem Königsteiner Schlüssel umgelegt.
[16, 1, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 26 – Bericht MS Office 365
Bayern (LDA) berichtet von den im Nachgang der 3. Zwischenkonferenz geführten Gesprächen der Arbeitsgruppe Microsoft Office 365 mit Microsoft und stellt die Ergebnisse und Schlussfolgerungen der Arbeitsgruppe vor. Prüfungsgegenstand sei dabei der Auftragsverarbeitungsvertrag gewesen. Aus Sicht von Microsoft enthält der finale Bericht Geschäftsgeheimnisse. Auf Grund dessen soll eine Zusammenfassung des Berichts veröffentlicht werden.
Nach eingehender Aussprache trifft die DSK einstimmig folgende Festlegung:
- Die DSK nimmt den Bericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ und dessen Zusammenfassung zur Kenntnis.
- Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.
- Für eine vertiefte Bewertung der Gesprächsergebnisse stellt die DSK die beigefügte Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Prof. Ulrich Kelber
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
104. Konferenz der unabhängigen
Datenschutzaufsichtsbehörden des Bundes und der Länder
vom 22. bis 24. November 2022
-Protokoll-
TOP 01 – Begrüßung und Organisatorisches
Der Vorsitzende begrüßt die Teilnehmenden zur 104. Sitzung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).
Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer an der Konferenz teilnehmen.
Zudem beschließt die DSK, dass Frau Jelinek, Vorsitzende des Europäischen Datenschutzausschusses (EDSA), an den Tagesordnungspunkten:
TOP 04, TOP 05, TOP 06, TOP 12, TOP 13, TOP 14, TOP 17, TOP 19, TOP 20, TOP 23 sowie an TOP 24
der Sitzung teilnimmt.
Der Vorsitzende weist darauf hin, dass zu Protokollzwecken eine Tonaufzeichnung der Konferenz erfolgt, welche nach Erstellen des Protokolls gelöscht wird. Es gibt keine Einwände gegen diese Vorgehensweise.
TOP 02 – Tagesordnung und Protokoll
Der Vorsitzende stellt die Tagesordnung für die 104. DSK vor.
Die Teilnehmenden beschließen, TOP 06 und TOP 26 vorzuziehen und nach TOP 3 zu behandeln.
Die Tagesordnung wird in dieser Form einstimmig angenommen.
Für die nachfolgenden Tagesordnungspunkte wurde auf der Vorkonferenz Einvernehmen hergestellt, sodass ihre Behandlung im verkürzten Verfahren erfolgen kann:
- TOP 3 – Information zu Umlaufverfahren
- TOP 7 – Information zur Veröffentlichung der Excecutive Order “Enhancing Safeguards for United Sattes Signals Intelligence Activities“
- TOP 08 – Auswirkungen der neuen Verbrauchervorschriften über digitale Produkte im BGB auf das Datenschutzrecht
- TOP 09 – Muster einer Einwilligungs- und Schweigepflichtsentbindungserklärung des GDV
- TOP 10 – Konsultation der Orientierungshilfe für Anbieterinnen und Anbieter von Telemedien
- TOP 11 – Taskforce Souveräne Cloud
- TOP 15 – Verbesserung der Kooperation mit den spezifischen Aufsichtsbehörden
- TOP 16 – Bericht aus dem Arbeitskreis Organisation und Struktur
Die DSK nimmt die Ergebnisse der Vorkonferenz einstimmig ohne weitere Aussprache an.
Der Vorsitzende weist darauf hin, dass das Protokoll der 3. Zwischenkonferenz im Umlaufverfahren abgestimmt und die finalisierte Fassung veröffentlicht wurde.
TOP 3 – Informationen zu Umlaufverfahren
Die DSK nimmt die am 17. November 2022 versendete Übersicht über die im Jahr 2022 durchgeführten Umlaufverfahren zur Kenntnis.
TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss
Die Vorsitzende des EDSA berichtet von der 70. Plenartagung am 21. September 2022. In dieser verabschiedete der EDSA die sogenannte „Wishlist“, ein Statement zum digitalen Euro, eine Stellungnahme zur Prüfung der Europrivacy certification criteria sowie jeweils ein Update der Leitlinien zur Bestimmung der Ermittlung der federführenden Aufsichtsbehörde eines Verantwortlichen bzw. Auftragsverarbeiters und der Leitlinien zur Meldung von Datenschutzverletzungen. Auf seiner 71. Plenartagung am 14. November 2022 verabschiedete der EDSA Empfehlungen zur Prüfung von Binding Corporate Rules, ein Update zur Taskforce Cookie Banner und verabschiedete die Leitlinien zur Blockchain.
BfDI ergänzt, dass die Leitlinie zur Meldung von Datenschutzverletzungen nach der DSGVO für die Konstellation angepasst wurde, in der der Verantwortliche über keine eigene Niederlassung in einem Mitgliedsstaat verfügt. Die Existenz eines Vertreters in einem Mitgliedstaat reicht nicht aus, um in den Genuss des One-Stop-Shop-Mechanismus zu kommen. Zudem hat der EDSA die Frage nach der Einordnung von Minern als Akteure in der öffentlichen Blockchain an die TECH ESG zurückgegeben.
Bayern (LfD) Weist darauf hin, dass der EDSA im Plenum selten erhebliche inhaltliche Änderungen vornimmt, die nicht in den sog. Infonotes enthalten sind. Merkt eine deutsche Vertretung, dass sie in ihrer Subgroup eine Mindermeinung vertritt, sollte die daher unbedingt darauf hinwirken, dass ihre Position in die Infonote aufgenommen wird. Bei strategischen Fällen sollte sie dann auch frühzeitig den Ländervertreter im EDSA informieren, damit er Vorfeldgespräche führen und so die Mitglieder der DSK als Subgroup- Vertretungen unterstützen kann. Wurde die deutsche Position nicht zur Abstimmung in die Infonote aufgenommen, ist der Ländervertreter darüber zu informieren, ob die Position bereits auf europäischer Ebene (Subgroup, Taskforce etc.) verhandelt wurde.
Auf Nachfrage von Bayern (LDA), ob die Harmonisierung der Meldungen nach Artikel 33 DSGVO geändert werden sollte, z.B. durch ein europäisches einheitliches Formular, teilte die Vorsitzende des EDSA mit, dass die Cooperation-Subgroup ein solches Formular erarbeitet.
Zudem erläutert die Vorsitzende des EDSA, dass bei Gesetzgebungsverfahren auf europäischer Ebene der EDSA befragt werden kann und der europäische Datenschutzbeauftragte zwingend beteiligt werden muss. Deutschland habe jedoch durch die Vertretung in den Subgroups die Möglichkeit, in laufende Gesetzgebungsverfahren einzuwirken.
Die DSK einigt sich darauf, dass die beiden europäischen Vertreter (BfDI und Bayern LfD) einen Erfahrungsaustausch organisieren, um das Vorgehen auf europäischer Ebene abzustimmen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 5 – Bericht der Zentralen Anlaufstelle über die Zusammenarbeit
Der Bericht der ZASt sowie die Übersicht der im IMI-System eingeleiteten Verfahren unter Beteiligung der deutschen Aufsichtsbehörden wurden den Teilnehmenden mit E-Mail vom 11. November 2022 zugesandt. Der Leiter der ZASt erläutert auf der Konferenz die Inhalte des Berichts. Auf direkte Nachfrage des Leiters der ZASt informiert die EDSA-Vorsitzende, dass dem EDSA-Sekretariat in den Haushaltsverhandlungen zwei neue Vollzeitäquivalente zugebilligt wurden.
Der Vorsitzende bedankt sich bei der ZASt für den Bericht. Die DSK nimmt den Berichtspunkt zur Kenntnis.
