2. Zwischenkonferenz 2021
der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder am 16. Juni 2021
- Protokoll -
TOP 01 Begrüßung und Organisatorisches
Die Vorsitzende begrüßt die Teilnehmenden der 2. Zwischenkonferenz 2021 der un- abhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Video- konferenz durchgeführt wird. Sie heißt insbesondere Frau Gayk, die im Mai zur neuen Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen gewählt wurde, in der Runde willkommen.
Im Anschluss stellt die Vorsitzende den geplanten Ablauf der Videokonferenz dar.
Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer per Video an der Konferenz teilnehmen.
Die Vorsitzende kündigt an, dass die fakultativ vorgesehene 3. Zwischenkonferenz am 22. September 2021stattfinden wird. Die Sitzung wird erneut als Videokonferenz durchgeführt werden.
TOP 02 Tagesordnung und Protokoll
Die Vorsitzende stellt die am 15. Juni 2021 versandte finale Tagesordnung vor. Sie schlägt vor, TOP 18 und TOP 19 auf Grund des thematischen Zusammenhangs im Anschluss an TOP 9 zu behandeln. Sie weist außerdem auf den kurzfristig durch das LDA Bayern eingereichten TOP 20 hin. Es gibt keine Einwände gegen die Aufnahme dieses TOPs in die Tagesordnung.
Sachsen bittet darum, TOP 6 erst am Nachmittag zu behandeln.
Hessen möchte TOP 15 vorziehen, dieser soll nach TOP 11 behandelt werden.
LDA Bayern bittet darum, unter TOP 17 (Sonstiges) das am Vortag ergangene EuGH- Urteil betreffend die Befugnisse der Aufsichtsbehörden bei grenzüberschreitender Datenverarbeitung zu behandeln.
Es gibt keine Einwände gegen die vorgeschlagenen Anpassungen, so dass die geänderte Tagesordnung einstimmig angenommen wird.
Über das Protokoll der 101. DSK wurde gemäß Geschäftsordnung in einem Umlaufverfahren (11-2021) abgestimmt. Das Protokoll wurde einstimmig angenommen und wird zeitnah auf der DSK-Homepage veröffentlicht werden.
TOP 03 Informationen zu Umlaufverfahren
Die Vorsitzende stellt fest, dass die Übersicht über die aktuellen Umlaufverfahren am 11. Juni versandt wurde.
Die aktuelle Übersicht wird durch die Konferenz zur Kenntnis genommen.
TOP 04 Bericht aus dem Europäischen Datenschutzausschuss
Die Vorsitzende übergibt an die Berichterstatter BfDI und Hamburg.
Der BfDI berichtet, dass der EDSA seit der letzten DSK einmal getagt hat. Dabei wurden die internen Richtlinien zu Art. 60 Abs. 4 bis 6 DSGVO verabschiedet und Regeln zur Durchführung von Videokonferenzen auf Ebene der Expert Subgroups erstellt. Zudem wurden Verfahrensfragen zu Art. 64 DSGVO (Übersetzungen) geklärt und das Sekretariat hat organisatorische Hinweise zu anstehenden Verfahren nach Art. 65 und 66 DSGVO gegeben.
Hamburg weist auf das aktuelle Eilverfahren nach Art. 66 Abs. 2 DSGVO zu WhatsApp/Facebook hin, welches unter TOP 5 noch behandelt wird.
Frankreich hat für die nächste EDSA-Sitzung einen TOP angemeldet, der das Verhältnis zwischen ePrivacy-RL und DSGVO beim Erlass von Sanktionen betrifft. Für die deutschen Aufsichtsbehörden ist von Interesse, welche Haltung der EDSA hierzu einnehmen wird.
Die Vorsitzende bedankt sich bei den Berichterstattern.
TOP 05 Verfahren nach Art. 66 Abs. 2 DSGVO
Die Vorsitzende führt in den TOP ein, der das Dringlichkeitsverfahren gegen Facebook betrifft. Sie übergibt anschließend an den Berichterstatter Hamburg.
Hamburg berichtet, dass im Mai eine Anordnung nach Art. 66 Abs. 1 DSGVO gegenüber Facebook erlassen wurde, mit der dem Unternehmen untersagt wird, Daten von WhatsApp eigenständig zu verarbeiten. Die Anordnung ist zunächst auf drei Monate befristet und gilt nur in Deutschland. Hamburg hat zwischenzeitlich gem. Art. 66 Abs. 2 DSGVO beim EDSA den Erlass einer endgültigen Maßnahme beantragt. Hierüber steht nun eine Entscheidung des EDSA an. Zuvor wird kurzfristig eine Anhörung von
Facebook und WhatsApp erfolgen. Hamburg bittet die DSK um Unterstützung im weiteren Verfahren.
Die Vorsitzende bedankt sich bei Hamburg für den Bericht.
Der BfDI weist darauf hin, dass sich die Strategic Advisory Expert Subgroup bereits mit den grundsätzlichen Fragen zu Dringlichkeitsverfahren befasst hat, es dabei aber noch nicht zu einer endgültigen Einigung gekommen ist. Eine unbefristete und europaweite Geltung von Maßnahmen nach Art. 66 DSGCO müsse in jedem Fall möglich sein.
Weiter informiert der BfDI darüber, dass er für die EDSA-Sitzung im Juli 2021das Verfahren des Bundeskartellamtes gegen Facebook als TOP anmelden wird, um dort über den aktuellen Stand des Verfahrens zu berichten.
TOP 06 Austausch der Landesbeauftragten für Datenschutz zum Thema „Stellvertretung des Gemeinsamen Vertreters im Europäischen Datenschutzausschuss“ – TOP 5 der 101. DSK
Die Vorsitzende führt in den TOP ein und übergibt dann an Sachsen.
Sachsen erläutert den aktuellen Stand der Angelegenheit.
Die Vorsitzende bedankt sich bei Sachsen für die Berichterstattung und bei Hamburg für die in der Vergangenheit geleistete Arbeit.
TOP 07 Positionierung der DSK zur „Benennung von Rapporteuren für Verfahren nach Art. 64, 65, 66 DSGVO“
Die Vorsitzende führt in den TOP ein. Es soll geklärt werden, wie eine Beteiligung der deutschen Aufsichtsbehörden als Berichterstatter in den Verfahren sichergestellt werden kann. Fehlt die notwendige Anzahl an Rapporteuren für ein Thema, wird dieses im EDSA zurückgestellt, was vermieden werden sollte. Die Vorsitzende übergibt an den BfDI.
Ziel ist es laut BfDI, dass Verfahren zügig abgeschlossen werden können. Dazu sollte die Beteiligung der Berichterstatter in Deutschland besser vorbereitet und abgestimmt werden. Es wird vorgeschlagen, den AK Organisation und Struktur zu beauftragen, hier eine praktikable Lösung zu finden.
