Toolbar-Menü

Protokoll der 2. Zwischenkonferenz am 16. Juni 2020

2. Zwischenkonferenz

der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Videokonferenz am 16. Juni 2020

- Protokoll -

 

TOP 1 - Begrüßung und Organisatorisches

Der Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 2. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird, und stellt den geplanten Ablauf der Konferenz dar.

Der Vorsitzende stellt fest, dass der BfDI und Aufsichtsbehörden aller Bundesländer entweder per Video oder per Telefon an der Konferenz teilnehmen.

Der Vorsitzende dankt Mecklenburg-Vorpommern für die technische Organisation der Konferenz.

 

TOP 2 - Tagesordnung und Protokoll

Der Vorsitzende verweist auf die allen Teilnehmern zur Verfügung gestellte Tagesordnung.

Das Protokoll der 99. DSK liegt vor. Es wurden Änderungswünsche übermittelt, die der DSK­ Vorsitz einarbeiten wird. Anschließend geht das Protokoll in das Umlaufverfahren.

 

TOP 3 - Information zu Umlaufverfahren der DSK

Eine aktuelle Übersicht der Umlaufverfahren in 2020 wurde den Teilnehmerinnen und Teilnehmern mit E-Mail vom 9. Juni 2020 zur Verfügung gestellt.

Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

TOP 4 - Bericht aus dem Europäischen Datenschutzausschuss (EDSA)

Der BfDI berichtet aus den derzeit wöchentlich stattfindenden Videokonferenzen des EDSA insbesondere zu folgenden Themen:

  • Äußerung des EDSA zum Dekret der ungarischen Regierung zur Aussetzung von Betroffenenrechten nach der DSGVO (siehe: https://edpb.europa.eu/sites/edpb/files/files/file2/edpbstatementart23gdpr 20200602 en.pdf),
  • Zurückweisung der an den EDSA gerichteten Anfrage von Amazon zum Beschäftigten- und Gesundheitsdatenschutz aufgrund der Zuständigkeit der nationalen Aufsichtsbehörden (siehe: https://edpb.europa.eu/sites/edpb/files/files/file1/out2020- 0045edpbreply- amazon covid19.pdf),
  • Verarbeitung personenbezogener Daten zum Zweck der Wiederöffnung der Grenzen insbesondere in Bezug auf die Interoperabilität der Corona-Warn-Apps der einzelnen Länder (siehe: https://edpb.europa.eu/news/news/2020/thirty-second-plenary-ses­ sion-adopted-documents en),
  • Entscheidungen im Kohärenzverfahren zu Standardvertragsklauseln und BCR, Beschluss zum öffentlichen Register für finale Entscheidungen nach Artikel 60 DSGVO auf der EDSA-Webseite (siehe: https://edpb.eu­ ropa.eu/news/news/2020/edpb-publishes-new-register-containin-qone-stop-shop-de­ cisions en),
  • Erteilung eines Mandates an die Subgroup für Gesundheit und Soziales zur Erstellung von Leitlinien zu medizinischer und wissenschaftlicher Forschung,
  • Antworten des EDSA auf verschiedene Briefe, z. B. von NOYB (siehe: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb letter out2020-0050 nyob.pdf) oder von Parlamentariern zu Clearview Al (siehe: https://edpb.europa.eu/s­i tes/edpb/files/files/file1/edpb letter out 2020-0052 facialrecoqnition.pdf), Die Beantwortung des Briefes von NOYB hat im EDSA eine Debatte zum Fortgang der grenzüberschreitenden Verfahren ausgelöst. Es wurden sowohl an der Position von NOYB Kritik geäußert, als auch kritische Fragen zum OSS-Verfahren aufgeworfen.
  • Einrichtung einer Task Force zu TikTok.

Hamburg ergänzt, dass sich durch die enge Taktung im EDSA Abstimmungen innerhalb Deutschlands schwierig gestalten würden. Es gebe keine Anhaltspunkte dafür, dass der EDSA bis zur Sommerpause sein Vorgehen umstellen und auf Normalbetrieb wechseln werde.

In der Diskussion zu Clearview Al sei im EDSA keine Aussage getroffen worden, wer gegen Clearview Al vorgehen wird. Hamburg habe daher ein Verwaltungsverfahren eröffnet, da mangels Sitz von Clearview Al in der EU das OSS-Verfahren nicht greift.

In der Sitzung des EDSA am Nachmittag des 16. Juni 2020 werde der Action Plan der Vorsitzenden des EDSA beraten. Dieser ziele u. a. darauf ab, die Defizite des OSS-Verfahrens und bei der Kontrolle der grenzüberschreitenden Verarbeitung personenbezogener Daten in der EU zu analysieren.

TOP 5 - Bericht der Aufsichtsbehörden zur Verarbeitung personenbezogener Daten bei der Bewältigung der Corona-Pandemi

a. Corona-Warn-App

Der BfDI legt seinen Kenntnisstand zur Corona-Warn-App dar. In den letzten Diskussionen zur App sei es insbesondere um die Frage gegangen, ob eine gesetzliche Grundlage benötigt werde und wie bei Nutzung der App durch Minderjährige die Vorgaben des Artikels 8 DSGVO sichergestellt würden.

Im Anschluss wird der Vorschlag Sachsens für eine Pressemitteilung der DSK zur Corona­ Warn-App diskutiert. Über die geänderte Pressemitteilung wird wie folgt abgestimmt:

[14, 0, 3] (Zustimmung, Ablehnung, Enthaltung]

b. Sonstige Themen

Die Aufsichtsbehörden berichten über ihre Beratungstätigkeiten und aufsichtlichen Maßnahmen zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie. Insbesondere folgende Themen spielten eine Rolle:

  • datenschutzrechtliche Bewertung von Hygieneplänen,
  • Umgang mit Besucherlisten in gastronomischen oder anderen öffentlichen Einrichtungen, damit verbundenen Zutrittsbeschränkungen und die Löschung der in den Besucherlisten erhobenen Daten,
  • Home-Schooling und Umgang mit Schülerdaten durch Lehrkräfte,
  • Einsatz von Videokonferenzsystemen,
  • Bewertung der Corona-Schutz-Verordnung des jeweiligen

  

TOP 6 - Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie

Bayern stellt als Vorsitz des AK Gesundheit und Soziales den Bearbeitungsstand des Positionspapieres zum Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie vor. Der Erstentwurf durch das Vorsitzland sei in den zweiwöchigen Pfingstferien erstellt worden. Überdies seien bereits umfangreiche Abstimmungen durchgeführt worden. Neben den Aufsichtsbehörden, die in diesem Rahmen Stellungnahmen abgegeben haben, gelte der besondere Dank dem Saarland für die sehr substantiierten Änderungsvorschläge. Das Positionspapier habe im AK aufgrund der kurzen Bearbeitungsfrist noch nicht fertiggestellt werden können.

Die DSK müsse davon unabhängig darüber entscheiden, ob es sich bei der Endfassung des Papiers um einen Beschluss oder eine Entschließung handeln soll.

Die DSK trifft folgende Festlegung:

  1. Sie bittet den AK Gesundheit und Soziales bis zum 14. Juli 2020 einen konsolidierten Beschlussentwurf zum Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie vorzulegen.
  2. Der DSK-Vorsitz wird beauftragt, die Entscheidung der DSK zum Beschlussvorschlag im Wege eines Umlaufverfahrens herbeizuführen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung]

Der Vorsitz weist darauf hin, dass die Entscheidung der DSK dann auch die Frage der Veröffentlichung des Beschlusses regelt.