Die DSK trifft folgende Festlegung:
Der AK Organisation & Struktur wird beauftragt, das ZASt-Konzept zu evaluieren und einen Evaluationsbericht bis zur 105. DSK im Frühjahr 2023 (9. bis 11. Mai 2023) zu erstellen. Auf Grundlage des Evaluationsberichtes sind ggf. erforderliche Änderungsvorschläge des ZASt- Konzeptes zu erarbeiten und gemeinsam mit dem Evaluationsbericht der DSK vorzulegen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 6 – Entschließung „Petersberger Erklärung"
Bayern (LfD) führt in das Thema ein und erläutert die eingegangenen Änderungsvorschläge. Es folgt eine ausführliche inhaltliche Diskussion der vorgeschlagenen Änderungen.
Die DSK verabschiedet die Entschließung einstimmig.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 7 – Information zur Veröffentlichung der Excecutive Order “Enhancing Safeguards for United Sattes Signals Intelligence Activities“
BfDI berichtet über den Sachstand. Am 7. Oktober 2022 hat das Weiße Haus die Excecutive Order “Enhancing Safeguards for United States Signals Intelligence Activities” veröffentlicht. Die Europäische Kommission erarbeitet derzeit einen Angemessenheitsbeschluss. Der EDSA ist vor der Annahme eines Angemessenheitsbeschlusses verpflichtet, diesen zu konsolidieren. Eine Beteiligung des EDSA ist voraussichtlich Ende November vorgesehen. Zu den Arbeiten an der EDSA-Stellungnahme werden die Mitglieder der DSK über die Verteiler der Borders, Travel and Law Enforcement (BTLE) Subgroup und der International Transfer Expert Subgroup (ITS) informiert und beteiligt werden. Der BfDI ist in beiden Subgroups vertreten und wird sich in diesen einbringen.
Hessen teilt mit, dass eine Teilnahme im Drafting-Team der ITS vorgesehen ist.
Auf Nachfrage von Hamburg wird mitgeteilt, dass im Anschluss ein gemeinsamer Standpunkt gemäß §18 BDSG hergestellt werden wird.
Die DSK nimmt den Bericht zur Veröffentlichung der Executive Order „Enhancing Safeguards of United States Signals Intelligence Activities“ zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 8 - Auswirkungen der neuen Verbrauchervorschriften über digitale Produkte im BGB auf das Datenschutzrecht
Hamburg führt in das Thema ein und stellt den Beschluss vor.
Nach redaktioneller Überarbeitung des Beschlusstextes wird der überarbeitete Beschluss einvernehmlich verabschiedet; er ist zur Veröffentlichung auf der DSK-Website vorgesehen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 09 – Muster einer Einwilligungs- und Schweigepflichtentbindungserklärung des GDV
Niedersachsen führt in die Thematik ein. Insbesondere wird auf die Problematik einer fehlenden Rechtsgrundlage im Sinne des § 9 Abs. 2 lit. g) DSGVO hingewiesen, die vom Gesetzgeber geschaffen werden sollte.
Es erfolgt eine Diskussion zwischen den Teilnehmenden, wie mit der Problematik weiter verfahren werden soll.
Die DSK beschließt, dass der Arbeitsauftrag der DSK an den AK Versicherungswirtschaft zurückverwiesen wird. Der vorgelegte Beschluss soll unter Beteiligung des AK Grundsatz und des AK Gesundheit und Soziales überarbeitet werden.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 10 – Konsultation der Orientierungshilfe für Anbieterinnen und Anbieter von Telemedien
Bayern (LDA) führt in das Thema ein und stellt die Orientierungshilfe vor.
Die DSK verabschiedet einvernehmlich die konsolidierte Fassung der Orientierungshilfe für Anbieterinnen und Anbieter von Telemedien.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 11 – Taskforce Souveräne Cloud
BfDI stellt das Ergebnis der Taskforce Souveräne Cloud vor und bedankt sich bei den Beteiligten aus den Aufsichtsbehörden aus Hessen, Bremen, Nordrhein-Westfalen und Schleswig-Holstein. Die bisherigen Ergebnisse der Taskforce wurden in dem Positionspapier „Anforderungen an Souveräne Clouds“ zusammengefasst. Hierin wurde, ausgehend von der Definition der digitalen Souveränität des Kompetenzzentrums Öffentliche IT (ÖFIT), eine Abgrenzung des Begriffs einer souveränen Cloud anhand von als Anforderungen formulierten Kriterien vorgenommen.