Hessen ergänzt, dass sich die Frage der Beteiligung der Aufsichtsbehörden auch in anderen Zusammenhängen stellt. Der Arbeitsauftrag an den AK Organisation und Struktur sollte daher breiter formuliert werden.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Die DSK beauftragt den AK Organisation und Struktur zu klären, ob und ggf. unter welchen Bedingungen eine Beteiligung der deutschen Aufsichtsbehörden als Berichterstatter (Rapporteure) auf europäischer Ebene, zum Beispiel in BCR- Verfahren nach Art. 46 und 47 DSGVO oder in den Verfahren nach Art. 64, 65 und 66 DSGVO, sichergestellt werden kann.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 08 Künftiger Einsatz des IMI-Moduls IWP zur Herstellung gemeinsamer Standpunkte gem. §18 BDSG im Kontext schriftlicher Verfahren des EDSA
Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter Hessen.
Hessen berichtet, dass das Modul getestet wurde und es ausschließlich positive Rück- meldungen gab. Es ist beabsichtigt, dass der AK Organisation und Struktur die endgültige Umstellung auf das Modul begleitet. Auf Wunsch einiger Aufsichtsbehörden soll die Umstellung noch einmal offiziell durch die DSK bestätigt werden.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Im Kontext schriftlicher Verfahren des Europäischen Datenschutzausschusses (EDSA) werden gemeinsame Standpunkte gem. § 18 BDSG künftig über das IMI- Modul Internal Written Procedure (IWP) hergestellt.
Hausintern sind die Prozesse entsprechend zu ändern und der Informationsfluss zu den Hausleitungen sicherzustellen. Der AK Organisation und Struktur wird beauftragt, den Zeitpunkt der Umstellung des bisherigen E-Mail-gestützten Verfahrens auf das IWP unter Berücksichtigung einer Vorlaufzeit zur Klärung von Detailfragen und zur Anpassung der hausinternen Prozesse festzulegen und die Umstellung zu begleiten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 09 Bestimmung des Vorsitzes der Expert Subgroups des EDSA – TOP 19 der 101. DSK
Die Vorsitzende führt in den TOP ein und übergibt an die Berichterstatterin (Berlin). Der TOP war bereits zur 101. DSK angemeldet und wurde aus zeitlichen Gründen vertagt. Inhaltlich geht es um die Frage, ob die Übernahme des Vorsitzes in einer Expert Subgroup durch die DSK analog des Verfahrens zur Übernahme des Vorsitzes eines Arbeitskreises in der DSK zu legitimieren ist.
Die Aufsichtsbehörden diskutieren, ob eine Information und zustimmende Kenntnisnahme durch die DSK angezeigt ist und erörtern die Frage, ob die Geschäftsordnung der DSK eine solche Regelung enthält bzw. ob eine dahingehende Auslegung der Geschäftsordnung möglich ist oder im anderen Falle eine entsprechende Ergänzung der Geschäftsordnung sinnvoll ist.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Der AK DSK 2.0 wird gebeten, in seiner nächsten Sitzung das Zusammenspiel der Arbeit des Europäischen Datenschutzausschusses (EDSA) und der DSK zu erörtern.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Im Übrigen begrüßt die Datenschutzkonferenz ausdrücklich die Bereitschaft Baden- Württembergs, zusammen mit der irischen Aufsichtsbehörde den Vorsitz in der Social Media Expert Subgroup zu übernehmen und wünscht weiterhin viel Erfolg bei dieser Arbeit.
TOP 10 Umlaufverfahren 09-2021- Änderung der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“
Die Vorsitzende führt in den TOP ein und führt aus, dass der AK Technik die Orientierungshilfe mit Blick auf eine Stellungnahme der Bundesrechtsanwaltskammer überarbeitet hatte und diese bereits Gegenstand der 101. DSK war. Aufgrund noch vorzunehmender redaktioneller Änderungen sollte die Änderung der Orientierungshilfe nachfolgend im Umlaufverfahren abgestimmt werden, welches jedoch abgebrochen wurde, da auch Änderungen inhaltlicher Art geltend gemacht wurden und sich diesbezüglich keine Einstimmigkeit abzeichnete. Zwischenzeitlich fand eine weitere Abstimmung verschiedener Aufsichtsbehörden unter Vorsitz von Mecklenburg-Vorpommern statt. Ein überarbeiteter Formulierungsvorschlag wurde mit E-Mail vom 14. Juni 2021 an die Mitglieder der Datenschutzkonferenz versandt.
Berlin bittet um Aufnahme des folgenden weiteren Satzes im Abschnitt 4.2.3. nach dem ersten Satz:
„Erhalten Personen unbefugt Zugang zu den in einer E-Mailnachricht enthaltenen personenbezogenen Daten, stellt dies eine Verletzung des Schutzes personenbezogener Daten dar, die durch technische und organisatorische Maßnahmen (wie individuelle Adressierung und ggfs. Verschlüsselung) zu verhindern ist.“
Die Datenschutzkonferenz beschließt mehrheitlich die Aufnahme des Satzes in die Änderung der Orientierungshilfe.
[8, 5, 4] (Zustimmung, Ablehnung, Enthaltung)
Die Datenschutzkonferenz verabschiedet mehrheitlich die Änderung der Orientierungshilfe in der vorliegenden Fassung.
[16, 1 (Bayern), 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 11 Forderungen zum Beschäftigtendatenschutz für die 20. Legislaturperiode
Die Vorsitzende führt in den TOP ein und erläutert, dass die DSK sich bereits seit Jahren dafür einsetzt, den Beschäftigtendatenschutz in einem eigenen Gesetz zu regeln. Der interdisziplinäre Beirat zum Beschäftigtendatenschutz soll demnächst seinen Abschlussbericht vorlegen. Der BfDI regt im Hinblick darauf eine erneute Entschließung der DSK an. Die Vorsitzende übergibt an den Berichterstatter BfDI. Der BfDI berichtet zum aktuellen Stand der Arbeit des Beirats.
Der BfDI regt an, den AK Beschäftigtendatenschutz damit zu beauftragen, nach Veröffentlichung des Berichts des Beirats eine Position zu den hierin enthaltenen Empfehlungen zu erarbeiten.
Die Teilnehmerinnen und Teilnehmer diskutieren über den Bericht des BfDI.
Es wird vorgeschlagen, den AK Beschäftigtendatenschutz mit der Erarbeitung eines Positionspapiers zum Abschlussbericht des Beirats bis zum Beginn der neuen Legislaturperiode zu beauftragen.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Der AK Beschäftigtendatenschutz wird beauftragt, bis zu Beginn der neuen Legislaturperiode eine Entschließung der DSK vorzubereiten. In dieser Entschließung sollen unter Berücksichtigung der Ergebnisse des Beirats zum Beschäftigtendatenschutz die für die 20. Legislaturperiode wichtigsten offenen Punkte und rechtlichen Fragen im Bereich des Beschäftigtendatenschutzes identifiziert und Lösungen vorgeschlagen werden.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Im Nachgang zur 2. Zwischenkonferenz hat sich der Zeitplan des Beirats Beschäftigtendatenschutz geändert. Mit einer Veröffentlichung des Berichts ist erst zu Beginn der 20. Legislaturperiode zu rechnen. Eine Entschließung der DSK kann dementsprechend erst in der 20. Legislaturperiode vorbereitet werden.