Zur Fertigstellung des Papiers wird LfD Bayern den Entwurfsstand mit den durch das Saarland eingebrachten Änderungen versenden. Bayern bittet darum, in der kommenden Abstim mungsrunde konkrete Formulierungen vorzuschlagen und pro Aufsichtsbehörde nur eine, in tern mit den jeweiligen Vertretern der noch betroffenen Arbeitskreise abgestimmte, Stellungnahme abzugeben.

 

TOP 7 - Einsatz von Videokonferenzsystemen

Mecklenburg-Vorpommern als Vorsitz des AK Technik berichtet, dass für die Fertigstellung des Positionspapiers noch rechtliche und inhaltliche Fragen zu klären seien, so z. B. ob und wie man sich zur Zulässigkeit von Mittschnitten einer Videokonferenz äußert oder ob der Umgang mit Anbietern, die dem US-Cloud-Act unterliegen, angesprochen werden soll.

Die DSK nimmt diesen Bericht zur Kenntnis.

Hamburg kündigt an, dass zum vorliegenden Entwurf des Positionspapiers noch eine Rückmeldung erfolgen werde, um die enthaltenen Positionen weiter zu konkretisieren. Rheinland-Pfalz bittet bei der Bewertung von außereuropäischen Lösungen zu Videokonferenzsystemen zwischen Empfehlungen und elementaren Punkten, die auch sanktionierbar sind, zu unterscheiden.

Die DSK trifft folgende Festlegung:

  1. Der AK Technik wird gebeten, die Arbeiten am Positionspapier Videokonferenzsysteme bis spätestens zur 3. Zwischenkonferenz am 22. September 2020 abzuschließen. 
  1. Der DSK-Vorsitz wird beauftragt, die Beschlussfassung der DSK zum Positionspapier ggf. im Wege eines Umlaufverfahrens herbeizuführen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung]

 

TOP 8 - Standard-Datenschutzmodell, Baustein „Löschen"

Mecklenburg-Vorpommern stellt als Vorsitz des AK Technik den SDM-Baustein „Löschen" und die von Sachsen-Anhalt und Sachsen vorgeschlagenen Änderungen vor.

Der Änderungsvorschlag Sachsens konkretisiert die Bedingungen der Löschung. Die DSK stimmt dem Vorschlag zu, Ziffer 2, Absatz 4, Satz 3 des Bausteins Löschen wie folgt zu fassen:

„Eine Löschung hat zu erfolgen, wenn

  • die Notwendigkeit der Verarbeitung zur Zweckerreichung entfallen ist,
  • eine Einwilligung widerrufen wurde und es keine anderweitige Rechtsgrundlage für die Verarbeitung gibt,
  • ... (wie bisher)"

[15, 0, 2] (Zustimmung, Ablehnung, Enthaltung]

Im Ergebnis der Diskussion zum Änderungsvorschlag Sachsen-Anhalts entscheidet die

DSK, auf Seite 4 des Bausteins Löschen den Absatz

„Das Löschen des Entschlüsselungsschlüssels von verschlüsselt gespeicherten Daten kann in Abhängigkeit vom Risiko (Sensitivität der Daten, Speicherdauer der Daten, die absehbare technische Entwicklung, Verfügungsbereich des Datenzugriffs) eine Maßnahme darstellen, um der Löschverpflichtung gerecht zu werden."

zu streichen.

[9, 7, 1] (Zustimmung, Ablehnung, Enthaltung]

Die DSK stimmt dem Baustein Löschen in der so geänderten Fassung zu

[15, 0, 2] (Zustimmung, Ablehnung, Enthaltung]

Die DSK dankt dem AK Technik und der UAG SDM für ihre Arbeit.

 

TOP 9 - Datenschutzrechtliche Positionierung zu Windows 10

Niedersachsen führt in das Thema ein und stellt die bisherigen Arbeiten und Ergebnisse der ad hoc-AG dar. In den Laboruntersuchungen von Windows 10 Enterprise konnten bei Nutzung der Telemetriestufe Security keine Übermittlungen von Telemetriedaten festgestellt werden. Allerdings sei es zum Aufruf zu setting-win.data.microsoft.com gekommen, dessen Funktion unklar sei und bei der sich die Frage stelle, ob über diese Verbindung seitens Microsoft das Telemetrie-Verhalten beeinflusst werden kann. Aufgrund des insoweit bestehenden Restrisikos schlägt der der DSK vorgelegte Abschlussvermerk vor, diesen Dateiaufruf mit anderen Mitteln zu unterbinden.

Nunmehr habe der BfDI vorgetragen, dass der o. a. Aufruf nicht unterbunden werden könne. Darüber hinaus habe der Bund in seinen eigenen Netzen Telemetriedaten-Übertragungen festgestellt, die aus sogenannter sekundärer Telemetrie stammen.

Der AK Technik möchte diesen Hinweisen nachgehen, sodass in der Konferenz noch kein abschließendes Ergebnis erzielt werden könne.

Unabhängig davon kündigt Niedersachsen an, dass es die bisherigen Erkenntnisse seinen Verantwortlichen zur Verfügung stellen und seiner datenschutzrechtlichen Prüfung von Windows 10 die im vorliegenden Abschlussvermerk dargestellten Maßgaben zugrunde legen werde.

Das LDA Bayern ergänzt, dass eine Videokonferenz mit Microsoft zum Aufruf von settingwin.data stattgefunden habe. Microsoft habe erläutert, dass der Aufruf nicht den Telemetrie­ Server betreffe und daher auf die Übertragung von Telemetriedaten keinen Einfluss habe. Diese Aussagen sollen nunmehr in der Laborumgebung überprüft werden, weshalb der Tagesordnungspunkt noch einmal vertagt werden müsse.

Mehrere Aufsichtsbehörden bitten darum, dass der AK Technik die Prüfungen zu Windows 10 kurzfristig abschließe, ggf. auch unter Hinweis auf Restrisiken. Es solle eine kurzfristige Bewertung der durch den BfDI vorgetragenen neuen Erkenntnisse erfolgen; dazu wird von Seiten des BfDI dem AK-Technik ein Dokument des BSI zur Verfügung gestellt, das neue Informationen zur Telemetriedaten-Übertragung beinhalte und über den Informationsstand der bekannten BSI-SiSyPHuS -Studie hinausgehe. Dieses Dokument, so wird von Seiten des

BfDI auf Bitten des LDA klargestellt, sei auch für eine Veröffentlichung im Rahmen der gesamten Abschlussdokumente geeignet. Die DSK trifft daher folgende Festlegung:

  1. Der AK Technik wird beauftragt, nach Möglichkeit innerhalb von 3 Wochen einen konsolidierten Abschlussvermerk zum datenschutzkonformen Einsatz von Windows 10 vorzulegen. Der Abschlussvermerk soll auch eine Bewertung der durch den BfDI neu vorgetragenen Sachverhalte enthalten.
  2. Der DSK-Vorsitz wird beauftragt, die Entscheidung der DSK zu den Abschlussdokumenten (Laborabschlussbericht und Abschlussvermerk) im Wege eines Umlaufverfahrens herbeizuführen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung]

Der BfDI sagt zu, dem AK Technik bis Ende der 25. KW 2020 das Dokument des BSI zur Verfügung zu stellen.