Mecklenburg-Vorpommern bittet, für eine Feinabstimmung des Positionspapiers, um Beteiligung des Arbeitskreises Technik. Zudem weisen Nordrhein-Westfalen und Niedersachsen darauf hin, dass das Papier auch noch dem Arbeitskreis Grundsatz und dem Arbeitskreis Internationaler Datenverkehr zur Abstimmung vorgelegt werden sollte.
Die DSK trifft folgenden Beschluss:
Die DSK nimmt das Positionspapier der Taskforce Souveräne Cloud zur Kenntnis und bittet die Taskforce Souveräne Cloud den Arbeitskreis Grundsatz, den Arbeitskreis Technik und den Arbeitskreis Internationaler Datenverkehr zwecks Herstellung eines Einvernehmens um Bearbeitung zu ersuchen. Die Fertigstellung wird bis zur 1. Zwischenkonferenz 2023 erbeten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 12 – Bericht der Task Force Schrems II
LfDI Hamburg berichtet von der Arbeit der Task Force Schrems II, welche im direkten Kontakt mit Unternehmen zu positiven Veränderungen in der Praxis geführt habe, die auch im europäischen und internationalen Umfeld wahrgenommen wurden.
Nach eingehender Diskussion über Erreichtes sowie das weitere Vorgehen nimmt die DSK den Berichtspunkt zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 13 – Arbeit des AK Internationaler Datenverkehr und AK Grundsatz zu extraterritorialen Zugriffen
Bayern (LDA) führt in das Thema ein und berichtet über den Umsetzungsstand des Arbeitsauftrags aus der 3. Zwischenkonferenz hinsichtlich einer Beschlussvorlage für die Frage extraterritorialer Zugriffsmöglichkeiten durch öffentliche Stellen von Drittländern. So habe der AK seitdem einmal getagt und sich über verschiedene Aspekte, die bei der Behandlung der Frage solcher extraterritorialer Zugriffsmöglichkeiten zu berücksichtigen sind, ausgetauscht.
Die DSK nimmt den Berichtspunkt zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 14 – Nachfolgeregelung betreffend die „deutsche federführende Behörde“ in BCR- Verfahren mit nichtdeutscher Federführung
Hessen berichtet über den Umsetzungsstand des Arbeitsauftrags aus der 3. Zwischenkonferenz hinsichtlich einer Nachfolgeregelung betreffend der „deutschen federführenden Behörde“ in BCR-Verfahren und informiert über die unterschiedlichen BCR- Verfahren und Aufgabenverteilung in den Jahren 2020-2022.
Nach eingehender Erörterung einigt sich die DSK darauf, den Arbeitsauftrag an den AK zu konkretisieren sowie die individuellen Beteiligungsoptionen und die Aufgabenverteilung zu prüfen.
Die Teilnehmenden werden gebeten, entsprechende Daten bis zum *9. Dezember 2022, Dienstschluss* zu übersenden.
Des Weiteren nimmt die DSK den Berichtspunkt zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 15 – Verbesserung der Kooperation mit den spezifischen Aufsichtsbehörden
BfDI berichtet über die Ergebnisse des AK Grundsatz, wie die Kooperation mit den spezifischen Aufsichtsbehörden verbessert werden könnte. Zudem wird über den Entwurf des Antwortschreibens auf das Positionspapier der Rundfunkdatenschutzkonferenz berichtet.