TOP 12 Gemeinsame Publikationsformate der DSK – Top 9 der 101. DSK
Der TOP wird auf die 3. Zwischenkonferenz vertagt.
TOP 13 Datenschutzrechtliche Zuständigkeit für die Steuerfahndung
Der TOP wird auf die 3. Zwischenkonferenz vertagt.
TOP 14 Verarbeitung von Positivdaten durch Auskunfteien
Die Vorsitzende führt in den TOP ein. Im Rahmen der 1. Zwischenkonferenz des Jahres 2021wurde die Festlegung getroffen, dass der AK Auskunfteien und Inkasso beauftragt wird, sich mit dem Thema "Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien“ (DSK-Beschluss vom 11. Juni 2018) erneut zu befassen und der DSK bis zur 2. Zwischenkonferenz am 16. Juni 2021 eine inhaltlich überarbeitete Beschlussvorlage vorzulegen. Eine solche Beschlussvorlage wurde bislang nicht vorgelegt.
Die Vorsitzende übergibt an den Berichterstatter.
Hessen führt aus, dass der TOP zur heutigen Konferenz mit dem Ziel angemeldet wurde, eine Festlegung durch die DSK für das weitere Verfahren zu erreichen. Hierfür soll eine weitere Gelegenheit zur Stellungnahme für Auskunfteien und betroffene Dritte geschaffen und darauf basierend im Anschluss ein Entscheidungsvorschlag für die DSK-Ebene im Rahmen einer Arbeitsgruppe erarbeitet werden.
Die Aufsichtsbehörden diskutieren die Frage, ob eine weitere Gelegenheit zur Äußerung eingeräumt und wie das weitere Verfahren konkret gestaltet werden soll.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Eine Arbeitsgruppe bestehend aus Hessen, Berlin, Nordrhein-Westfalen, Baden- Württemberg und Bayern wird beauftragt, sich mit dem Thema "Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien“ (DSK-Beschluss vom 11. Juni 2018) erneut zu befassen und der DSK bis zur 3. Zwischenkonferenz am 22. September 2021eine Beschlussvorlage vorzulegen.
Hessen wird gebeten, zuvor Verbänden und anderen Interessengruppen eine Gelegenheit zur Abgabe einer schriftlichen Äußerung bis zum 31. August 2021 zu geben.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)]
TOP 15 Umsetzung von Schrems II – Videokonferenzsysteme – TOP 20b der 101. DSK
Die Vorsitzende führt in den TOP ein, der bereits zur 101. DSK angemeldet war und aus zeitlichen Gründen vertagt wurde. Die Vorsitzende übergibt an den Berichterstatter.
Hessen berichtet, dass ergänzend zu den Arbeiten der Task Force Schrems II im Rahmen der aufsichtsbehördlichen Tätigkeit mit Blick auf das Schrems II-Urteil nunmehr verstärkt Datenverarbeitungen innerhalb der Europäischen Union eingefordert und dabei in einem ersten Schritt insbesondere auf die Nutzung datenschutzkonformer Videokonferenzsysteme hingewirkt wird.
Die Aufsichtsbehörden tauschen sich hinsichtlich ihrer Aktivitäten in Ansehung des Schrems II-Urteils aus.
TOP 16 Bericht des Vorsitzes
Die Vorsitzende blickt zurück auf den Austausch verschiedener Aufsichtsbehörden mit Vertretern des Bundesministeriums des Innern, für Bau und Heimat (BMI) und des Bundesministeriums der Justiz und für Verbraucherschutz zur Evaluation des BDSG. Des Weiteren berichtet sie vom „Round Table Datenschutz“ mit dem BMI und dem
Bundesministerium für Wirtschaft und Energie zu Fragen des Internationalen Datentransfers.
TOP 17 Sonstiges
a) AK DSK 0
Sachsen teilt mit, dass am 14. und 15. Juli 2021 eine Präsenzveranstaltung in Berlin stattfinden soll, um die Ergebnisse des AK zu finalisieren.
b) EuGH-Urteil vom Juni 2021
LDA Bayern weist auf den 5. Vorlagepunkt des Urteils hin, das in einem Verfahren der belgischen Datenschutzaufsicht gegen Facebook ergangen ist. Darin räumt der EuGH den Aufsichtsbehörden nach Art. 58 Abs. 5 DSGVO ein Klagerecht gegen Verantwortliche vor nationalen Gerichten ein. Folgt man dieser Auslegung, würden sich die Handlungsmöglichkeiten der Aufsichtsbehörden erweitern. Es ergeben sich aber zahlreiche Fragen. LDA Bayern schlägt daher vor, den AK Grundsatz mit der Auswertung des Urteils zu beauftragen. Denkbar wäre auch, den deutschen Gesetzgeber zu einer Klarstellung aufzufordern.
Hamburg sieht die Klagebefugnis nicht als zentralen Punkt des Urteils, da diese mit Besonderheiten im belgischen Recht zusammenhänge. Es stünden eher die Hinweise zu Dringlichkeitsverfahren im Fokus.
Die Konferenz trifft einstimmig folgende Festlegung:
Die DSK beauftragt den AK Grundsatz, die Auswirkungen der Entscheidung des Europäischen Gerichtshofes (EuGH) vom 15. Juni 2021 (Rs. C-645/19) zu untersuchen und der DSK zu berichten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
c) Befassung des AK Technik mit dem Thema Telefax
Die Vorsitzende berichtet, dass es aktuell Anfragen zur datenschutzrechtlichen Zulässigkeit der Nutzung von Telefax gibt.
Mecklenburg-Vorpommern weist darauf hin, dass im AK Technik eine Unterarbeits- gruppe gebildet wurde, die sich mit der Thematik befassen wird und hierzu eine Orientierungshilfe ausarbeiten soll.
d) Anschreiben an Innenministerkonferenz (IMK)
Die Vorsitzende berichtet von einem Anschreiben aus dem Jahr 2018 an die IMK durch den damaligen DSK-Vorsitz Nordrhein-Westfalen, das Zuständigkeitsregelungen im Bereich der Polizeibehörden betraf. An den Vorsitz wurde die Frage herangetragen, ob hierzu zwischenzeitlich eine Antwort vorliegt. Sofern dies nicht der Fall ist, könnte eine Erinnerung an die IMK erfolgen.
Nordrhein-Westfalen weist darauf hin, dass im Jahr 2019 unter dem Vorsitz von Rheinland-Pfalz bei der IMK nachgefragt wurde. Als Antwort habe man die Auskunft erhalten, dass eine Bund-Länder-Gruppe zu dem Thema eingerichtet worden sei.
Die Vorsitzende wird sich diesbezüglich noch näher mit Rheinland-Pfalz und Nordrhein-Westfalen abstimmen und dann ggf. bei der IMK den Sachstand erfragen.