 

TOP 10 - Entschließung zur digitalen Souveränität

Der BfDI berichtet, dass die Entschließung zur digitalen Souveränität im AK Grundsatz noch nicht fertiggestellt werden konnte. Der jetzige Entwurf sei in seiner Zielrichtung auf die Verantwortlichen ausgerichtet, umfasse aber auch die betroffenen Personen, denn das geforderte Handeln der Verantwortlichen habe positive Auswirkungen für die betroffenen Personen.

Aufgrund der im AK Grundsatz eingegangenen Stellungnahmen zum Entschließungsentwurf und der weiteren Diskussion in der DSK wird ein Meinungsbild darüber eingeholt, ob die Entschließung zur digitalen Souveränität weiter verfolgt werden soll. Die Mehrheit der Aufsichtsbehörden spricht sich für eine Entschließung zur digitalen Souveränität aus.

[11, 3, 3] (Zustimmung, Ablehnung, Enthaltung]

Die DSK bittet daher den AK Grundsatz, unter Beteiligung des AK Technik und des AK Verwaltung bis spätestens zur 3. Zwischenkonferenz am 22. September 2020 einen konsolidier ten Entschließungsentwurf zur Digitalen Souveränität vorzulegen.

[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung]

 

TOP 11 - Bericht aus der AG Digitale Souveränität des IT Planungsrates

Niedersachsen berichtet aus der AG Cloud-Computing und Digitale Souveränität des IT Planungsrates {AG Cloud). Im Frühjahr 2020 sei durch die AG Cloud bekanntermaßen das Eckpunktepapier „Stärkung der Digitalen Souveränität der öffentlichen Verwaltung; Eckpunkte - Ziel und Handlungsfelder" beschlossen worden.

Zur weiteren Umsetzung der erforderlichen Konzepte und Maßnahmen habe der IT Planungsrats festgestellt, dass eine neue Arbeitsstruktur erforderlich ist, die am 24. Juni 2020 beschlossen werden soll. Die AG Cloud werde künftig drei Unterarbeitsgruppen ausbilden, die sich mit den Themen Technik und Betrieb, Beschaffung und Compliance {bezieht sich insbesondere auf die beschaffungsrechtlichen Vorgaben) sowie Kommunikation befassen werden.

In der Unterarbeitsgruppe Technik und Betrieb wird die DSK durch den AK Technik vertreten sein. Als konkrete Aufgaben seien vorgesehen

  • Umsetzung von Anforderungen Digitaler Souveränität,
  • Ausarbeitung von Technik und Architektur (insb. Cloud & Container},
  • Definition von Standards und Schnittstellen,
  • Austausch und Synchronisierung mit vergleichbaren Vorhaben (z.B. GAIA-X}, Ausgestaltung des Betriebs gemeinsamer Lösungen.

Im IT Planungsrat werden insbesondere folgende weitere Papiere erstellt:

  • Anforderungskatalog zur Stärkung der digitalen Souveränität für die IT der öffentlichen Verwaltung,
  • technisch-strategische Lösungsskizze für Cloud-Lösungen für die öffentliche Verwaltung.

Die DSK nimmt den Bericht zur Kenntnis und dankt den Vertretern der DSK im IT Planungsrat.

 

TOP 12 - Begleitung der Umsetzung des Onlinezugangsgesetzes durch die DSK

Brandenburg stellt den Beschlussvorschlag des AK Verwaltung zur Begleitung der Umsetzung des OZG durch die DSK vor und weist darauf hin, dass der Beschlussvorschlag im AK Verwaltung nicht abschließend abgestimmt werden konnte.

Insbesondere wird die Erforderlichkeit eines umfassenderen Informationsaustausches zwischen den Aufsichtsbehörden dargelegt. Der AK Verwaltung schlägt daher vor allem ein intensiveres und standardisiertes Berichtswesen vor.

Bremen stellt dar, dass es bislang, auch mangels Ressourcen, nicht bei der Umsetzung des OZG mitgewirkt habe und daher ein umfassendes Berichtswesen nicht als zweckdienlich ansehe. Niedersachsen sei zwar grundsätzlich in die OZG-Umsetzung eingebunden, führe aber bislang keine umfangreichen Prüfungen durch. Daher komme es für eine Zustimmung insbesondere zu den Ziffern 1 und 2 des Beschlussvorschlags auf die konkrete Berichtstiefe an. Rheinland-Pfalz und Bayern weisen ebenfalls auf mangelnde Ressourcen hin, weshalb die Vorschläge des AK Verwaltung nicht umgesetzt werden könnten. Ggf. könnte ein weniger formales Berichtswesen vorgesehen werden. Ein formales Verfahren zur gegenseitigen Anerkennung der datenschutzrechtlichen Prüfungen einzelner OZG-Verfahren durch die Aufsichtsbehörden sei bislang nicht etabliert. Es sei unklar, wie ein solches Verfahren ablaufen könne. Es werde daher angeregt, dass der AK Verwaltung das Papier noch einmal überarbeitet und konkrete Festlegungen formuliert, über die die DSK beschließen könne, und diese im AK Verwaltung zuvor abstimmt.

Sachsen-Anhalt weist auf die Ziffern 4 und 5 des Beschlussvorschlags hin und unterstützt den von Mecklenburg-Vorpommern schon einmal eingebrachten Hinweis, dass Kontakt mit FITKO und dem BMI aufgenommen werden solle. Ziel müsse es sein, den Umsetzungsstand für die einzelnen Maßnahmen, dabei insbesondere auch für die zentralen Verfahren, wie z. B. die Portallösungen, zu erfahren. Außerdem müsse geklärt werden, was in der datenschutzrechtlichen Beurteilung der OZG-Verfahren von den Aufsichtsbehörden erwartet wird. Brandenburg erwidert hierzu, dass der Kontakt zu FITKO und BMI bereits hergestellt worden sei.

Niedersachsen merkt zu den Ziffern 4 und 5 des Entscheidungsvorschlags an, dass, soweit es um Konzepte zu Mindestanforderungen an die datenschutzrechtlichen Prüfungen geht, das SDM genutzt werden sollte.

Der BfDI weist darauf hin, dass die Umsetzung des OZG im Konjunkturpaket des Bundes eine Rolle spiele. Es würden zusätzliche finanzielle Mittel für Kommunen und Länder zur Umsetzung des OZG bereitstellt werden. Außerdem wird im Konjunkturpaket die Modernisierung der vorhandenen Register festgeschrieben und es sei zu erwarten, dass diese verstärkt vorangetrieben werden.

Im Ergebnis der Diskussion bittet die DSK den AK Verwaltung, spätestens bis zur 3. Zwischenkonferenz am 22. September 2020 einen Festlegungsentwurf zur Begleitung der Umsetzung des OZG durch die DSK vorzulegen.

[15, 2, 0] (Zustimmung, Ablehnung, Enthaltung]

 

TOP 13 - Künftige Zusammenarbeit der deutschen Datenschutzaufsichtsbehörden - DSK 2.0

Der Vorsitzende nimmt Bezug auf die vorliegende TOP-Anmeldung und stellt Hintergründe und Ziele des Tagesordnungspunktes vor. In einer ersten Sitzung sollte sich der vorgeschlagene Arbeitskreis auf die Themen verständigen, die bearbeitet werden sollen. Mögliche Themen könnten beispielsweise das Verfahren zur Wahl des Stellvertreters des gemeinsamen Vertreters im EDSA (Ländervertreter) oder das Einrichten einer DSK-Geschäftsstelle sein.