Die DSK trifft folgenden Beschluss:
- Die DSK billigt und verabschiedet die folgenden Vorschläge für eine verbesserte Kooperation mit den spezifischen Aufsichtsbehörden:
„Konkrete Vorschläge des AK Grundsatz zur Vertiefung der Kooperation mit den spezifischen Aufsichtsbehörden
a. Vorschlag Nummer 1
Im Rahmen der 17. Sitzung des AK Grundsatz am 19./20.10.2022 wurden folgende Vorschläge für eine Verbesserung der Kooperation mit den spezifischen Aufsichtsbehörden zur Übermittlung an die DSK abgestimmt: Zum einen sollte im Rahmen des regelmäßigen Austausch zwischen dem DSK-Vorsitz und den Repräsentanten der spezifischen Aufsichtsbehörden, der gemäß dem Positionspapier von der RDSK als wenig ertragreich angesehen wird, neben der Information über die aktuelle Arbeit der DSK, die insbesondere bereits von der DSK behandelte Themen umfasst, verstärkt auch die noch ausstehenden, aber bereits geplanten Themen der DSK, aufgegriffen werden (s.a. TOP 10 der 16. Sitzung des AK Grundsatz). Dies sollte mit der Möglichkeit für die spezifischen Aufsichtsbehörden verbunden werden, sich frühzeitig aktiv einzubringen. Zudem könnte im Rahmen dieses Formates das Interesse an gemeinsamen Initiativen bzw. Aktivitäten aller deutschen, das heißt auch der spezifischen Aufsichtsbehörden, bei den selbigen abgefragt werden.
b. Vorschlag Nummer 2
Zum anderen sollte den spezifischen Aufsichtsbehörden auf Nachfrage die Teilnahme als Gäste an allen Arbeitskreisen der DSK verbunden mit der Übersendung der Tagesordnung und der Anmeldebögen derjenigen TOPs, zu denen ihre Teilnahme nicht ausgeschlossen ist, ermöglicht werden. Die Entscheidung über die Zulassung als Gäste sollte dabei den jeweiligen Vorsitzenden der AK obliegen. Sofern eine Zulassung der spezifischen Aufsichtsbehörden zu einem AK erfolgt, sollten diese – abweichend von einem reinen Gaststatus – eigene Themenvorschläge einbringen können. Ob und inwiefern diese Themenvorschläge auf die Tagesordnung gesetzt werden, sollte der Prüfung der/des jeweiligen AK Vorsitzenden, wenn nötig in Abstimmung mit den übrigen Teilnehmerinnen und Teilnehmern des AK, obliegen. Nach den Sitzungen der AK sollten die als Gast zugelassenen spezifischen Aufsichtsbehörden – wie bereits aktuell im AK Grundsatz praktiziert – das Sitzungsprotokoll erhalten, wobei dieses vorab gegebenenfalls um die TOPs bereinigt werden sollte, bei denen die spezifischen Aufsichtsbehörden von der Beratung ausgeschlossen waren (s.a. TOP 10 der 16. Sitzung des AK Grundsatz).
c. Vorschlag Nummer 3
Darüber hinaus sollte die Einbindung der spezifischen Aufsichtsbehörden auch zwischen den Sitzungen der AKs bzw. der DSK erfolgen. Dies betrifft insbesondere das Teilen von Informationen über Entwicklungen auf EDSA und DSK-Ebene. Zur Umsetzung dieses Vorschlags sollte ein Adressverteiler mit den gesammelten E-Mail-Adressen der jeweiligen Ansprechpartnerinnen und Ansprechpartner der spezifischen Aufsichtsbehörden und die der DSK (DSK-Vorsitz und Vorsitz des jeweiligen AKs) erstellt werden. Das Zusammentragen sowie die Aktualisierung der für den Adressverteiler notwendigen Kontaktinformationen sollte durch den jeweiligen DSK-Vorsitz in Zusammenarbeit mit der ZASt erfolgen. Dieser Adressverteiler kann sodann dazu genutzt werden, regelmäßig ausgewählte, auch für die spezifischen Aufsichtsbehörden relevante Informationen zu teilen. Für diesen Verteiler sollte der jeweilige DSK-Vorsitz zuständig sein.“
- Die DSK billigt das Antwortschreiben auf das Positionspapier der Rundfunkdatenschutzkonferenz und beauftragt den Vorsitz, dieses der Rundfunkdatenschutzkonferenz zu übermitteln.