TOP 18 Aufgaben der Datenschutz-Aufsichtsbehörden gemäß Entwurf der Verordnung zur Künstlichen Intelligenz (KI) / Verbot von bestimmten KI- Verfahren
Die Vorsitzende führt in den TOP ein und führt aus, dass die Technology Expert Subgroup des EDSA derzeit eine Stellungnahme (Opinion) zur geplanten KI-Verordnung erstelle und diese im Rahmen der 50. Sitzung des EDSA am 18. Juni abgestimmt werden soll. Das EDSA-Plenum entscheide insbesondere über zwei Punkte mit jeweils zwei Optionen, über die vorliegend zu beraten sei.
Berlin berichtet über den Vorschlag der Kommission für eine Verordnung zur Regulierung der Künstlichen Intelligenz (KI). Diese treffe Regelungen insbesondere zur Anwendung von KI-Systemen, die mit hohen Risiken verbunden sind. Die vorliegende Stellungnahme des EDSA ist noch in zwei Punkten offen, so sei einerseits über die Frage zu entscheiden, wer auf Ebene der Mitgliedstaaten die Umsetzung der KI-Verordnung kontrolliere bzw. überwache und zum anderen darüber zu befinden, ob und inwiefern die Anwendung biometrischer KI-Systeme verboten werden sollte. Im Rahmen der ersten Frage gehe es im Kern darum, ob die datenschutzrechtlichen Aufsichtsbehörden diese Überwachung im Rahmen einer generellen Marktaufsicht für KI- Systeme übernehmen sollen (Option 1) oder hier ein System der Zusammenarbeit zwischen den Überwachungsbehörden und den Datenschutzaufsichtsbehörden zu entwickeln sei (Option 2)1.
Dabei sei zu berücksichtigen, dass eine etwaige Übernahme der generellen Aufgabe der Marktüberwachung über datenschutzrechtliche Aspekte hinausgeht.
Die beiden Optionen werden eingehend unter den Aufsichtsbehörden diskutiert. Dabei werden sowohl Argumente für als auch gegen eine Übernahme der Marktüberwachung von KI-Systemen vorgebracht.
Die Datenschutzkonferenz trifft mehrheitlich folgende Festlegung:
Der gemeinsame Vertreter der deutschen Aufsichtsbehörden im Europäischen Datenschutzausschuss (EDSA) wird gebeten, bei der Abstimmung zu der Frage, ob die Datenschutz-Aufsichtsbehörden verpflichtend zu Aufsichtsbehörden gemäß KI-Verordnung zu bestimmen sind, für die Option 22 zu stimmen.
[9, 8, 0] (Zustimmung, Ablehnung, Enthaltung)
Die Vorsitzende stellt den zweiten offenen Punkt zur Frage des Verbots von bestimmten KI-Systemen zur Diskussion. Diesbezüglich wird seitens des BfDI, Berlin, Baden-Württemberg und Schleswig-Holstein die Option 1 empfohlen, wonach ein weitgehendes Verbot von biometrischen KI-Systemen in öffentlichen Bereichen, der Kategorisierung von betroffenen Personen sowie der Erkennung von Emotionen zu fordern ist.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Der gemeinsame Vertreter der deutschen Aufsichtsbehörden im Europäischen Datenschutzausschuss (EDSA) wird gebeten, bei der Frage, ob die Anwendung biometrischer KI-Systeme in öffentlichen Bereichen, sowie die Erstellung und Anwendung von KI-Systemen zur Kategorisierung von betroffenen Personen sowie zur Erkennung von Emotionen zu verbieten ist, für die Option 13 zu stimmen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 19 Pressemitteilung zu den neuen Standardvertragsklauseln der Europäischen Kommission
Die Vorsitzende führt in den TOP ein. Es soll eine Pressemitteilung der DSK erstellt werden, die klarstellt, dass bei Verwendung der neuen Standardvertragsklauseln der EU-Kommission dennoch zu prüfen ist, ob weitergehende Maßnahmen gemäß den Empfehlungen des EDSA zu ergreifen sind. Die Task Force Schrems II hat einen Entwurf erarbeitet. Die Vorsitzende übergibt an Berlin als Berichterstatter.
Berlin erläutert zum Hintergrund, dass die Pressemeldung der EU-Kommission zu den neuen Standardvertragsklauseln für die Datenübermittlung in Drittländer missverständlich sei. Es sollte daher durch die DSK klargestellt werden, dass die Verantwort lichen nicht von der Pflicht zur weiteren Prüfung entbunden werden.
Es besteht Einvernehmen darüber, dass eine entsprechende Pressemitteilung der DSK erfolgen soll.
Die Teilnehmerinnen und Teilnehmer erarbeiten auf der Grundlage des vorliegenden Entwurfs den Text für eine Pressemitteilung.
Alle Aufsichtsbehörden stimmen der so erarbeiteten Fassung zu.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Die Vorsitzende schlägt eine Veröffentlichung der Pressemitteilung zunächst auf der Homepage der DSK am 21. Juni 2021 vor, anschließend bei den einzelnen Aufsichtsbehörden. Es gibt keine Einwände.
TOP 20 Fragebogenaktion Pandemiebekämpfung Beschäftigungsverhältnis
Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter LDA Bayern.
LDA Bayern berichtet von zahlreichen Anfragen im Zusammenhang mit Corona-Tests und Impfungen im Beschäftigungsverhältnis. Eventuell sei eine gemeinsame Prüfaktion der Aufsichtsbehörden in diesem sensiblen Bereich sinnvoll. Mit der Vorbereitung könnten der AK Beschäftigtendatenschutz und der AK Gesundheit und Soziales beauftragt werden.
Die Teilnehmerinnen und Teilnehmer diskutieren den Vorschlag des LDA Bayern. Mehrere Aufsichtsbehörden weisen darauf hin, dass für kurzfristige Fragebogenaktionen keine freien Ressourcen verfügbar seien. Zudem sollte der Fokus eher darauf gerichtet sein, den Verantwortlichen Hilfestellungen für die zukünftige Datenverarbeitung zu geben statt mögliche Verstöße zu sanktionieren.
Man verständigt sich darauf, den AK Beschäftigtendatenschutz mit der Erarbeitung einer Hilfestellung zu beauftragen; dabei soll der AK Gesundheit und Soziales eingebunden werden.
Die Konferenz trifft folgende Festlegung:
Die DSK bittet den Arbeitskreis Beschäftigtendatenschutz unter Einbindung des Arbeitskreises Gesundheit und Soziales Hilfestellungen zur datenschutzgerechten Durchführung von Maßnahmen der Pandemiebekämpfung im Beschäftigungsverhältnis vorzubereiten.
[16, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Zum Abschluss der Konferenz verabschiedet die Vorsitzende Herrn Prof. Dr. Caspar, dessen Amtszeit in Kürze endet, und bedankt sich bei ihm für die in den letzten Jahren geleistete Arbeit.
Die Vorsitzende bedankt sich bei den Konferenzteilnehmerinnen und –teilnehmern und verabschiedet sich bis zur nächsten Sitzung.