Der BfDI unterstützt den Vorschlag des Vorsitzenden. Er regt ergänzend zum vorliegenden Festlegungsentwurf an, einen Zeitplan für den Abschluss der Arbeiten des neuen AK aufzunehmen. Ziel sollte es sein, bis zur ersten Zwischenkonferenz 2021 einen ersten Bericht zu den Arbeitsergebnissen vorzulegen. Bis zur 101. DSK sollten die Arbeiten abgeschlossen werden.

Neben dem BfDI signalisieren Berlin, der BaylfD, Rheinland-Pfalz und Brandenburg be­ reits ihre Bereitschaft zur Mitarbeit.

Hamburg spricht sich gegen die geplante Evaluierung der Arbeit der DSK aus und regt vielmehr eine Stellungnahme an, die sich deutlich gegen Zentralisierungsgedanken der Datenschutzaufsicht im nicht-öffentlichen Bereich ausspricht.

Rheinland-Pfalz regt an, den Evaluationsbericht der EU-Kommission auszuwerten und ggf. zum Anlass zu nehmen, die gute Arbeit der deutschen Aufsichtsbehörden darzustellen.

Im Ergebnis der Diskussion trifft die DSK folgende Festlegung.

  1. Die DSK richtet einen Arbeitskreis DSK 2.0 auf Leitungsebene der Aufsichtsbehörden ein, der die derzeitige Zusammenarbeit der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder einschließlich der Arbeitsweise der DSK evaluiert und ggf. Vorschläge für eine Neugestaltung erarbeitet.
  2. Der AK DSK 2.0 soll bis zur ersten Zwischenkonferenz 2021 einen Vorbericht vorlegen und seine Arbeiten bis zur 101. Datenschutzkonferenz abschließen. 
  1. Der DSK-Vorsitz wird gebeten, zu einer ersten Sitzung des AK DSK 2.0 einzuladen.

    [15, 0, 1] (Zustimmung, Ablehnung, Enthaltung]

TOP 14 - Umgang mit dem offenen Brief der NOYB vom 25. Mai 2020 zum Thema Beschwerdebearbeitung durch die Datenschutzaufsichtsbehörden

Niedersachsen zieht den TOP zurück, da der offene Brief der NOYB bereits unter TOP 4 angesprochen wurde.

 

TOP 15 - Technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich

Der BfDI berichtet, dass die Überarbeitung des White Paper zu den technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich noch andauert. Ziel sei es, das Thema bis zur 100. DSK abzuschließen.

Davon unabhängig sollte der UAK Digitalisierung im Gesundheitswesen prüfen, ob zu der Frage eines allgemeinen Messengers im Gesundheitswesen noch eine Entschließung erarbeitet werden soll. Sofern es dazu komme, sollte der Entwurf bis zur 100. DSK vorliegen.

 

TOP 16 - Bericht der Task Force „Facebook Fanpages"

a) Bericht der Task Force

Schleswig-Holstein berichtet, dass die in der Task Force behandelten Fragen der Rechtmäßigkeit der Verarbeitung  personenbezogener Daten im Rahmen der Facebook  Fanpages und der gemeinsamen Verantwortung in eine Leitlinie der Social Media Subgroup eingeflossen seien. Diese Leitlinie soll im Juli 2020 in das EDSA-Planum eingebracht werden. Auf Nachfrage Niedersachsens ergänzt Schleswig-Holstein, dass in den genannten Leitlinien nur die allgemeinen Rechtsfragen im Zusammenhang mit der Nutzung derartiger Social-Media-Angebote behandelt werden. Bislang seien konkrete Fragen zum Facebook-lnsight­Dienst oder die Addenden nicht in den EDSA bzw. die Subgroup eingebracht worden. Dies entspräche dem Vorschlag der Task Force und könne noch nachgeholt werden.

Berlin berichtet über das Vorgehen gegenüber Verantwortlichen, die Facebook-Fanpages betreiben.

b)     Rechtsgrundlage für die Öffentlichkeitsarbeit von Behörden in sozialen Netzwerken

Im Ergebnis der Diskussion zieht der Vorsitzende den TOP zurück.

 

TOP 17 - Bericht des DSK-Vorsitzenden

Der Vorsitzende berichtet über die Aufforderung der Staatskanzlei des Landes Nordrhein­ Westfalen, zu Änderungen am Entwurf des Staatsvertrages zur Neuregulierung des Glücksspielwesens in Deutschland Stellung zu nehmen. Eine Stellungnahme wird bis zum 20. Juli 2020 erwartet. In diesem Fall wird Sachsen die eingegangenen Unterlagen prüfen, ggf. eine  Stellungnahme erarbeiten und diese vorab der DSK zur Kenntnis geben.

Das Verfahren zum Staatsvertrag zur Neuregulierung des Glücksspielwesens zeige, dass die DSK eine generelle Regelung zur Zuständigkeit bei Staatsverträgen benötigt. Der durch den Vorsitzenden skizzierte Vorschlag findet Unterstützung, so dass die DSK folgendes festlegt:

  1. Die Zuständigkeit für die Befassung mit bundesweit geltenden Staatsverträgen liegt beim DSK-Vorsitz. Dieser koordiniert die Befassung mit dem Staatsvertrag durch den/die fachlich zuständigen Arbeitskreis/e der DSK oder einer besonders fachkundigen Aufsichtsbehörde oder übernimmt die Befassung selbst.
  2. Der DSK-Vorsitz wird beauftragt, die Konferenz der Ministerpräidenten über diese Festlegung zu informieren und darum zu bitten, Anfragen zu bundesweit geltenden Staatsverträgen künftig an den jeweiligen DSK-Vorsitz zu senden. 

[16, 0, 0] (Zustimmung, Ablehnung, Enthaltung]

Die weiteren in der Tagesordnung angesprochenen Punkte (Umgang mit Ziffer 3 der Festlegung zu TOP 24 der 97. DSK; Anfrage der Redaktion netzpolitik.org zur regelmäßigen Veröf fentlichung von DSGVO-Kennzahlen) können aus zeitlichen Gründen nicht mehr behandelt werden. Der DSK-Vorsitz prüft, inwieweit sich Umlaufverfahren anbieten.

 

TOP 18 - Sonstiges

Der BfDI informiert über ein Eckpunktepapier des BMWI zum Thema „Überbrückungshilfen für kleine und mittlere Unternehmen zur Bewältigung der Corona-Krise". Der BfDI sei um datenschutzrechtliche Prüfung gebeten worden, habe insoweit aber auf die Aufsichtsbehörden der Länder verwiesen, da es beispielsweise um Einzelfragen zu Antragsmodalitäten und sonstige technisch-organisatorische Maßnahmen ging.

 

TOP 19 - Aufteilung des Vorsitzes für den Arbeitskreis „Medien" der DSK

Das LDA Bayern führt in den TOP ein.

Die DSK beschließt, dass der Co-Vorsitz des AK Medien vom LDA Bayern auf den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit übergeht.

[15, 0, 1] (Zustimmung, Ablehnung, Enthaltung]


Der Vorsitzende dankt dem LDA Bayern für die bisher geleistete Arbeit und wünscht Hamburg für die neue Aufgabe viel Erfolg.