Zudem besteht Einvernehmen, dass über das Ergebnis beim Treffen mit den spezifischen Aufsichtsbehörden am 15. Dezember 2022 berichtet werden kann.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 16 – Bericht aus dem Arbeitskreis Organisation und Struktur
Hessen berichtet von der Arbeit des Arbeitskreises Organisation und Struktur. Im ersten Quartal 2023 wird die Kollaborationsplattform „Phoenix“ von Dataport getestet und im Anschluss an die Evaluation eine Empfehlung für die DSK erarbeitet werden. Zudem findet am 14. Dezember 2022 ein Treffen aller Gremienvertreter auf deutscher und europäischer Ebene statt. Vor allem soll dort besprochen werden, wie Gremien auf europäischer Ebene, die nicht Subgroups sind, in die erprobten und bewährten Informationsflüsse und Beteiligungswege in Deutschland eingebunden werden können und wo besondere Regelungen notwendig sind. Im Anschluss wird auch hier eine Empfehlung für die DSK erarbeitet werden.
Die DSK nimmt den Bericht zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 17 – Austausch zwischen DSK und Bundeskartellamt
Hamburg berichtet über den bisherigen Austausch mit dem Bundeskartellamt und regt angesichts legislativer Entwicklungen und zunehmender Berührungspunkte von datenschutz- und kartellrechtlichen Fragen weitere Gespräche an.
Bayern (LDA) und Hessen weisen darauf hin, dass im Vorfeld des ersten Treffens das gemeinsame Vorgehen der DSK erörtert werden sollte. Die nähere Durchführung soll in einem Jour fixe der DSK erörtert werden. Nach eingehender Aussprache trifft die DSK folgende Festlegung:
Die DSK lädt das Bundeskartellamt zu einem Austausch auf strategischer Ebene ein. Der BfDI wird um die Organisation des Treffens gebeten.
[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)
TOP 18 – Vorschläge für künftige Handlungsempfehlungen oder Regelungen im Bereich „Scoring“
Nordrhein-Westfalen führt in das Thema ein und bittet um Erteilung des Arbeitsauftrags an den Arbeitskreis Kreditwirtschaft.
Hessen begrüßt die Ausarbeitung des AK Kreditwirtschaft weist jedoch darauf hin, dass die angesprochenen Problematiken nicht nur den Bereich der Risikobewertung im Kreditbereich betreffen.
Nach eingehender Erörterung trifft die DSK folgende Festlegung:
Die DSK nimmt den Bericht des AK Kreditwirtschaft vom 27. Oktober 2022 zur Kenntnis.
Sie beauftragt den Arbeitskreis Kreditwirtschaft – unter Beteiligung des Arbeitskreises Auskunfteien und Inkasso – auf dieser Basis und unter Berücksichtigung aller Einsatzbereiche von Kreditscoring, Handlungsempfehlungen für die Bundesregierung zur Verbesserung von Scoringverfahren zu erarbeiten. Diese werden der 105. DSK zur Beschlussfassung zugeleitet.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 19 – Errichtung eines Präsidiums der DSK
Rheinland-Pfalz berichtet über das Ergebnis des Arbeitskreises DSK 2.0. Im Jahr 2023 soll als Pilotprojekt ein Präsidium der DSK errichtet werden. Dieses soll grundsätzlich aus fünf Mitgliedern – dem vorherigen, aktuellen und nächstjährigen Vorsitz sowie den beiden Vertretern im EDSA – bestehen. Aufgrund des Pilotcharakters des Präsidiums sei eine Änderung der Geschäftsordnung vorerst nicht notwendig.
Die DSK trifft folgende Festlegung:
Es wird ein Präsidium der DSK ab dem Jahr 2023 als Pilotprojekt errichtet. Dieses besteht grundsätzlich aus fünf Mitgliedern; dem vorherigen, aktuellen und nächstjährigen Vorsitz sowie den beiden EDSA-Vertreterinnen bzw. Vertretern.