Monika Grethel
Landesbeauftragte für Datenschutz und Informationsfreiheit
2. Zwischenkonferenz 2021
der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder am 16. Juni 2021
- Protokoll -
TOP 01 Begrüßung und Organisatorisches
Die Vorsitzende begrüßt die Teilnehmenden der 2. Zwischenkonferenz 2021 der un- abhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Video- konferenz durchgeführt wird. Sie heißt insbesondere Frau Gayk, die im Mai zur neuen Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen gewählt wurde, in der Runde willkommen.
Im Anschluss stellt die Vorsitzende den geplanten Ablauf der Videokonferenz dar.
Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer per Video an der Konferenz teilnehmen.
Die Vorsitzende kündigt an, dass die fakultativ vorgesehene 3. Zwischenkonferenz am 22. September 2021stattfinden wird. Die Sitzung wird erneut als Videokonferenz durchgeführt werden.
TOP 02 Tagesordnung und Protokoll
Die Vorsitzende stellt die am 15. Juni 2021 versandte finale Tagesordnung vor. Sie schlägt vor, TOP 18 und TOP 19 auf Grund des thematischen Zusammenhangs im Anschluss an TOP 9 zu behandeln. Sie weist außerdem auf den kurzfristig durch das LDA Bayern eingereichten TOP 20 hin. Es gibt keine Einwände gegen die Aufnahme dieses TOPs in die Tagesordnung.
Sachsen bittet darum, TOP 6 erst am Nachmittag zu behandeln.
Hessen möchte TOP 15 vorziehen, dieser soll nach TOP 11 behandelt werden.
LDA Bayern bittet darum, unter TOP 17 (Sonstiges) das am Vortag ergangene EuGH- Urteil betreffend die Befugnisse der Aufsichtsbehörden bei grenzüberschreitender Datenverarbeitung zu behandeln.
Es gibt keine Einwände gegen die vorgeschlagenen Anpassungen, so dass die geänderte Tagesordnung einstimmig angenommen wird.
Über das Protokoll der 101. DSK wurde gemäß Geschäftsordnung in einem Umlaufverfahren (11-2021) abgestimmt. Das Protokoll wurde einstimmig angenommen und wird zeitnah auf der DSK-Homepage veröffentlicht werden.
TOP 03 Informationen zu Umlaufverfahren
Die Vorsitzende stellt fest, dass die Übersicht über die aktuellen Umlaufverfahren am 11. Juni versandt wurde.
Die aktuelle Übersicht wird durch die Konferenz zur Kenntnis genommen.
TOP 04 Bericht aus dem Europäischen Datenschutzausschuss
Die Vorsitzende übergibt an die Berichterstatter BfDI und Hamburg.
Der BfDI berichtet, dass der EDSA seit der letzten DSK einmal getagt hat. Dabei wurden die internen Richtlinien zu Art. 60 Abs. 4 bis 6 DSGVO verabschiedet und Regeln zur Durchführung von Videokonferenzen auf Ebene der Expert Subgroups erstellt. Zudem wurden Verfahrensfragen zu Art. 64 DSGVO (Übersetzungen) geklärt und das Sekretariat hat organisatorische Hinweise zu anstehenden Verfahren nach Art. 65 und 66 DSGVO gegeben.
Hamburg weist auf das aktuelle Eilverfahren nach Art. 66 Abs. 2 DSGVO zu WhatsApp/Facebook hin, welches unter TOP 5 noch behandelt wird.
Frankreich hat für die nächste EDSA-Sitzung einen TOP angemeldet, der das Verhältnis zwischen ePrivacy-RL und DSGVO beim Erlass von Sanktionen betrifft. Für die deutschen Aufsichtsbehörden ist von Interesse, welche Haltung der EDSA hierzu einnehmen wird.
Die Vorsitzende bedankt sich bei den Berichterstattern.
TOP 05 Verfahren nach Art. 66 Abs. 2 DSGVO
Die Vorsitzende führt in den TOP ein, der das Dringlichkeitsverfahren gegen Facebook betrifft. Sie übergibt anschließend an den Berichterstatter Hamburg.
Hamburg berichtet, dass im Mai eine Anordnung nach Art. 66 Abs. 1 DSGVO gegenüber Facebook erlassen wurde, mit der dem Unternehmen untersagt wird, Daten von WhatsApp eigenständig zu verarbeiten. Die Anordnung ist zunächst auf drei Monate befristet und gilt nur in Deutschland. Hamburg hat zwischenzeitlich gem. Art. 66 Abs. 2 DSGVO beim EDSA den Erlass einer endgültigen Maßnahme beantragt. Hierüber steht nun eine Entscheidung des EDSA an. Zuvor wird kurzfristig eine Anhörung von
Facebook und WhatsApp erfolgen. Hamburg bittet die DSK um Unterstützung im weiteren Verfahren.
Die Vorsitzende bedankt sich bei Hamburg für den Bericht.
Der BfDI weist darauf hin, dass sich die Strategic Advisory Expert Subgroup bereits mit den grundsätzlichen Fragen zu Dringlichkeitsverfahren befasst hat, es dabei aber noch nicht zu einer endgültigen Einigung gekommen ist. Eine unbefristete und europaweite Geltung von Maßnahmen nach Art. 66 DSGCO müsse in jedem Fall möglich sein.
Weiter informiert der BfDI darüber, dass er für die EDSA-Sitzung im Juli 2021das Verfahren des Bundeskartellamtes gegen Facebook als TOP anmelden wird, um dort über den aktuellen Stand des Verfahrens zu berichten.
TOP 06 Austausch der Landesbeauftragten für Datenschutz zum Thema „Stellvertretung des Gemeinsamen Vertreters im Europäischen Datenschutzausschuss“ – TOP 5 der 101. DSK
Die Vorsitzende führt in den TOP ein und übergibt dann an Sachsen.
Sachsen erläutert den aktuellen Stand der Angelegenheit.
Die Vorsitzende bedankt sich bei Sachsen für die Berichterstattung und bei Hamburg für die in der Vergangenheit geleistete Arbeit.
TOP 07 Positionierung der DSK zur „Benennung von Rapporteuren für Verfahren nach Art. 64, 65, 66 DSGVO“
Die Vorsitzende führt in den TOP ein. Es soll geklärt werden, wie eine Beteiligung der deutschen Aufsichtsbehörden als Berichterstatter in den Verfahren sichergestellt werden kann. Fehlt die notwendige Anzahl an Rapporteuren für ein Thema, wird dieses im EDSA zurückgestellt, was vermieden werden sollte. Die Vorsitzende übergibt an den BfDI.
Ziel ist es laut BfDI, dass Verfahren zügig abgeschlossen werden können. Dazu sollte die Beteiligung der Berichterstatter in Deutschland besser vorbereitet und abgestimmt werden. Es wird vorgeschlagen, den AK Organisation und Struktur zu beauftragen, hier eine praktikable Lösung zu finden.