Andreas Schurig
Sächsischer Datenschutzbeauftragter

2. Zwischenkonferenz

der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Videokonferenz am 16. Juni 2020

- Protokoll -

 

TOP 1 - Begrüßung und Organisatorisches

Der Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 2. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird, und stellt den geplanten Ablauf der Konferenz dar.

Der Vorsitzende stellt fest, dass der BfDI und Aufsichtsbehörden aller Bundesländer entweder per Video oder per Telefon an der Konferenz teilnehmen.

Der Vorsitzende dankt Mecklenburg-Vorpommern für die technische Organisation der Konferenz.

 

TOP 2 - Tagesordnung und Protokoll

Der Vorsitzende verweist auf die allen Teilnehmern zur Verfügung gestellte Tagesordnung.

Das Protokoll der 99. DSK liegt vor. Es wurden Änderungswünsche übermittelt, die der DSK­ Vorsitz einarbeiten wird. Anschließend geht das Protokoll in das Umlaufverfahren.

 

TOP 3 - Information zu Umlaufverfahren der DSK

Eine aktuelle Übersicht der Umlaufverfahren in 2020 wurde den Teilnehmerinnen und Teilnehmern mit E-Mail vom 9. Juni 2020 zur Verfügung gestellt.

Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

TOP 4 - Bericht aus dem Europäischen Datenschutzausschuss (EDSA)

Der BfDI berichtet aus den derzeit wöchentlich stattfindenden Videokonferenzen des EDSA insbesondere zu folgenden Themen:

  • Äußerung des EDSA zum Dekret der ungarischen Regierung zur Aussetzung von Betroffenenrechten nach der DSGVO (siehe: https://edpb.europa.eu/sites/edpb/files/files/file2/edpbstatementart23gdpr 20200602 en.pdf),
  • Zurückweisung der an den EDSA gerichteten Anfrage von Amazon zum Beschäftigten- und Gesundheitsdatenschutz aufgrund der Zuständigkeit der nationalen Aufsichtsbehörden (siehe: https://edpb.europa.eu/sites/edpb/files/files/file1/out2020- 0045edpbreply- amazon covid19.pdf),
  • Verarbeitung personenbezogener Daten zum Zweck der Wiederöffnung der Grenzen insbesondere in Bezug auf die Interoperabilität der Corona-Warn-Apps der einzelnen Länder (siehe: https://edpb.europa.eu/news/news/2020/thirty-second-plenary-ses­ sion-adopted-documents en),
  • Entscheidungen im Kohärenzverfahren zu Standardvertragsklauseln und BCR, Beschluss zum öffentlichen Register für finale Entscheidungen nach Artikel 60 DSGVO auf der EDSA-Webseite (siehe: https://edpb.eu­ ropa.eu/news/news/2020/edpb-publishes-new-register-containin-qone-stop-shop-de­ cisions en),
  • Erteilung eines Mandates an die Subgroup für Gesundheit und Soziales zur Erstellung von Leitlinien zu medizinischer und wissenschaftlicher Forschung,
  • Antworten des EDSA auf verschiedene Briefe, z. B. von NOYB (siehe: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb letter out2020-0050 nyob.pdf) oder von Parlamentariern zu Clearview Al (siehe: https://edpb.europa.eu/s­i tes/edpb/files/files/file1/edpb letter out 2020-0052 facialrecoqnition.pdf), Die Beantwortung des Briefes von NOYB hat im EDSA eine Debatte zum Fortgang der grenzüberschreitenden Verfahren ausgelöst. Es wurden sowohl an der Position von NOYB Kritik geäußert, als auch kritische Fragen zum OSS-Verfahren aufgeworfen.
  • Einrichtung einer Task Force zu TikTok.

Hamburg ergänzt, dass sich durch die enge Taktung im EDSA Abstimmungen innerhalb Deutschlands schwierig gestalten würden. Es gebe keine Anhaltspunkte dafür, dass der EDSA bis zur Sommerpause sein Vorgehen umstellen und auf Normalbetrieb wechseln werde.

In der Diskussion zu Clearview Al sei im EDSA keine Aussage getroffen worden, wer gegen Clearview Al vorgehen wird. Hamburg habe daher ein Verwaltungsverfahren eröffnet, da mangels Sitz von Clearview Al in der EU das OSS-Verfahren nicht greift.

In der Sitzung des EDSA am Nachmittag des 16. Juni 2020 werde der Action Plan der Vorsitzenden des EDSA beraten. Dieser ziele u. a. darauf ab, die Defizite des OSS-Verfahrens und bei der Kontrolle der grenzüberschreitenden Verarbeitung personenbezogener Daten in der EU zu analysieren.

TOP 5 - Bericht der Aufsichtsbehörden zur Verarbeitung personenbezogener Daten bei der Bewältigung der Corona-Pandemi

a. Corona-Warn-App

Der BfDI legt seinen Kenntnisstand zur Corona-Warn-App dar. In den letzten Diskussionen zur App sei es insbesondere um die Frage gegangen, ob eine gesetzliche Grundlage benötigt werde und wie bei Nutzung der App durch Minderjährige die Vorgaben des Artikels 8 DSGVO sichergestellt würden.

Im Anschluss wird der Vorschlag Sachsens für eine Pressemitteilung der DSK zur Corona­ Warn-App diskutiert. Über die geänderte Pressemitteilung wird wie folgt abgestimmt:

[14, 0, 3] (Zustimmung, Ablehnung, Enthaltung]

b. Sonstige Themen

Die Aufsichtsbehörden berichten über ihre Beratungstätigkeiten und aufsichtlichen Maßnahmen zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie. Insbesondere folgende Themen spielten eine Rolle:

  • datenschutzrechtliche Bewertung von Hygieneplänen,
  • Umgang mit Besucherlisten in gastronomischen oder anderen öffentlichen Einrichtungen, damit verbundenen Zutrittsbeschränkungen und die Löschung der in den Besucherlisten erhobenen Daten,
  • Home-Schooling und Umgang mit Schülerdaten durch Lehrkräfte,
  • Einsatz von Videokonferenzsystemen,
  • Bewertung der Corona-Schutz-Verordnung des jeweiligen

  

TOP 6 - Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie

Bayern stellt als Vorsitz des AK Gesundheit und Soziales den Bearbeitungsstand des Positionspapieres zum Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie vor. Der Erstentwurf durch das Vorsitzland sei in den zweiwöchigen Pfingstferien erstellt worden. Überdies seien bereits umfangreiche Abstimmungen durchgeführt worden. Neben den Aufsichtsbehörden, die in diesem Rahmen Stellungnahmen abgegeben haben, gelte der besondere Dank dem Saarland für die sehr substantiierten Änderungsvorschläge. Das Positionspapier habe im AK aufgrund der kurzen Bearbeitungsfrist noch nicht fertiggestellt werden können.

Die DSK müsse davon unabhängig darüber entscheiden, ob es sich bei der Endfassung des Papiers um einen Beschluss oder eine Entschließung handeln soll.

Die DSK trifft folgende Festlegung:

  1. Sie bittet den AK Gesundheit und Soziales bis zum 14. Juli 2020 einen konsolidierten Beschlussentwurf zum Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie vorzulegen.
  2. Der DSK-Vorsitz wird beauftragt, die Entscheidung der DSK zum Beschlussvorschlag im Wege eines Umlaufverfahrens herbeizuführen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung]

Der Vorsitz weist darauf hin, dass die Entscheidung der DSK dann auch die Frage der Veröffentlichung des Beschlusses regelt.

Zur Fertigstellung des Papiers wird LfD Bayern den Entwurfsstand mit den durch das Saarland eingebrachten Änderungen versenden. Bayern bittet darum, in der kommenden Abstim mungsrunde konkrete Formulierungen vorzuschlagen und pro Aufsichtsbehörde nur eine, in tern mit den jeweiligen Vertretern der noch betroffenen Arbeitskreise abgestimmte, Stellungnahme abzugeben.

 

TOP 7 - Einsatz von Videokonferenzsystemen

Mecklenburg-Vorpommern als Vorsitz des AK Technik berichtet, dass für die Fertigstellung des Positionspapiers noch rechtliche und inhaltliche Fragen zu klären seien, so z. B. ob und wie man sich zur Zulässigkeit von Mittschnitten einer Videokonferenz äußert oder ob der Umgang mit Anbietern, die dem US-Cloud-Act unterliegen, angesprochen werden soll.

Die DSK nimmt diesen Bericht zur Kenntnis.

Hamburg kündigt an, dass zum vorliegenden Entwurf des Positionspapiers noch eine Rückmeldung erfolgen werde, um die enthaltenen Positionen weiter zu konkretisieren. Rheinland-Pfalz bittet bei der Bewertung von außereuropäischen Lösungen zu Videokonferenzsystemen zwischen Empfehlungen und elementaren Punkten, die auch sanktionierbar sind, zu unterscheiden.

Die DSK trifft folgende Festlegung:

  1. Der AK Technik wird gebeten, die Arbeiten am Positionspapier Videokonferenzsysteme bis spätestens zur 3. Zwischenkonferenz am 22. September 2020 abzuschließen. 
  1. Der DSK-Vorsitz wird beauftragt, die Beschlussfassung der DSK zum Positionspapier ggf. im Wege eines Umlaufverfahrens herbeizuführen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung]

 

TOP 8 - Standard-Datenschutzmodell, Baustein „Löschen"

Mecklenburg-Vorpommern stellt als Vorsitz des AK Technik den SDM-Baustein „Löschen" und die von Sachsen-Anhalt und Sachsen vorgeschlagenen Änderungen vor.

Der Änderungsvorschlag Sachsens konkretisiert die Bedingungen der Löschung. Die DSK stimmt dem Vorschlag zu, Ziffer 2, Absatz 4, Satz 3 des Bausteins Löschen wie folgt zu fassen:

„Eine Löschung hat zu erfolgen, wenn

  • die Notwendigkeit der Verarbeitung zur Zweckerreichung entfallen ist,
  • eine Einwilligung widerrufen wurde und es keine anderweitige Rechtsgrundlage für die Verarbeitung gibt,
  • ... (wie bisher)"

[15, 0, 2] (Zustimmung, Ablehnung, Enthaltung]

Im Ergebnis der Diskussion zum Änderungsvorschlag Sachsen-Anhalts entscheidet die

DSK, auf Seite 4 des Bausteins Löschen den Absatz

„Das Löschen des Entschlüsselungsschlüssels von verschlüsselt gespeicherten Daten kann in Abhängigkeit vom Risiko (Sensitivität der Daten, Speicherdauer der Daten, die absehbare technische Entwicklung, Verfügungsbereich des Datenzugriffs) eine Maßnahme darstellen, um der Löschverpflichtung gerecht zu werden."

zu streichen.

[9, 7, 1] (Zustimmung, Ablehnung, Enthaltung]

Die DSK stimmt dem Baustein Löschen in der so geänderten Fassung zu

[15, 0, 2] (Zustimmung, Ablehnung, Enthaltung]

Die DSK dankt dem AK Technik und der UAG SDM für ihre Arbeit.

 

TOP 9 - Datenschutzrechtliche Positionierung zu Windows 10

Niedersachsen führt in das Thema ein und stellt die bisherigen Arbeiten und Ergebnisse der ad hoc-AG dar. In den Laboruntersuchungen von Windows 10 Enterprise konnten bei Nutzung der Telemetriestufe Security keine Übermittlungen von Telemetriedaten festgestellt werden. Allerdings sei es zum Aufruf zu setting-win.data.microsoft.com gekommen, dessen Funktion unklar sei und bei der sich die Frage stelle, ob über diese Verbindung seitens Microsoft das Telemetrie-Verhalten beeinflusst werden kann. Aufgrund des insoweit bestehenden Restrisikos schlägt der der DSK vorgelegte Abschlussvermerk vor, diesen Dateiaufruf mit anderen Mitteln zu unterbinden.

Nunmehr habe der BfDI vorgetragen, dass der o. a. Aufruf nicht unterbunden werden könne. Darüber hinaus habe der Bund in seinen eigenen Netzen Telemetriedaten-Übertragungen festgestellt, die aus sogenannter sekundärer Telemetrie stammen.

Der AK Technik möchte diesen Hinweisen nachgehen, sodass in der Konferenz noch kein abschließendes Ergebnis erzielt werden könne.

Unabhängig davon kündigt Niedersachsen an, dass es die bisherigen Erkenntnisse seinen Verantwortlichen zur Verfügung stellen und seiner datenschutzrechtlichen Prüfung von Windows 10 die im vorliegenden Abschlussvermerk dargestellten Maßgaben zugrunde legen werde.

Das LDA Bayern ergänzt, dass eine Videokonferenz mit Microsoft zum Aufruf von settingwin.data stattgefunden habe. Microsoft habe erläutert, dass der Aufruf nicht den Telemetrie­ Server betreffe und daher auf die Übertragung von Telemetriedaten keinen Einfluss habe. Diese Aussagen sollen nunmehr in der Laborumgebung überprüft werden, weshalb der Tagesordnungspunkt noch einmal vertagt werden müsse.

Mehrere Aufsichtsbehörden bitten darum, dass der AK Technik die Prüfungen zu Windows 10 kurzfristig abschließe, ggf. auch unter Hinweis auf Restrisiken. Es solle eine kurzfristige Bewertung der durch den BfDI vorgetragenen neuen Erkenntnisse erfolgen; dazu wird von Seiten des BfDI dem AK-Technik ein Dokument des BSI zur Verfügung gestellt, das neue Informationen zur Telemetriedaten-Übertragung beinhalte und über den Informationsstand der bekannten BSI-SiSyPHuS -Studie hinausgehe. Dieses Dokument, so wird von Seiten des

BfDI auf Bitten des LDA klargestellt, sei auch für eine Veröffentlichung im Rahmen der gesamten Abschlussdokumente geeignet. Die DSK trifft daher folgende Festlegung:

  1. Der AK Technik wird beauftragt, nach Möglichkeit innerhalb von 3 Wochen einen konsolidierten Abschlussvermerk zum datenschutzkonformen Einsatz von Windows 10 vorzulegen. Der Abschlussvermerk soll auch eine Bewertung der durch den BfDI neu vorgetragenen Sachverhalte enthalten.
  2. Der DSK-Vorsitz wird beauftragt, die Entscheidung der DSK zu den Abschlussdokumenten (Laborabschlussbericht und Abschlussvermerk) im Wege eines Umlaufverfahrens herbeizuführen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung]

Der BfDI sagt zu, dem AK Technik bis Ende der 25. KW 2020 das Dokument des BSI zur Verfügung zu stellen.

 

TOP 10 - Entschließung zur digitalen Souveränität

Der BfDI berichtet, dass die Entschließung zur digitalen Souveränität im AK Grundsatz noch nicht fertiggestellt werden konnte. Der jetzige Entwurf sei in seiner Zielrichtung auf die Verantwortlichen ausgerichtet, umfasse aber auch die betroffenen Personen, denn das geforderte Handeln der Verantwortlichen habe positive Auswirkungen für die betroffenen Personen.

Aufgrund der im AK Grundsatz eingegangenen Stellungnahmen zum Entschließungsentwurf und der weiteren Diskussion in der DSK wird ein Meinungsbild darüber eingeholt, ob die Entschließung zur digitalen Souveränität weiter verfolgt werden soll. Die Mehrheit der Aufsichtsbehörden spricht sich für eine Entschließung zur digitalen Souveränität aus.

[11, 3, 3] (Zustimmung, Ablehnung, Enthaltung]

Die DSK bittet daher den AK Grundsatz, unter Beteiligung des AK Technik und des AK Verwaltung bis spätestens zur 3. Zwischenkonferenz am 22. September 2020 einen konsolidier ten Entschließungsentwurf zur Digitalen Souveränität vorzulegen.

[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung]

 

TOP 11 - Bericht aus der AG Digitale Souveränität des IT Planungsrates

Niedersachsen berichtet aus der AG Cloud-Computing und Digitale Souveränität des IT Planungsrates {AG Cloud). Im Frühjahr 2020 sei durch die AG Cloud bekanntermaßen das Eckpunktepapier „Stärkung der Digitalen Souveränität der öffentlichen Verwaltung; Eckpunkte - Ziel und Handlungsfelder" beschlossen worden.

Zur weiteren Umsetzung der erforderlichen Konzepte und Maßnahmen habe der IT Planungsrats festgestellt, dass eine neue Arbeitsstruktur erforderlich ist, die am 24. Juni 2020 beschlossen werden soll. Die AG Cloud werde künftig drei Unterarbeitsgruppen ausbilden, die sich mit den Themen Technik und Betrieb, Beschaffung und Compliance {bezieht sich insbesondere auf die beschaffungsrechtlichen Vorgaben) sowie Kommunikation befassen werden.

In der Unterarbeitsgruppe Technik und Betrieb wird die DSK durch den AK Technik vertreten sein. Als konkrete Aufgaben seien vorgesehen

  • Umsetzung von Anforderungen Digitaler Souveränität,
  • Ausarbeitung von Technik und Architektur (insb. Cloud & Container},
  • Definition von Standards und Schnittstellen,
  • Austausch und Synchronisierung mit vergleichbaren Vorhaben (z.B. GAIA-X}, Ausgestaltung des Betriebs gemeinsamer Lösungen.

Im IT Planungsrat werden insbesondere folgende weitere Papiere erstellt:

  • Anforderungskatalog zur Stärkung der digitalen Souveränität für die IT der öffentlichen Verwaltung,
  • technisch-strategische Lösungsskizze für Cloud-Lösungen für die öffentliche Verwaltung.

Die DSK nimmt den Bericht zur Kenntnis und dankt den Vertretern der DSK im IT Planungsrat.

 

TOP 12 - Begleitung der Umsetzung des Onlinezugangsgesetzes durch die DSK

Brandenburg stellt den Beschlussvorschlag des AK Verwaltung zur Begleitung der Umsetzung des OZG durch die DSK vor und weist darauf hin, dass der Beschlussvorschlag im AK Verwaltung nicht abschließend abgestimmt werden konnte.

Insbesondere wird die Erforderlichkeit eines umfassenderen Informationsaustausches zwischen den Aufsichtsbehörden dargelegt. Der AK Verwaltung schlägt daher vor allem ein intensiveres und standardisiertes Berichtswesen vor.

Bremen stellt dar, dass es bislang, auch mangels Ressourcen, nicht bei der Umsetzung des OZG mitgewirkt habe und daher ein umfassendes Berichtswesen nicht als zweckdienlich ansehe. Niedersachsen sei zwar grundsätzlich in die OZG-Umsetzung eingebunden, führe aber bislang keine umfangreichen Prüfungen durch. Daher komme es für eine Zustimmung insbesondere zu den Ziffern 1 und 2 des Beschlussvorschlags auf die konkrete Berichtstiefe an. Rheinland-Pfalz und Bayern weisen ebenfalls auf mangelnde Ressourcen hin, weshalb die Vorschläge des AK Verwaltung nicht umgesetzt werden könnten. Ggf. könnte ein weniger formales Berichtswesen vorgesehen werden. Ein formales Verfahren zur gegenseitigen Anerkennung der datenschutzrechtlichen Prüfungen einzelner OZG-Verfahren durch die Aufsichtsbehörden sei bislang nicht etabliert. Es sei unklar, wie ein solches Verfahren ablaufen könne. Es werde daher angeregt, dass der AK Verwaltung das Papier noch einmal überarbeitet und konkrete Festlegungen formuliert, über die die DSK beschließen könne, und diese im AK Verwaltung zuvor abstimmt.

Sachsen-Anhalt weist auf die Ziffern 4 und 5 des Beschlussvorschlags hin und unterstützt den von Mecklenburg-Vorpommern schon einmal eingebrachten Hinweis, dass Kontakt mit FITKO und dem BMI aufgenommen werden solle. Ziel müsse es sein, den Umsetzungsstand für die einzelnen Maßnahmen, dabei insbesondere auch für die zentralen Verfahren, wie z. B. die Portallösungen, zu erfahren. Außerdem müsse geklärt werden, was in der datenschutzrechtlichen Beurteilung der OZG-Verfahren von den Aufsichtsbehörden erwartet wird. Brandenburg erwidert hierzu, dass der Kontakt zu FITKO und BMI bereits hergestellt worden sei.

Niedersachsen merkt zu den Ziffern 4 und 5 des Entscheidungsvorschlags an, dass, soweit es um Konzepte zu Mindestanforderungen an die datenschutzrechtlichen Prüfungen geht, das SDM genutzt werden sollte.

Der BfDI weist darauf hin, dass die Umsetzung des OZG im Konjunkturpaket des Bundes eine Rolle spiele. Es würden zusätzliche finanzielle Mittel für Kommunen und Länder zur Umsetzung des OZG bereitstellt werden. Außerdem wird im Konjunkturpaket die Modernisierung der vorhandenen Register festgeschrieben und es sei zu erwarten, dass diese verstärkt vorangetrieben werden.

Im Ergebnis der Diskussion bittet die DSK den AK Verwaltung, spätestens bis zur 3. Zwischenkonferenz am 22. September 2020 einen Festlegungsentwurf zur Begleitung der Umsetzung des OZG durch die DSK vorzulegen.

[15, 2, 0] (Zustimmung, Ablehnung, Enthaltung]

 

TOP 13 - Künftige Zusammenarbeit der deutschen Datenschutzaufsichtsbehörden - DSK 2.0

Der Vorsitzende nimmt Bezug auf die vorliegende TOP-Anmeldung und stellt Hintergründe und Ziele des Tagesordnungspunktes vor. In einer ersten Sitzung sollte sich der vorgeschlagene Arbeitskreis auf die Themen verständigen, die bearbeitet werden sollen. Mögliche Themen könnten beispielsweise das Verfahren zur Wahl des Stellvertreters des gemeinsamen Vertreters im EDSA (Ländervertreter) oder das Einrichten einer DSK-Geschäftsstelle sein.

Der BfDI unterstützt den Vorschlag des Vorsitzenden. Er regt ergänzend zum vorliegenden Festlegungsentwurf an, einen Zeitplan für den Abschluss der Arbeiten des neuen AK aufzunehmen. Ziel sollte es sein, bis zur ersten Zwischenkonferenz 2021 einen ersten Bericht zu den Arbeitsergebnissen vorzulegen. Bis zur 101. DSK sollten die Arbeiten abgeschlossen werden.

Neben dem BfDI signalisieren Berlin, der BaylfD, Rheinland-Pfalz und Brandenburg be­ reits ihre Bereitschaft zur Mitarbeit.

Hamburg spricht sich gegen die geplante Evaluierung der Arbeit der DSK aus und regt vielmehr eine Stellungnahme an, die sich deutlich gegen Zentralisierungsgedanken der Datenschutzaufsicht im nicht-öffentlichen Bereich ausspricht.

Rheinland-Pfalz regt an, den Evaluationsbericht der EU-Kommission auszuwerten und ggf. zum Anlass zu nehmen, die gute Arbeit der deutschen Aufsichtsbehörden darzustellen.

Im Ergebnis der Diskussion trifft die DSK folgende Festlegung.

  1. Die DSK richtet einen Arbeitskreis DSK 2.0 auf Leitungsebene der Aufsichtsbehörden ein, der die derzeitige Zusammenarbeit der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder einschließlich der Arbeitsweise der DSK evaluiert und ggf. Vorschläge für eine Neugestaltung erarbeitet.
  2. Der AK DSK 2.0 soll bis zur ersten Zwischenkonferenz 2021 einen Vorbericht vorlegen und seine Arbeiten bis zur 101. Datenschutzkonferenz abschließen. 
  1. Der DSK-Vorsitz wird gebeten, zu einer ersten Sitzung des AK DSK 2.0 einzuladen.

    [15, 0, 1] (Zustimmung, Ablehnung, Enthaltung]

TOP 14 - Umgang mit dem offenen Brief der NOYB vom 25. Mai 2020 zum Thema Beschwerdebearbeitung durch die Datenschutzaufsichtsbehörden

Niedersachsen zieht den TOP zurück, da der offene Brief der NOYB bereits unter TOP 4 angesprochen wurde.

 

TOP 15 - Technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich

Der BfDI berichtet, dass die Überarbeitung des White Paper zu den technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich noch andauert. Ziel sei es, das Thema bis zur 100. DSK abzuschließen.

Davon unabhängig sollte der UAK Digitalisierung im Gesundheitswesen prüfen, ob zu der Frage eines allgemeinen Messengers im Gesundheitswesen noch eine Entschließung erarbeitet werden soll. Sofern es dazu komme, sollte der Entwurf bis zur 100. DSK vorliegen.

 

TOP 16 - Bericht der Task Force „Facebook Fanpages"

a) Bericht der Task Force

Schleswig-Holstein berichtet, dass die in der Task Force behandelten Fragen der Rechtmäßigkeit der Verarbeitung  personenbezogener Daten im Rahmen der Facebook  Fanpages und der gemeinsamen Verantwortung in eine Leitlinie der Social Media Subgroup eingeflossen seien. Diese Leitlinie soll im Juli 2020 in das EDSA-Planum eingebracht werden. Auf Nachfrage Niedersachsens ergänzt Schleswig-Holstein, dass in den genannten Leitlinien nur die allgemeinen Rechtsfragen im Zusammenhang mit der Nutzung derartiger Social-Media-Angebote behandelt werden. Bislang seien konkrete Fragen zum Facebook-lnsight­Dienst oder die Addenden nicht in den EDSA bzw. die Subgroup eingebracht worden. Dies entspräche dem Vorschlag der Task Force und könne noch nachgeholt werden.

Berlin berichtet über das Vorgehen gegenüber Verantwortlichen, die Facebook-Fanpages betreiben.

b)     Rechtsgrundlage für die Öffentlichkeitsarbeit von Behörden in sozialen Netzwerken

Im Ergebnis der Diskussion zieht der Vorsitzende den TOP zurück.

 

TOP 17 - Bericht des DSK-Vorsitzenden

Der Vorsitzende berichtet über die Aufforderung der Staatskanzlei des Landes Nordrhein­ Westfalen, zu Änderungen am Entwurf des Staatsvertrages zur Neuregulierung des Glücksspielwesens in Deutschland Stellung zu nehmen. Eine Stellungnahme wird bis zum 20. Juli 2020 erwartet. In diesem Fall wird Sachsen die eingegangenen Unterlagen prüfen, ggf. eine  Stellungnahme erarbeiten und diese vorab der DSK zur Kenntnis geben.

Das Verfahren zum Staatsvertrag zur Neuregulierung des Glücksspielwesens zeige, dass die DSK eine generelle Regelung zur Zuständigkeit bei Staatsverträgen benötigt. Der durch den Vorsitzenden skizzierte Vorschlag findet Unterstützung, so dass die DSK folgendes festlegt:

  1. Die Zuständigkeit für die Befassung mit bundesweit geltenden Staatsverträgen liegt beim DSK-Vorsitz. Dieser koordiniert die Befassung mit dem Staatsvertrag durch den/die fachlich zuständigen Arbeitskreis/e der DSK oder einer besonders fachkundigen Aufsichtsbehörde oder übernimmt die Befassung selbst.
  2. Der DSK-Vorsitz wird beauftragt, die Konferenz der Ministerpräidenten über diese Festlegung zu informieren und darum zu bitten, Anfragen zu bundesweit geltenden Staatsverträgen künftig an den jeweiligen DSK-Vorsitz zu senden. 

[16, 0, 0] (Zustimmung, Ablehnung, Enthaltung]

Die weiteren in der Tagesordnung angesprochenen Punkte (Umgang mit Ziffer 3 der Festlegung zu TOP 24 der 97. DSK; Anfrage der Redaktion netzpolitik.org zur regelmäßigen Veröf fentlichung von DSGVO-Kennzahlen) können aus zeitlichen Gründen nicht mehr behandelt werden. Der DSK-Vorsitz prüft, inwieweit sich Umlaufverfahren anbieten.

 

TOP 18 - Sonstiges

Der BfDI informiert über ein Eckpunktepapier des BMWI zum Thema „Überbrückungshilfen für kleine und mittlere Unternehmen zur Bewältigung der Corona-Krise". Der BfDI sei um datenschutzrechtliche Prüfung gebeten worden, habe insoweit aber auf die Aufsichtsbehörden der Länder verwiesen, da es beispielsweise um Einzelfragen zu Antragsmodalitäten und sonstige technisch-organisatorische Maßnahmen ging.

 

TOP 19 - Aufteilung des Vorsitzes für den Arbeitskreis „Medien" der DSK

Das LDA Bayern führt in den TOP ein.

Die DSK beschließt, dass der Co-Vorsitz des AK Medien vom LDA Bayern auf den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit übergeht.

[15, 0, 1] (Zustimmung, Ablehnung, Enthaltung]


Der Vorsitzende dankt dem LDA Bayern für die bisher geleistete Arbeit und wünscht Hamburg für die neue Aufgabe viel Erfolg.

Andreas Schurig
Sächsischer Datenschutzbeauftragter

Seite drucken