Namentlich sind dies für das Jahr 2023 der BfDI als vorheriger Vorsitz der DSK und Gemeinsamer Vertreter im EDSA, Schleswig-Holstein als aktueller Vorsitz der DSK, Bremen als nächstjähriger Vorsitz und der Bayerische LfD als Stellvertreter im EDSA.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 20 – Durchführung einer jährlichen Klausurtagung
Rheinland-Pfalz erläutert Überlegungen für eine jährliche Klausurtagung der DSK, welche jeweils an einem Wochenende stattfinden soll. Gäste können nach Bedarf eingeladen werden.
Die DSK trifft folgende Festlegung:
Der Vorsitz des AK DSK 2.0 wird gebeten, eine Klausurtagung im Sommer 2023 als Pilotprojekt zu organisieren. Die inhaltliche Ausrichtung/Planung erfolgt durch ein Gremium bestehend aus den Mitgliedern des Präsidiums der DSK des Jahres 2023 und dem Vorsitz des AK DSK 2.0.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 21 – Arbeitsaufträge an den AK Grundsatz und AK Sicherheit im Nachgang der 103. DSK anlässlich von Vorhaben aus dem Koalitionsvertrag
Schleswig-Holstein berichtet, dass im AK Sicherheit eine Unterarbeitsgruppe gebildet wurde, die sich mit dem Auftrag der DSK an den Arbeitskreis Sicherheit beschäftigt. Insbesondere sollen Eckpunkte erarbeitet werden, welche sich mit den Vorschlägen zu Methodik und Schwerpunkten einer Evaluation von Sicherheitsgesetzen (auch unter dem Gesichtspunkt einer Überwachungsgesamtrechnung) auseinandersetzen.
BfDI berichtet, dass der AK Grundsatz die Arbeiten zum Arbeitsauftrag der DSK begonnen hat. Es erfolgte bereits ein Austausch zu den Themen Recht auf Interoperabilität, Portabilität und Verschlüsselung, Förderung von Anonymisierungstechniken, zur digitalen Produkthaftung und Recht auf Updates sowie zur Gewähr anonymer und pseudonymer Online-Nutzung.
Beide Arbeitskreise werden spätestens zur 105. DSK einen Bericht zu den erteilten Arbeitsaufträgen abgeben.
Die DSK nimmt die Berichte des Arbeitskreises Sicherheit und des Arbeitskreises Grundsatz zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 22 – Erneuerung des Vorsitzes des Arbeitskreises Werbung und Adresshandel
Der Vorsitz führt in das Thema ein und weist daraufhin, dass in der 3. Zwischenkonferenz der DSK 2022 sämtliche AK-Vorsitze im Sinne der Geschäftsordnung der DSK erneuert bzw. neue Vorsitze ernannt wurden. Für den Arbeitskreis Werbung und Adresshandel konnte jedoch kein neuer Vorsitz gefunden werden.
Bayern (LDA) weist darauf hin, dass der Co-Vorsitz des Arbeitskreises Auskunfteien und Inkasso unter der Prämisse übernommen wurde, dass der Vorsitz des Arbeitskreises Werbung und Adresshandel abgeben wird. Sollte kein neuer Vorsitz gefunden werden, müsste der Co-Vorsitz wieder abgegeben werden.
Es folgt eine Diskussion, den Arbeitskreis in den Arbeitskreis Wirtschaft aufgehen zu lassen oder mit Co-Vorsitzen zu führen.
Der Tagesordnungspunkt wird auf die 1. Zwischenkonferenz der DSK 2023 verschoben. Der Vorsitz bittet um Prüfung, ob zwei Aufsichtsbehörden gefunden werden können, die den Arbeitskreis gemeinsam leiten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 23 – Bericht zur 44. Konferenz der Global Privacy Assembly
BfDI berichtet von der 44. Konferenz der Global Privacy Assembly (GPA) in Istanbul. Das Motto der 44. GPA lautete „A Matter of Balance: Privacy in The Era of Rapid Technological Advancement“. Es wurden drei Entschließungen zum ständigen Sekretariat der GPA, zur Zusammenarbeit zur Bekämpfung unberechtigter Datenzugriffe und Vermeidung diesbezüglicher Schäden für die Betroffenen sowie zu Grundsätzen und Vorgaben für Systeme der Gesichtserkennung.