Hessen ergänzt, dass sich die Frage der Beteiligung der Aufsichtsbehörden auch in anderen Zusammenhängen stellt. Der Arbeitsauftrag an den AK Organisation und Struktur sollte daher breiter formuliert werden.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Die DSK beauftragt den AK Organisation und Struktur zu klären, ob und ggf. unter welchen Bedingungen eine Beteiligung der deutschen Aufsichtsbehörden als Berichterstatter (Rapporteure) auf europäischer Ebene, zum Beispiel in BCR- Verfahren nach Art. 46 und 47 DSGVO oder in den Verfahren nach Art. 64, 65 und 66 DSGVO, sichergestellt werden kann.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 08 Künftiger Einsatz des IMI-Moduls IWP zur Herstellung gemeinsamer Standpunkte gem. §18 BDSG im Kontext schriftlicher Verfahren des EDSA
Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter Hessen.
Hessen berichtet, dass das Modul getestet wurde und es ausschließlich positive Rück- meldungen gab. Es ist beabsichtigt, dass der AK Organisation und Struktur die endgültige Umstellung auf das Modul begleitet. Auf Wunsch einiger Aufsichtsbehörden soll die Umstellung noch einmal offiziell durch die DSK bestätigt werden.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Im Kontext schriftlicher Verfahren des Europäischen Datenschutzausschusses (EDSA) werden gemeinsame Standpunkte gem. § 18 BDSG künftig über das IMI- Modul Internal Written Procedure (IWP) hergestellt.
Hausintern sind die Prozesse entsprechend zu ändern und der Informationsfluss zu den Hausleitungen sicherzustellen. Der AK Organisation und Struktur wird beauftragt, den Zeitpunkt der Umstellung des bisherigen E-Mail-gestützten Verfahrens auf das IWP unter Berücksichtigung einer Vorlaufzeit zur Klärung von Detailfragen und zur Anpassung der hausinternen Prozesse festzulegen und die Umstellung zu begleiten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 09 Bestimmung des Vorsitzes der Expert Subgroups des EDSA – TOP 19 der 101. DSK
Die Vorsitzende führt in den TOP ein und übergibt an die Berichterstatterin (Berlin). Der TOP war bereits zur 101. DSK angemeldet und wurde aus zeitlichen Gründen vertagt. Inhaltlich geht es um die Frage, ob die Übernahme des Vorsitzes in einer Expert Subgroup durch die DSK analog des Verfahrens zur Übernahme des Vorsitzes eines Arbeitskreises in der DSK zu legitimieren ist.
Die Aufsichtsbehörden diskutieren, ob eine Information und zustimmende Kenntnisnahme durch die DSK angezeigt ist und erörtern die Frage, ob die Geschäftsordnung der DSK eine solche Regelung enthält bzw. ob eine dahingehende Auslegung der Geschäftsordnung möglich ist oder im anderen Falle eine entsprechende Ergänzung der Geschäftsordnung sinnvoll ist.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Der AK DSK 2.0 wird gebeten, in seiner nächsten Sitzung das Zusammenspiel der Arbeit des Europäischen Datenschutzausschusses (EDSA) und der DSK zu erörtern.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Im Übrigen begrüßt die Datenschutzkonferenz ausdrücklich die Bereitschaft Baden- Württembergs, zusammen mit der irischen Aufsichtsbehörde den Vorsitz in der Social Media Expert Subgroup zu übernehmen und wünscht weiterhin viel Erfolg bei dieser Arbeit.
TOP 10 Umlaufverfahren 09-2021- Änderung der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“
Die Vorsitzende führt in den TOP ein und führt aus, dass der AK Technik die Orientierungshilfe mit Blick auf eine Stellungnahme der Bundesrechtsanwaltskammer überarbeitet hatte und diese bereits Gegenstand der 101. DSK war. Aufgrund noch vorzunehmender redaktioneller Änderungen sollte die Änderung der Orientierungshilfe nachfolgend im Umlaufverfahren abgestimmt werden, welches jedoch abgebrochen wurde, da auch Änderungen inhaltlicher Art geltend gemacht wurden und sich diesbezüglich keine Einstimmigkeit abzeichnete. Zwischenzeitlich fand eine weitere Abstimmung verschiedener Aufsichtsbehörden unter Vorsitz von Mecklenburg-Vorpommern statt. Ein überarbeiteter Formulierungsvorschlag wurde mit E-Mail vom 14. Juni 2021 an die Mitglieder der Datenschutzkonferenz versandt.
Berlin bittet um Aufnahme des folgenden weiteren Satzes im Abschnitt 4.2.3. nach dem ersten Satz:
„Erhalten Personen unbefugt Zugang zu den in einer E-Mailnachricht enthaltenen personenbezogenen Daten, stellt dies eine Verletzung des Schutzes personenbezogener Daten dar, die durch technische und organisatorische Maßnahmen (wie individuelle Adressierung und ggfs. Verschlüsselung) zu verhindern ist.“
Die Datenschutzkonferenz beschließt mehrheitlich die Aufnahme des Satzes in die Änderung der Orientierungshilfe.
[8, 5, 4] (Zustimmung, Ablehnung, Enthaltung)
Die Datenschutzkonferenz verabschiedet mehrheitlich die Änderung der Orientierungshilfe in der vorliegenden Fassung.
[16, 1 (Bayern), 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 11 Forderungen zum Beschäftigtendatenschutz für die 20. Legislaturperiode
Die Vorsitzende führt in den TOP ein und erläutert, dass die DSK sich bereits seit Jahren dafür einsetzt, den Beschäftigtendatenschutz in einem eigenen Gesetz zu regeln. Der interdisziplinäre Beirat zum Beschäftigtendatenschutz soll demnächst seinen Abschlussbericht vorlegen. Der BfDI regt im Hinblick darauf eine erneute Entschließung der DSK an. Die Vorsitzende übergibt an den Berichterstatter BfDI. Der BfDI berichtet zum aktuellen Stand der Arbeit des Beirats.
Der BfDI regt an, den AK Beschäftigtendatenschutz damit zu beauftragen, nach Veröffentlichung des Berichts des Beirats eine Position zu den hierin enthaltenen Empfehlungen zu erarbeiten.
Die Teilnehmerinnen und Teilnehmer diskutieren über den Bericht des BfDI.
Es wird vorgeschlagen, den AK Beschäftigtendatenschutz mit der Erarbeitung eines Positionspapiers zum Abschlussbericht des Beirats bis zum Beginn der neuen Legislaturperiode zu beauftragen.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Der AK Beschäftigtendatenschutz wird beauftragt, bis zu Beginn der neuen Legislaturperiode eine Entschließung der DSK vorzubereiten. In dieser Entschließung sollen unter Berücksichtigung der Ergebnisse des Beirats zum Beschäftigtendatenschutz die für die 20. Legislaturperiode wichtigsten offenen Punkte und rechtlichen Fragen im Bereich des Beschäftigtendatenschutzes identifiziert und Lösungen vorgeschlagen werden.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Im Nachgang zur 2. Zwischenkonferenz hat sich der Zeitplan des Beirats Beschäftigtendatenschutz geändert. Mit einer Veröffentlichung des Berichts ist erst zu Beginn der 20. Legislaturperiode zu rechnen. Eine Entschließung der DSK kann dementsprechend erst in der 20. Legislaturperiode vorbereitet werden.
TOP 12 Gemeinsame Publikationsformate der DSK – Top 9 der 101. DSK
Der TOP wird auf die 3. Zwischenkonferenz vertagt.
TOP 13 Datenschutzrechtliche Zuständigkeit für die Steuerfahndung
Der TOP wird auf die 3. Zwischenkonferenz vertagt.
TOP 14 Verarbeitung von Positivdaten durch Auskunfteien
Die Vorsitzende führt in den TOP ein. Im Rahmen der 1. Zwischenkonferenz des Jahres 2021wurde die Festlegung getroffen, dass der AK Auskunfteien und Inkasso beauftragt wird, sich mit dem Thema "Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien“ (DSK-Beschluss vom 11. Juni 2018) erneut zu befassen und der DSK bis zur 2. Zwischenkonferenz am 16. Juni 2021 eine inhaltlich überarbeitete Beschlussvorlage vorzulegen. Eine solche Beschlussvorlage wurde bislang nicht vorgelegt.
Die Vorsitzende übergibt an den Berichterstatter.
Hessen führt aus, dass der TOP zur heutigen Konferenz mit dem Ziel angemeldet wurde, eine Festlegung durch die DSK für das weitere Verfahren zu erreichen. Hierfür soll eine weitere Gelegenheit zur Stellungnahme für Auskunfteien und betroffene Dritte geschaffen und darauf basierend im Anschluss ein Entscheidungsvorschlag für die DSK-Ebene im Rahmen einer Arbeitsgruppe erarbeitet werden.
Die Aufsichtsbehörden diskutieren die Frage, ob eine weitere Gelegenheit zur Äußerung eingeräumt und wie das weitere Verfahren konkret gestaltet werden soll.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Eine Arbeitsgruppe bestehend aus Hessen, Berlin, Nordrhein-Westfalen, Baden- Württemberg und Bayern wird beauftragt, sich mit dem Thema "Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien“ (DSK-Beschluss vom 11. Juni 2018) erneut zu befassen und der DSK bis zur 3. Zwischenkonferenz am 22. September 2021eine Beschlussvorlage vorzulegen.
Hessen wird gebeten, zuvor Verbänden und anderen Interessengruppen eine Gelegenheit zur Abgabe einer schriftlichen Äußerung bis zum 31. August 2021 zu geben.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)]
TOP 15 Umsetzung von Schrems II – Videokonferenzsysteme – TOP 20b der 101. DSK
Die Vorsitzende führt in den TOP ein, der bereits zur 101. DSK angemeldet war und aus zeitlichen Gründen vertagt wurde. Die Vorsitzende übergibt an den Berichterstatter.
Hessen berichtet, dass ergänzend zu den Arbeiten der Task Force Schrems II im Rahmen der aufsichtsbehördlichen Tätigkeit mit Blick auf das Schrems II-Urteil nunmehr verstärkt Datenverarbeitungen innerhalb der Europäischen Union eingefordert und dabei in einem ersten Schritt insbesondere auf die Nutzung datenschutzkonformer Videokonferenzsysteme hingewirkt wird.
Die Aufsichtsbehörden tauschen sich hinsichtlich ihrer Aktivitäten in Ansehung des Schrems II-Urteils aus.
TOP 16 Bericht des Vorsitzes
Die Vorsitzende blickt zurück auf den Austausch verschiedener Aufsichtsbehörden mit Vertretern des Bundesministeriums des Innern, für Bau und Heimat (BMI) und des Bundesministeriums der Justiz und für Verbraucherschutz zur Evaluation des BDSG. Des Weiteren berichtet sie vom „Round Table Datenschutz“ mit dem BMI und dem
Bundesministerium für Wirtschaft und Energie zu Fragen des Internationalen Datentransfers.
TOP 17 Sonstiges
a) AK DSK 0
Sachsen teilt mit, dass am 14. und 15. Juli 2021 eine Präsenzveranstaltung in Berlin stattfinden soll, um die Ergebnisse des AK zu finalisieren.
b) EuGH-Urteil vom Juni 2021
LDA Bayern weist auf den 5. Vorlagepunkt des Urteils hin, das in einem Verfahren der belgischen Datenschutzaufsicht gegen Facebook ergangen ist. Darin räumt der EuGH den Aufsichtsbehörden nach Art. 58 Abs. 5 DSGVO ein Klagerecht gegen Verantwortliche vor nationalen Gerichten ein. Folgt man dieser Auslegung, würden sich die Handlungsmöglichkeiten der Aufsichtsbehörden erweitern. Es ergeben sich aber zahlreiche Fragen. LDA Bayern schlägt daher vor, den AK Grundsatz mit der Auswertung des Urteils zu beauftragen. Denkbar wäre auch, den deutschen Gesetzgeber zu einer Klarstellung aufzufordern.
Hamburg sieht die Klagebefugnis nicht als zentralen Punkt des Urteils, da diese mit Besonderheiten im belgischen Recht zusammenhänge. Es stünden eher die Hinweise zu Dringlichkeitsverfahren im Fokus.
Die Konferenz trifft einstimmig folgende Festlegung:
Die DSK beauftragt den AK Grundsatz, die Auswirkungen der Entscheidung des Europäischen Gerichtshofes (EuGH) vom 15. Juni 2021 (Rs. C-645/19) zu untersuchen und der DSK zu berichten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
c) Befassung des AK Technik mit dem Thema Telefax
Die Vorsitzende berichtet, dass es aktuell Anfragen zur datenschutzrechtlichen Zulässigkeit der Nutzung von Telefax gibt.
Mecklenburg-Vorpommern weist darauf hin, dass im AK Technik eine Unterarbeits- gruppe gebildet wurde, die sich mit der Thematik befassen wird und hierzu eine Orientierungshilfe ausarbeiten soll.
d) Anschreiben an Innenministerkonferenz (IMK)
Die Vorsitzende berichtet von einem Anschreiben aus dem Jahr 2018 an die IMK durch den damaligen DSK-Vorsitz Nordrhein-Westfalen, das Zuständigkeitsregelungen im Bereich der Polizeibehörden betraf. An den Vorsitz wurde die Frage herangetragen, ob hierzu zwischenzeitlich eine Antwort vorliegt. Sofern dies nicht der Fall ist, könnte eine Erinnerung an die IMK erfolgen.
Nordrhein-Westfalen weist darauf hin, dass im Jahr 2019 unter dem Vorsitz von Rheinland-Pfalz bei der IMK nachgefragt wurde. Als Antwort habe man die Auskunft erhalten, dass eine Bund-Länder-Gruppe zu dem Thema eingerichtet worden sei.
Die Vorsitzende wird sich diesbezüglich noch näher mit Rheinland-Pfalz und Nordrhein-Westfalen abstimmen und dann ggf. bei der IMK den Sachstand erfragen.
TOP 18 Aufgaben der Datenschutz-Aufsichtsbehörden gemäß Entwurf der Verordnung zur Künstlichen Intelligenz (KI) / Verbot von bestimmten KI- Verfahren
Die Vorsitzende führt in den TOP ein und führt aus, dass die Technology Expert Subgroup des EDSA derzeit eine Stellungnahme (Opinion) zur geplanten KI-Verordnung erstelle und diese im Rahmen der 50. Sitzung des EDSA am 18. Juni abgestimmt werden soll. Das EDSA-Plenum entscheide insbesondere über zwei Punkte mit jeweils zwei Optionen, über die vorliegend zu beraten sei.
Berlin berichtet über den Vorschlag der Kommission für eine Verordnung zur Regulierung der Künstlichen Intelligenz (KI). Diese treffe Regelungen insbesondere zur Anwendung von KI-Systemen, die mit hohen Risiken verbunden sind. Die vorliegende Stellungnahme des EDSA ist noch in zwei Punkten offen, so sei einerseits über die Frage zu entscheiden, wer auf Ebene der Mitgliedstaaten die Umsetzung der KI-Verordnung kontrolliere bzw. überwache und zum anderen darüber zu befinden, ob und inwiefern die Anwendung biometrischer KI-Systeme verboten werden sollte. Im Rahmen der ersten Frage gehe es im Kern darum, ob die datenschutzrechtlichen Aufsichtsbehörden diese Überwachung im Rahmen einer generellen Marktaufsicht für KI- Systeme übernehmen sollen (Option 1) oder hier ein System der Zusammenarbeit zwischen den Überwachungsbehörden und den Datenschutzaufsichtsbehörden zu entwickeln sei (Option 2)1.
Dabei sei zu berücksichtigen, dass eine etwaige Übernahme der generellen Aufgabe der Marktüberwachung über datenschutzrechtliche Aspekte hinausgeht.
Die beiden Optionen werden eingehend unter den Aufsichtsbehörden diskutiert. Dabei werden sowohl Argumente für als auch gegen eine Übernahme der Marktüberwachung von KI-Systemen vorgebracht.
Die Datenschutzkonferenz trifft mehrheitlich folgende Festlegung:
Der gemeinsame Vertreter der deutschen Aufsichtsbehörden im Europäischen Datenschutzausschuss (EDSA) wird gebeten, bei der Abstimmung zu der Frage, ob die Datenschutz-Aufsichtsbehörden verpflichtend zu Aufsichtsbehörden gemäß KI-Verordnung zu bestimmen sind, für die Option 22 zu stimmen.
[9, 8, 0] (Zustimmung, Ablehnung, Enthaltung)
Die Vorsitzende stellt den zweiten offenen Punkt zur Frage des Verbots von bestimmten KI-Systemen zur Diskussion. Diesbezüglich wird seitens des BfDI, Berlin, Baden-Württemberg und Schleswig-Holstein die Option 1 empfohlen, wonach ein weitgehendes Verbot von biometrischen KI-Systemen in öffentlichen Bereichen, der Kategorisierung von betroffenen Personen sowie der Erkennung von Emotionen zu fordern ist.
Die Datenschutzkonferenz trifft einstimmig folgende Festlegung:
Der gemeinsame Vertreter der deutschen Aufsichtsbehörden im Europäischen Datenschutzausschuss (EDSA) wird gebeten, bei der Frage, ob die Anwendung biometrischer KI-Systeme in öffentlichen Bereichen, sowie die Erstellung und Anwendung von KI-Systemen zur Kategorisierung von betroffenen Personen sowie zur Erkennung von Emotionen zu verbieten ist, für die Option 13 zu stimmen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 19 Pressemitteilung zu den neuen Standardvertragsklauseln der Europäischen Kommission
Die Vorsitzende führt in den TOP ein. Es soll eine Pressemitteilung der DSK erstellt werden, die klarstellt, dass bei Verwendung der neuen Standardvertragsklauseln der EU-Kommission dennoch zu prüfen ist, ob weitergehende Maßnahmen gemäß den Empfehlungen des EDSA zu ergreifen sind. Die Task Force Schrems II hat einen Entwurf erarbeitet. Die Vorsitzende übergibt an Berlin als Berichterstatter.
Berlin erläutert zum Hintergrund, dass die Pressemeldung der EU-Kommission zu den neuen Standardvertragsklauseln für die Datenübermittlung in Drittländer missverständlich sei. Es sollte daher durch die DSK klargestellt werden, dass die Verantwort lichen nicht von der Pflicht zur weiteren Prüfung entbunden werden.
Es besteht Einvernehmen darüber, dass eine entsprechende Pressemitteilung der DSK erfolgen soll.
Die Teilnehmerinnen und Teilnehmer erarbeiten auf der Grundlage des vorliegenden Entwurfs den Text für eine Pressemitteilung.
Alle Aufsichtsbehörden stimmen der so erarbeiteten Fassung zu.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Die Vorsitzende schlägt eine Veröffentlichung der Pressemitteilung zunächst auf der Homepage der DSK am 21. Juni 2021 vor, anschließend bei den einzelnen Aufsichtsbehörden. Es gibt keine Einwände.
TOP 20 Fragebogenaktion Pandemiebekämpfung Beschäftigungsverhältnis
Die Vorsitzende führt in den TOP ein und übergibt an den Berichterstatter LDA Bayern.
LDA Bayern berichtet von zahlreichen Anfragen im Zusammenhang mit Corona-Tests und Impfungen im Beschäftigungsverhältnis. Eventuell sei eine gemeinsame Prüfaktion der Aufsichtsbehörden in diesem sensiblen Bereich sinnvoll. Mit der Vorbereitung könnten der AK Beschäftigtendatenschutz und der AK Gesundheit und Soziales beauftragt werden.
Die Teilnehmerinnen und Teilnehmer diskutieren den Vorschlag des LDA Bayern. Mehrere Aufsichtsbehörden weisen darauf hin, dass für kurzfristige Fragebogenaktionen keine freien Ressourcen verfügbar seien. Zudem sollte der Fokus eher darauf gerichtet sein, den Verantwortlichen Hilfestellungen für die zukünftige Datenverarbeitung zu geben statt mögliche Verstöße zu sanktionieren.
Man verständigt sich darauf, den AK Beschäftigtendatenschutz mit der Erarbeitung einer Hilfestellung zu beauftragen; dabei soll der AK Gesundheit und Soziales eingebunden werden.
Die Konferenz trifft folgende Festlegung:
Die DSK bittet den Arbeitskreis Beschäftigtendatenschutz unter Einbindung des Arbeitskreises Gesundheit und Soziales Hilfestellungen zur datenschutzgerechten Durchführung von Maßnahmen der Pandemiebekämpfung im Beschäftigungsverhältnis vorzubereiten.
[16, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Zum Abschluss der Konferenz verabschiedet die Vorsitzende Herrn Prof. Dr. Caspar, dessen Amtszeit in Kürze endet, und bedankt sich bei ihm für die in den letzten Jahren geleistete Arbeit.
Die Vorsitzende bedankt sich bei den Konferenzteilnehmerinnen und –teilnehmern und verabschiedet sich bis zur nächsten Sitzung.
Monika Grethel
Landesbeauftragte für Datenschutz und Informationsfreiheit