Zudem weist BfDI darauf hin, dass für den Zeitraum 2022-2024 seine zweite Amtszeit im Executive Committee bestätigt wurde.
Die DSK nimmt den Bericht zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 24 – Bericht zum 70. Treffen der Berlin Group
BfDI berichtet über die Arbeit der Berlin Group und weist auf das 70. Treffen der Berlin Group in London Ende November hin. Auf diesem werden die Themen Smart Cities, Facial Recognition Technology und Telemetry/ Diagnostic Data erörtert werden.
Zudem weist BfDI darauf hin, dass eine Teilnahme an der Berlin Group auch den Angehörigen der Länderaufsichtsbehörden offensteht.
Die DSK nimmt den Bericht zur Kenntnis.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 25 – Neufassung des Standard-Datenschutzmodells (SDM 3.0)
Mecklenburg-Vorpommern führt in das Thema SDM als Werkzeug für eine risikoadäquate Auswahl und rechtliche Bewertung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen ein und erläutert die Neuerungen des SDM 3.0, insbesondere den sogenannten SDM-Würfel.
Niedersachsen weist darauf hin, dass die Anwendung der SDM Methodik durch den sog. „SDM Würfel“ für Anwender mit Version 3.0 deutlich komplexer wird und verweist hinsichtlich der strategischen Ausrichtung auf Diskussionen im Arbeitskreis Technik und in der Vorkonferenz. Es bestehe die Gefahr, dass kleinere Anwender in der Praxis überfordert werden. Bayern (LDA) betont gute Ergebnisse in der Vollzugspraxis. Schleswig-Holstein ergänzt, dass insbesondere die Bausteine des SDM gut angenommen würden und hier – ähnlich wie dies seit vielen Jahren beim IT-Grundschutz des BSI geschieht – künftig weitere Bausteine erarbeitet werden müssten.
In einer Diskussion über den Empfehlungscharakter wird insgesamt festgestellt, dass das SDM weder für Verantwortliche noch Aufsichtsbehörden ein verbindlicher methodischer Maßstab sei. Weiterhin kann eine Feststellung von Baden-Württemberg im Hinblick auf verpflichtende Anforderungen aus dem SDM 3.0 bei öffentlichen Ausschreibungen in der Diskussion nicht bestätigt werden. Die DSK trifft, bei Ablehnung Baden-Württembergs, folgenden Beschluss:
Die DSK stimmt der aktuellen Version 3.0 des Standard-Datenschutzmodells (SDM) zu.
Das SDM 3.0 wird in deutscher und englischer Sprache veröffentlicht. Die Kosten für die Übersetzung werden nach dem Königsteiner Schlüssel umgelegt.
[16, 1, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 26 – Bericht MS Office 365
Bayern (LDA) berichtet von den im Nachgang der 3. Zwischenkonferenz geführten Gesprächen der Arbeitsgruppe Microsoft Office 365 mit Microsoft und stellt die Ergebnisse und Schlussfolgerungen der Arbeitsgruppe vor. Prüfungsgegenstand sei dabei der Auftragsverarbeitungsvertrag gewesen. Aus Sicht von Microsoft enthält der finale Bericht Geschäftsgeheimnisse. Auf Grund dessen soll eine Zusammenfassung des Berichts veröffentlicht werden.
Nach eingehender Aussprache trifft die DSK einstimmig folgende Festlegung:
- Die DSK nimmt den Bericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ und dessen Zusammenfassung zur Kenntnis.
- Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.
- Für eine vertiefte Bewertung der Gesprächsergebnisse stellt die DSK die beigefügte Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Prof. Ulrich Kelber
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit