Toolbar-Menü

3. Zwischenkonferenz der unabhängigen
Datenschutzaufsichtsbehörden des Bundes und der Länder

am 21. September 2022

 

-Protokoll-

  

TOP 01 – Begrüßung und Organisatorisches

Der Vorsitzende begrüßt die Teilnehmenden zur 3. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).

Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer an der Konferenz teilnehmen.

Der Vorsitzende weist darauf hin, dass zu Protokollzwecken eine Tonaufzeichnung der Konferenz erfolgt, welche nach Erstellen des Protokolls gelöscht wird. Es gibt keine Einwände gegen diese Vorgehensweise.

  

TOP 02 – Tagesordnung und Protokoll

Der Vorsitzende stellt die Tagesordnung für die 3. Zwischenkonferenz der DSK vor.

Die Tagesordnung wird in dieser Form einstimmig angenommen.

Der Vorsitzende weist darauf hin, dass das Protokoll der 2. Zwischenkonferenz im Umlaufverfahren abgestimmt und die finalisierte Fassung veröffentlicht wurde.

 

TOP 3 – Informationen zu Umlaufverfahren

Die DSK nimmt die am 12. September 2022 versendete Übersicht über die im Jahr 2022 durchgeführten Umlaufverfahren zur Kenntnis.

 

TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss

Der BfDI berichtet, dass der Europäische Datenschutzausschuss (EDSA) seit der 2. Zwischenkonferenz der DSK drei Mal getagt hat. Auf seiner 67. Plenartagung am 12. Juli 2022 verabschiedete der EDSA gemeinsam mit dem Europäischen Datenschutzbeauftragten (EDSB) eine Stellungnahme zum europäischen Raum für Gesundheitsdaten, legte Kriterien für die Auswahl strategisch bedeutender Fälle fest und wählte drei davon aus. Weiter wurde eine Erklärung zur Übermittlung personenbezogener Daten nach Russland abgegeben.

Auf seiner 68. Plenartagung am 28. Juli 2022 verabschiedete der EDSA in dem Streitbeilegungsverfahren nach Art. 65 Abs. 1 a) DSGVO seinen Beschluss über den irischen Beschlussentwurf. Zudem verabschiedete er gemeinsam mit dem EDSB eine Stellungnahme zum Vorschlag zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet.

Auf seiner 69. Sitzung am 12. und 13. September 2022 verabschiedete der EDSA eine Stellungnahme zu den EuroPriSe-Zertifizierungskriterien, gab eine Erklärung zum „EU Police Cooperation Code“ ab, diskutierte die substantiellen Fragen der Mitglieder der CEF und legte das Thema für die „Coordinated Action 2023“ fest. Zudem berichtete der BfDI über den „G7 DPA Roundtable 2022“. Außerdem fand am 13. September 2022 ein Austausch mit Mitgliedern von European Digital Rights (EDRi) statt.

Bayern (LfD) ergänzt, dass auf Einladung der Federal Trade Commission ein öffentliches Konsultationsverfahren gestartet wurde und bat die Teilnehmenden um Prüfung, ob Ressourcen zur Beantwortung frei seien.

Zudem wurde diskutiert, wie in Zukunft im Hinblick auf den Data-Act unter anderem mit den europäischen Datenräumen und Betroffenenrechten umgegangen werden soll.

 

TOP 5 – Bestimmung der „deutschen federführenden Behörde“ in BCR-Verfahren mit nichtdeutscher Federführung

Bayern (LDA) führt in das Thema ein und berichtet über die Umsetzung des derzeit angewandten vorläufigen Prozederes der Bestimmung einer federführenden deutschen Behörde bei BCR-Genehmigungsverfahren, bei denen eine nichtdeutsche Aufsichtsbehörde federführend ist. Demnach fällt diese Aufgabe meist der Behörde zu, in deren Bundesland die (soweit erkennbar) größte bzw. wichtigste deutsche Niederlassung der betreffenden Unternehmensgruppe liegt. Angesichts der damit einhergehenden, unterschiedlichen Mehrbelastung einzelner Aufsichtsbehörden soll zeitnah eine tragfähigere Lösung angestrebt werden.

In der anschließenden Debatte werden verschiedene Möglichkeiten wie u.a. einen Rückgriff auf die Unterstützung erfahrener Kollegen („Expertenpool“) bei akuten Fragestellungen oder ein Rotationssystem diskutiert. Mittel- und langfristig soll eine dauerhaft tragfähige Struktur entwickelt werden.

Nach ausführlichem Austausch trifft die DSK einvernehmlich folgende Festlegung:

„Die DSK beauftragt den AK Organisation und Struktur, unter Beteiligung des AK Internationaler Datenverkehr, bis zur 104. DSK eine Nachfolgeregelung betreffend der „deutschen federführenden Behörde“ in BCR-Verfahren mit nichtdeutscher Federführung zu entwickeln.“

Die ZASt wird zudem gebeten, im Vorfeld eine Übersicht der Verteilung der BCR-Verfahren der letzten beiden Jahre zu erstellen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 6 – Prüfschema zur Einordnung von Videokonferenzdiensten

Berlin berichtet über die Arbeit des AK Medien im Zusammenhang mit der Erarbeitung eines Prüfschemas zur Einordnung von Videokonferenzdiensten.

Es folgt ein Austausch zur Auslegung des TTDSG und TKG.

Der BfDI sieht keine eigene Zuständigkeit in der Aufsicht öffentlicher Stellen der Länder, sofern diese Anbieter im Sinne des TKG und TTDSG seien.

Hessen führt zudem ausführlich seine Auslegung zum TKG und TTDSG aus. Diese Auffassung soll verschriftlicht und an den AK Medien herangetragen werden.

BfDI weist zudem darauf hin, dass das Bundesministerium für Digitales und Verkehr (BMDV) sowie die Bundesnetzagentur (BNetzA) um Stellungnahme gebeten worden sind. Das BMDV soll zur Gesetzesauslegung Stellung nehmen und die BNetzA ihre Auffassung zur eigenen Zuständigkeit mitteilen. Die Ergebnisse werden der DSK mitgeteilt.

Die DSK stellt fest, dass der BfDI für TK-Anbieter und dass die Aufsichtsbehörden der Länder für Schulen und Hochschulen zuständig sind.

Die DSK nimmt den Bericht des AK-Vorsitzes zur Kenntnis und setzt ihre Beratung fort.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 7 – Vorschläge für die Gestaltung der Fortentwicklung und Institutionalisierung der DSK – Bericht über den Sachstand

Rheinland-Pfalz führt in das Thema ein und berichtet über den Sachstand der Arbeiten des Arbeitskreises DSK 2.0., insbesondere der Unterarbeitskreise „Geschäftsstelle, Rechtsgrundlage, Organisation“ und „Mehrheitsentscheidungen“.

Nach eingehender Erörterung legt die DSK Folgendes fest:

  1. Nach eingehender Aussprache nimmt die DSK den Bericht aus dem Unterarbeitskreis „Geschäftsstelle, Rechtsgrundlage, Organisation“ zur Kenntnis.
  1. Die DSK beschließt einvernehmlich, die Geschäftsordnung der DSK wie folgt zu ändern und nach A IV. 3. Absatz 3 als neuen Absatz 4 in die Geschäftsordnung aufzunehmen:

    „Beschlüsse verabschiedet die Konferenz mit einer Mehrheit von mindestens 12 Stimmen (2/3). Sie haben für die Mitglieder der DSK bindende Wirkung. Sie dienen nicht dem Schutz Dritter und begründen keine einklagbaren Rechte. Jedes Mitglied der DSK, das der Mehrheitsentscheidung nicht zustimmt, kann zusätzlich zu seiner Stimmabgabe erklären, dass es sich dieser Bindung nicht unterwirft. Diese Erklärung wird zusammen mit dem Beschluss veröffentlicht. Jedes Mitglied kann die Aufhebung oder Abänderung bindender Beschlüsse beantragen.*“

*Protokollerklärung des Bayerischen Landesbeauftragten für den Datenschutz:

Nach Auffassung des Bayerischen Landesbeauftragten für den Datenschutz kann verfassungsrechtlich eine Aufsichtsbehörde nicht durch Mehrheitsentscheidungen gebunden werden, die gegen ihr Votum getroffen wurden. Der Bayerische Landesbeauftragte für den Datenschutz erklärt deshalb generell, dass er sich an keine gegen sein Votum getroffene Mehrheitsentscheidungen gebunden fühlt.

Zu 1.: [17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

Zu 2.: [16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)

Auf Bitte Bayerns (LfD) wird dem Protokoll zudem das der Geschäftsordnungsänderung zugrundeliegende Eckpunktepapier als Anlage beigefügt.

 

TOP 8 – Begleitung der Umsetzung des Onlinezugangsgesetz (OZG) durch die DSK; Sachstand Gesetzgebungsverfahrens zum OZG

Berlin führt in das Thema ein und verweist auf den Bericht der Kontaktgruppe OZG 2.0. Die gesetzlichen Voraussetzungen für eine datenschutzkonforme Umsetzung des OZG sind weiterhin noch offen. Das BMI sollte dazu aufgefordert werden, so bald wie möglich die notwendigen datenschutzrechtlichen Regelungen auszuarbeiten.

Nach inhaltlicher Diskussion trifft die DSK folgende Festlegung:

  1. Der Sachstandsbericht der Kontaktgruppe „OZG 2.0“ zur datenschutzrechtlichen Begleitung der Anpassung des OZG wird zur Kenntnis genommen.
  2. Es wird festgestellt, dass die rechtlichen Rahmenbedingungen für eine datenschutzkonforme Umsetzung des „Einer für Alle“-Prinzips des OZG weiterhin noch nicht geschaffen worden sind. Durch den zwangsläufigen Rückgriff auf diverse Übergangsregelungen zur Zuweisung der datenschutzrechtlichen Verantwortlichkeit entstehen erhebliche datenschutzrechtliche Risiken und Zweifel an der Rechtmäßigkeit des Verwaltungshandelns. Davon betroffen ist potenziell eine rasch anwachsende Zahl von Bürgerinnen und Bürgern, da in absehbarer Zeit mit der Umsetzung zahlreicher OZG-Leistungen zu rechnen ist.
  3. Das BMI wird aufgefordert, alle erforderlichen Vorrausetzungen zu schaffen, damit die datenschutzrechtlichen Anpassungen des OZG so bald wie möglich in Kraft treten können. Das BMI wird ferner aufgefordert, der Kontaktgruppe „OZG 2.0“ unmittelbar eine belastbare Zeitplanung bis zur Verkündung der datenschutzrechtlichen Anpassungen des OZG bekanntzugeben.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 9 – Facebook-Fanpages – Bericht der Taskforce

Schleswig-Holstein führt in das Thema ein und berichtet über die im Juli vorgelegten, neuen Datenschutzrichtlinien von Facebook. Infolge der dort erfolgten Änderungen hat die Taskforce Facebook-Fanpages das „Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages“ überarbeitet und den Mitgliedern der DSK eine angepasste Entwurfsfassung zukommen lassen.

Nach eingehender Aussprache trifft die DSK einvernehmlich folgende Festlegung:

  1. Anmerkungen zum vorgelegten Entwurf des überarbeiteten Kurzgutachtens können bis zum 28.09.2022 an die Taskforce Facebook-Fanpages herangetragen werden.
  2. Die Taskforce Facebook-Fanpages wird bis 7.10.2022 eine abstimmungsfähige Version des Kurzgutachtens erstellen und die FAQ anpassen.

Die Mitglieder der DSK informieren über den jeweiligen Sachstand hinsichtlich des Betriebs von Facebook-Fanpages durch öffentliche Stellen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 10 – Übersetzung der Anforderungen an datenschutzrechtliche Zertifizierungsprogramme

BfDI führt in das Thema ein und verweist auf die im Umlaufverfahren beschlossenen Anforderungen an datenschutzrechtliche Zertifizierungsprogramme, welche nun auch auf Englisch zur Verfügung gestellt werden sollen.

Als Vorsitz des AK Zertifizierung wird Schleswig-Holstein die Übersetzung in Auftrag geben. Nach einer Aussprache trifft die DSK einvernehmlich folgende Festlegung:

  1. Die DSK beschließt, dass die „Anforderungen an datenschutzrechtliche Zertifizierungsprogramme“ in die englische Sprache übersetzt werden.
  2. Die DSK beschließt, dass die Kosten der Übersetzung auf Grundlage des Königsteiner Schlüssels umgelegt werden.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 11 – Datenschutzrechtliche Bewertung der Auftragsverarbeitung bei Microsoft 365 Office – Bericht der Arbeitsgruppe zu den Ergebnissen der Gespräche mit Microsoft (TOP 9 der 3. Zwischenkonferenz 2020)

Bayern (LDA) führt in das Thema ein und verweist auf den erstellten Berichtsentwurf.

Die DSK nimmt den Bericht zur Arbeit der Arbeitsgruppe zur Kenntnis und billigt die Übermittlung an Microsoft zur Möglichkeit einer abschließenden Stellungnahme, wobei sich die DSK anschließend weitere Schlussfolgerungen aus den Feststellungen vorbehält.

Zudem legt die AG den finalen Bericht bis zu 104. DSK vor. Als Zeitplan wurde vereinbart, dass der Text des Berichts bis zum 2. November 2022 den Aufsichtsbehörden des Bundes und der Länder zur Stellungnahme vorgelegt werden soll. Anmerkungen können sodann bis zum 11. November 2022 vorgetragen werden.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 12 – Erneuerung der AK-Vorsitze

Der Vorsitz führt in das Thema ein und die DSK trifft folgende Festlegung:

Der Vorsitz des

  1. AK Auskunfteien und Inkasso wird dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) und LDA Bayern als Co-Vorsitz
  2. AK Beschäftigtendatenschutz wird der Landesbeauftragten für den Datenschutz Niedersachsen (LfD Niedersachsen)
  3. des AK Datenschutz und Bildungseinrichtungen wird dem Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit (TLfDI)
  4. des AK Medienkompetenz wird dem Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit (TLfDI)
  5. des AK Europa wird dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
  6. des AK Gesundheit und Soziales wird der Berliner Beauftragten für Datenschutz und Informationsfreiheit und der Sächsischen Datenschutzbeauftragten (ab 1.1.2023)
  7. des AK Grundsatzfragen des Datenschutzes wird dem BfDI
  8. des AK Justiz wird dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD)
  9. des AK Kreditwirtschaft wird der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
  10. des AK Organisation und Struktur wird dem HBDI
  11. des AK Sanktionen wird der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI)
  12. des AK Sicherheit wird dem Unabhängigen Landeszentrum für Datenschutz Schleswig- Holstein (ULD SH)
  13. des AK Statistik wird der LDI NRW
  14. des AK Technik wird dem Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
  15. des AK Verkehr wird dem BfDI
  16. des AK Versicherungswirtschaft wird der LfD Niedersachsen
  17. des AK Videoüberwachung wird dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW)
  18. des AK Wirtschaft wird der LDI NRW
  19. des AK Wissenschaft und Forschung wird dem HBDI und
  20. des AK Zertifizierung wird dem ULD SH

für die Dauer von vier Jahren übertragen.

Zudem wechselt der Vorsitz der Taskforce Facebook-Fanpages sowie die stellvertretende Ländervertretung in der Technology Expert Subgroup des Europäischen Datenschutzausschusses vom ULD SH zum Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI).

Gültig sind diese Änderungen ab dem 4. Oktober 2022.

Der Vorsitz des AK Werbung und Adresshandel wird in der 104. DSK erneut aufgerufen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 13 – Diskussion zu extraterritorialen Zugriffsmöglichkeiten durch öffentliche Stellen

Bayern (LDA) führt in das Thema ein und erläutert den Diskussionsstand in der EDSA Subgroup „International Transfer Expert Subgroup“ über extraterritoriale Datenzugriffsmöglichkeiten für Behörden von Drittstaaten auf nominell in der EU angesiedelte Anbieter. Hamburg regt an, diesen Themenkomplex auch im Kontext Cloudspeicherung zu betrachten.

Die DSK trifft die folgende Festlegung:

  1. Der AK Internationaler Datenverkehr bekommt in Zusammenarbeit mit dem AK Grundsatz den Auftrag, eine Beschlussvorlage für die Frage exterritorialer Zugriffsmöglichkeiten durch öffentliche Stellen von Drittländern möglichst bis zur DSK vorzubereiten.
  2. Die Task Force Schrems-II legt zur 104. DSK einen Zwischenbericht vor. 

[15, 0, 1] (Zustimmung, Ablehnung, Enthaltung)*
*bei temporärer Abwesenheit Bremen

 

TOP 14 – Task Force Souveräne Cloud

BfDI führt in das Thema ein und berichtet über den aktuellen Stand der Task Force Souveräne Cloud, welche sich gemäß dem Beschluss der 103. DSK mit der Abgrenzung des Begriffs „Souveräne Cloud“ von anderen Cloud-Angeboten, der Formulierung von Anforderungen an „Souveräne Clouds“, um einen datenschutzrechtlich tragfähigen Betrieb zu ermöglichen sowie der Berücksichtigung von generischen und sektoralen Anforderungen befasst. Gemäß Beschluss legt die Task Force ein Ergebnis ihrer Arbeit auf der 104. DSK vor.

Rheinland-Pfalz regt an, das Ergebnis dann auch im Kontext Gesundheitsdatenraum zu beleuchten.

Die DSK nimmt den Bericht zur Kenntnis.

  

TOP 15 – Young Data – Kosten für regelmäßen Support

Thüringen führt in das Thema ein.

Die Mitglieder der Konferenz erklären ihre Zustimmung für die Bereitstellung der für den regelmäßigen Support und Aktualisierung von Young Data erforderlichen Hausmittel ab 2024 bis einschließlich 2026. Dabei werden der BfDI einen Anteil von 20% der Kosten und der Rest durch die Aufsichtsbehörden der Länder nach dem modifizierten Königsteiner Schlüssel übernommen.

[15, 0, 1] (Zustimmung, Ablehnung, Enthaltung)

  

TOP 16 – Bericht über den G7-DPA Roundtable 2022

BfDI führt in das Thema ein und berichtet von dem G7-DPA Roundtable 2022. Als Schwerpunktthemen wurden unter anderem Pandemic-Driven Tech Innovation, Development of a Framework for Cross-Border Transfer of Personal Data and Cooperation between G7 Data Protection Authorities und International data transfer tools including certification besprochen.

Auf Nachfrage von Niedersachsen berichtet BfDI zudem, dass diese Form des Roundtable erst zum zweiten Mal stattgefunden hat.

 

TOP 17 – 44. Jahreskonferenz der Global Privacy Assembly (GPA)

Der BfDI berichtet über die vom 25. bis 28. Oktober 2022 stattfindende International Conference of Data Protection and Privacy Commissioners in Istanbul und weist auf die Möglichkeit einer Teilnahme hin.

 

TOP 18 – Wechsel in der zeitlichen Abfolge des Vorsitzes der Datenschutzkonferenz zwischen Sachsen-Anhalt und Bremen

Sachsen-Anhalt führt in die Thematik ein und Bittet um Zustimmung im Wechsel des Vorsitzes.

Die Konferenz beschließt den Wechsel des Vorsitzes der Datenschutzkonferenz zwischen Sachsen-Anhalt und Bremen.

Demnach übernimmt Bremen den Vorsitz der Datenschutzkonferenz im Jahr 2024 und Sachsen-Anhalt 2030.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 19 – Sonstiges

Berlin weist daraufhin, dass auf Grund des Umzugs die Erreichbarkeit in der 39. KW nicht gewährleistet ist.

Baden-Württemberg regt eine öffentliche Unterstützung der Stellungnahme von EDSA und EDSB zur Budgetplanung der EU im Bereich der Datenschutzaufsicht (https://edpb.europa.eu/system/files/2022-09/letteronbudget_out2022-0068.pdf) durch die DSK an. Die Mitglieder unterstützen dieses Vorhaben. Die genaue Form dieser Unterstützung seitens der DSK soll im Jour Fixe der DSK noch einmal erörtert werden.

Rheinland-Pfalz verkündet, dass die neue Stellvertretung von Herrn Prof. Dr. Kugelmann ihren Dienst zum 1. Dezember 2022 antreten wird. Der Vorsitzende bedankt sich bei Herrn Eiermann im Namen der Mitglieder der DSK für sein langjähriges Engagement. 

 

Prof. Ulrich Kelber

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

3. Zwischenkonferenz der unabhängigen
Datenschutzaufsichtsbehörden des Bundes und der Länder

am 21. September 2022

 

-Protokoll-

  

TOP 01 – Begrüßung und Organisatorisches

Der Vorsitzende begrüßt die Teilnehmenden zur 3. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).

Es wird festgestellt, dass der BfDI und die Aufsichtsbehörden aller Bundesländer an der Konferenz teilnehmen.

Der Vorsitzende weist darauf hin, dass zu Protokollzwecken eine Tonaufzeichnung der Konferenz erfolgt, welche nach Erstellen des Protokolls gelöscht wird. Es gibt keine Einwände gegen diese Vorgehensweise.

  

TOP 02 – Tagesordnung und Protokoll

Der Vorsitzende stellt die Tagesordnung für die 3. Zwischenkonferenz der DSK vor.

Die Tagesordnung wird in dieser Form einstimmig angenommen.

Der Vorsitzende weist darauf hin, dass das Protokoll der 2. Zwischenkonferenz im Umlaufverfahren abgestimmt und die finalisierte Fassung veröffentlicht wurde.

 

TOP 3 – Informationen zu Umlaufverfahren

Die DSK nimmt die am 12. September 2022 versendete Übersicht über die im Jahr 2022 durchgeführten Umlaufverfahren zur Kenntnis.

 

TOP 04 – Bericht aus dem Europäischen Datenschutzausschuss

Der BfDI berichtet, dass der Europäische Datenschutzausschuss (EDSA) seit der 2. Zwischenkonferenz der DSK drei Mal getagt hat. Auf seiner 67. Plenartagung am 12. Juli 2022 verabschiedete der EDSA gemeinsam mit dem Europäischen Datenschutzbeauftragten (EDSB) eine Stellungnahme zum europäischen Raum für Gesundheitsdaten, legte Kriterien für die Auswahl strategisch bedeutender Fälle fest und wählte drei davon aus. Weiter wurde eine Erklärung zur Übermittlung personenbezogener Daten nach Russland abgegeben.

Auf seiner 68. Plenartagung am 28. Juli 2022 verabschiedete der EDSA in dem Streitbeilegungsverfahren nach Art. 65 Abs. 1 a) DSGVO seinen Beschluss über den irischen Beschlussentwurf. Zudem verabschiedete er gemeinsam mit dem EDSB eine Stellungnahme zum Vorschlag zur Bekämpfung des sexuellen Missbrauchs von Kindern im Internet.

Auf seiner 69. Sitzung am 12. und 13. September 2022 verabschiedete der EDSA eine Stellungnahme zu den EuroPriSe-Zertifizierungskriterien, gab eine Erklärung zum „EU Police Cooperation Code“ ab, diskutierte die substantiellen Fragen der Mitglieder der CEF und legte das Thema für die „Coordinated Action 2023“ fest. Zudem berichtete der BfDI über den „G7 DPA Roundtable 2022“. Außerdem fand am 13. September 2022 ein Austausch mit Mitgliedern von European Digital Rights (EDRi) statt.

Bayern (LfD) ergänzt, dass auf Einladung der Federal Trade Commission ein öffentliches Konsultationsverfahren gestartet wurde und bat die Teilnehmenden um Prüfung, ob Ressourcen zur Beantwortung frei seien.

Zudem wurde diskutiert, wie in Zukunft im Hinblick auf den Data-Act unter anderem mit den europäischen Datenräumen und Betroffenenrechten umgegangen werden soll.

 

TOP 5 – Bestimmung der „deutschen federführenden Behörde“ in BCR-Verfahren mit nichtdeutscher Federführung

Bayern (LDA) führt in das Thema ein und berichtet über die Umsetzung des derzeit angewandten vorläufigen Prozederes der Bestimmung einer federführenden deutschen Behörde bei BCR-Genehmigungsverfahren, bei denen eine nichtdeutsche Aufsichtsbehörde federführend ist. Demnach fällt diese Aufgabe meist der Behörde zu, in deren Bundesland die (soweit erkennbar) größte bzw. wichtigste deutsche Niederlassung der betreffenden Unternehmensgruppe liegt. Angesichts der damit einhergehenden, unterschiedlichen Mehrbelastung einzelner Aufsichtsbehörden soll zeitnah eine tragfähigere Lösung angestrebt werden.

In der anschließenden Debatte werden verschiedene Möglichkeiten wie u.a. einen Rückgriff auf die Unterstützung erfahrener Kollegen („Expertenpool“) bei akuten Fragestellungen oder ein Rotationssystem diskutiert. Mittel- und langfristig soll eine dauerhaft tragfähige Struktur entwickelt werden.

Nach ausführlichem Austausch trifft die DSK einvernehmlich folgende Festlegung:

„Die DSK beauftragt den AK Organisation und Struktur, unter Beteiligung des AK Internationaler Datenverkehr, bis zur 104. DSK eine Nachfolgeregelung betreffend der „deutschen federführenden Behörde“ in BCR-Verfahren mit nichtdeutscher Federführung zu entwickeln.“

Die ZASt wird zudem gebeten, im Vorfeld eine Übersicht der Verteilung der BCR-Verfahren der letzten beiden Jahre zu erstellen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 6 – Prüfschema zur Einordnung von Videokonferenzdiensten

Berlin berichtet über die Arbeit des AK Medien im Zusammenhang mit der Erarbeitung eines Prüfschemas zur Einordnung von Videokonferenzdiensten.

Es folgt ein Austausch zur Auslegung des TTDSG und TKG.

Der BfDI sieht keine eigene Zuständigkeit in der Aufsicht öffentlicher Stellen der Länder, sofern diese Anbieter im Sinne des TKG und TTDSG seien.

Hessen führt zudem ausführlich seine Auslegung zum TKG und TTDSG aus. Diese Auffassung soll verschriftlicht und an den AK Medien herangetragen werden.

BfDI weist zudem darauf hin, dass das Bundesministerium für Digitales und Verkehr (BMDV) sowie die Bundesnetzagentur (BNetzA) um Stellungnahme gebeten worden sind. Das BMDV soll zur Gesetzesauslegung Stellung nehmen und die BNetzA ihre Auffassung zur eigenen Zuständigkeit mitteilen. Die Ergebnisse werden der DSK mitgeteilt.

Die DSK stellt fest, dass der BfDI für TK-Anbieter und dass die Aufsichtsbehörden der Länder für Schulen und Hochschulen zuständig sind.

Die DSK nimmt den Bericht des AK-Vorsitzes zur Kenntnis und setzt ihre Beratung fort.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 7 – Vorschläge für die Gestaltung der Fortentwicklung und Institutionalisierung der DSK – Bericht über den Sachstand

Rheinland-Pfalz führt in das Thema ein und berichtet über den Sachstand der Arbeiten des Arbeitskreises DSK 2.0., insbesondere der Unterarbeitskreise „Geschäftsstelle, Rechtsgrundlage, Organisation“ und „Mehrheitsentscheidungen“.

Nach eingehender Erörterung legt die DSK Folgendes fest:

  1. Nach eingehender Aussprache nimmt die DSK den Bericht aus dem Unterarbeitskreis „Geschäftsstelle, Rechtsgrundlage, Organisation“ zur Kenntnis.
  1. Die DSK beschließt einvernehmlich, die Geschäftsordnung der DSK wie folgt zu ändern und nach A IV. 3. Absatz 3 als neuen Absatz 4 in die Geschäftsordnung aufzunehmen:

    „Beschlüsse verabschiedet die Konferenz mit einer Mehrheit von mindestens 12 Stimmen (2/3). Sie haben für die Mitglieder der DSK bindende Wirkung. Sie dienen nicht dem Schutz Dritter und begründen keine einklagbaren Rechte. Jedes Mitglied der DSK, das der Mehrheitsentscheidung nicht zustimmt, kann zusätzlich zu seiner Stimmabgabe erklären, dass es sich dieser Bindung nicht unterwirft. Diese Erklärung wird zusammen mit dem Beschluss veröffentlicht. Jedes Mitglied kann die Aufhebung oder Abänderung bindender Beschlüsse beantragen.*“

*Protokollerklärung des Bayerischen Landesbeauftragten für den Datenschutz:

Nach Auffassung des Bayerischen Landesbeauftragten für den Datenschutz kann verfassungsrechtlich eine Aufsichtsbehörde nicht durch Mehrheitsentscheidungen gebunden werden, die gegen ihr Votum getroffen wurden. Der Bayerische Landesbeauftragte für den Datenschutz erklärt deshalb generell, dass er sich an keine gegen sein Votum getroffene Mehrheitsentscheidungen gebunden fühlt.

Zu 1.: [17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

Zu 2.: [16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)

Auf Bitte Bayerns (LfD) wird dem Protokoll zudem das der Geschäftsordnungsänderung zugrundeliegende Eckpunktepapier als Anlage beigefügt.

 

TOP 8 – Begleitung der Umsetzung des Onlinezugangsgesetz (OZG) durch die DSK; Sachstand Gesetzgebungsverfahrens zum OZG

Berlin führt in das Thema ein und verweist auf den Bericht der Kontaktgruppe OZG 2.0. Die gesetzlichen Voraussetzungen für eine datenschutzkonforme Umsetzung des OZG sind weiterhin noch offen. Das BMI sollte dazu aufgefordert werden, so bald wie möglich die notwendigen datenschutzrechtlichen Regelungen auszuarbeiten.

Nach inhaltlicher Diskussion trifft die DSK folgende Festlegung:

  1. Der Sachstandsbericht der Kontaktgruppe „OZG 2.0“ zur datenschutzrechtlichen Begleitung der Anpassung des OZG wird zur Kenntnis genommen.
  2. Es wird festgestellt, dass die rechtlichen Rahmenbedingungen für eine datenschutzkonforme Umsetzung des „Einer für Alle“-Prinzips des OZG weiterhin noch nicht geschaffen worden sind. Durch den zwangsläufigen Rückgriff auf diverse Übergangsregelungen zur Zuweisung der datenschutzrechtlichen Verantwortlichkeit entstehen erhebliche datenschutzrechtliche Risiken und Zweifel an der Rechtmäßigkeit des Verwaltungshandelns. Davon betroffen ist potenziell eine rasch anwachsende Zahl von Bürgerinnen und Bürgern, da in absehbarer Zeit mit der Umsetzung zahlreicher OZG-Leistungen zu rechnen ist.
  3. Das BMI wird aufgefordert, alle erforderlichen Vorrausetzungen zu schaffen, damit die datenschutzrechtlichen Anpassungen des OZG so bald wie möglich in Kraft treten können. Das BMI wird ferner aufgefordert, der Kontaktgruppe „OZG 2.0“ unmittelbar eine belastbare Zeitplanung bis zur Verkündung der datenschutzrechtlichen Anpassungen des OZG bekanntzugeben.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 9 – Facebook-Fanpages – Bericht der Taskforce

Schleswig-Holstein führt in das Thema ein und berichtet über die im Juli vorgelegten, neuen Datenschutzrichtlinien von Facebook. Infolge der dort erfolgten Änderungen hat die Taskforce Facebook-Fanpages das „Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages“ überarbeitet und den Mitgliedern der DSK eine angepasste Entwurfsfassung zukommen lassen.

Nach eingehender Aussprache trifft die DSK einvernehmlich folgende Festlegung:

  1. Anmerkungen zum vorgelegten Entwurf des überarbeiteten Kurzgutachtens können bis zum 28.09.2022 an die Taskforce Facebook-Fanpages herangetragen werden.
  2. Die Taskforce Facebook-Fanpages wird bis 7.10.2022 eine abstimmungsfähige Version des Kurzgutachtens erstellen und die FAQ anpassen.

Die Mitglieder der DSK informieren über den jeweiligen Sachstand hinsichtlich des Betriebs von Facebook-Fanpages durch öffentliche Stellen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 10 – Übersetzung der Anforderungen an datenschutzrechtliche Zertifizierungsprogramme

BfDI führt in das Thema ein und verweist auf die im Umlaufverfahren beschlossenen Anforderungen an datenschutzrechtliche Zertifizierungsprogramme, welche nun auch auf Englisch zur Verfügung gestellt werden sollen.

Als Vorsitz des AK Zertifizierung wird Schleswig-Holstein die Übersetzung in Auftrag geben. Nach einer Aussprache trifft die DSK einvernehmlich folgende Festlegung:

  1. Die DSK beschließt, dass die „Anforderungen an datenschutzrechtliche Zertifizierungsprogramme“ in die englische Sprache übersetzt werden.
  2. Die DSK beschließt, dass die Kosten der Übersetzung auf Grundlage des Königsteiner Schlüssels umgelegt werden.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 11 – Datenschutzrechtliche Bewertung der Auftragsverarbeitung bei Microsoft 365 Office – Bericht der Arbeitsgruppe zu den Ergebnissen der Gespräche mit Microsoft (TOP 9 der 3. Zwischenkonferenz 2020)

Bayern (LDA) führt in das Thema ein und verweist auf den erstellten Berichtsentwurf.

Die DSK nimmt den Bericht zur Arbeit der Arbeitsgruppe zur Kenntnis und billigt die Übermittlung an Microsoft zur Möglichkeit einer abschließenden Stellungnahme, wobei sich die DSK anschließend weitere Schlussfolgerungen aus den Feststellungen vorbehält.

Zudem legt die AG den finalen Bericht bis zu 104. DSK vor. Als Zeitplan wurde vereinbart, dass der Text des Berichts bis zum 2. November 2022 den Aufsichtsbehörden des Bundes und der Länder zur Stellungnahme vorgelegt werden soll. Anmerkungen können sodann bis zum 11. November 2022 vorgetragen werden.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 12 – Erneuerung der AK-Vorsitze

Der Vorsitz führt in das Thema ein und die DSK trifft folgende Festlegung:

Der Vorsitz des

  1. AK Auskunfteien und Inkasso wird dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) und LDA Bayern als Co-Vorsitz
  2. AK Beschäftigtendatenschutz wird der Landesbeauftragten für den Datenschutz Niedersachsen (LfD Niedersachsen)
  3. des AK Datenschutz und Bildungseinrichtungen wird dem Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit (TLfDI)
  4. des AK Medienkompetenz wird dem Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit (TLfDI)
  5. des AK Europa wird dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
  6. des AK Gesundheit und Soziales wird der Berliner Beauftragten für Datenschutz und Informationsfreiheit und der Sächsischen Datenschutzbeauftragten (ab 1.1.2023)
  7. des AK Grundsatzfragen des Datenschutzes wird dem BfDI
  8. des AK Justiz wird dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD)
  9. des AK Kreditwirtschaft wird der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
  10. des AK Organisation und Struktur wird dem HBDI
  11. des AK Sanktionen wird der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI)
  12. des AK Sicherheit wird dem Unabhängigen Landeszentrum für Datenschutz Schleswig- Holstein (ULD SH)
  13. des AK Statistik wird der LDI NRW
  14. des AK Technik wird dem Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
  15. des AK Verkehr wird dem BfDI
  16. des AK Versicherungswirtschaft wird der LfD Niedersachsen
  17. des AK Videoüberwachung wird dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW)
  18. des AK Wirtschaft wird der LDI NRW
  19. des AK Wissenschaft und Forschung wird dem HBDI und
  20. des AK Zertifizierung wird dem ULD SH

für die Dauer von vier Jahren übertragen.

Zudem wechselt der Vorsitz der Taskforce Facebook-Fanpages sowie die stellvertretende Ländervertretung in der Technology Expert Subgroup des Europäischen Datenschutzausschusses vom ULD SH zum Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI).

Gültig sind diese Änderungen ab dem 4. Oktober 2022.

Der Vorsitz des AK Werbung und Adresshandel wird in der 104. DSK erneut aufgerufen.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 13 – Diskussion zu extraterritorialen Zugriffsmöglichkeiten durch öffentliche Stellen

Bayern (LDA) führt in das Thema ein und erläutert den Diskussionsstand in der EDSA Subgroup „International Transfer Expert Subgroup“ über extraterritoriale Datenzugriffsmöglichkeiten für Behörden von Drittstaaten auf nominell in der EU angesiedelte Anbieter. Hamburg regt an, diesen Themenkomplex auch im Kontext Cloudspeicherung zu betrachten.

Die DSK trifft die folgende Festlegung:

  1. Der AK Internationaler Datenverkehr bekommt in Zusammenarbeit mit dem AK Grundsatz den Auftrag, eine Beschlussvorlage für die Frage exterritorialer Zugriffsmöglichkeiten durch öffentliche Stellen von Drittländern möglichst bis zur DSK vorzubereiten.
  2. Die Task Force Schrems-II legt zur 104. DSK einen Zwischenbericht vor. 

[15, 0, 1] (Zustimmung, Ablehnung, Enthaltung)*
*bei temporärer Abwesenheit Bremen

 

TOP 14 – Task Force Souveräne Cloud

BfDI führt in das Thema ein und berichtet über den aktuellen Stand der Task Force Souveräne Cloud, welche sich gemäß dem Beschluss der 103. DSK mit der Abgrenzung des Begriffs „Souveräne Cloud“ von anderen Cloud-Angeboten, der Formulierung von Anforderungen an „Souveräne Clouds“, um einen datenschutzrechtlich tragfähigen Betrieb zu ermöglichen sowie der Berücksichtigung von generischen und sektoralen Anforderungen befasst. Gemäß Beschluss legt die Task Force ein Ergebnis ihrer Arbeit auf der 104. DSK vor.

Rheinland-Pfalz regt an, das Ergebnis dann auch im Kontext Gesundheitsdatenraum zu beleuchten.

Die DSK nimmt den Bericht zur Kenntnis.

  

TOP 15 – Young Data – Kosten für regelmäßen Support

Thüringen führt in das Thema ein.

Die Mitglieder der Konferenz erklären ihre Zustimmung für die Bereitstellung der für den regelmäßigen Support und Aktualisierung von Young Data erforderlichen Hausmittel ab 2024 bis einschließlich 2026. Dabei werden der BfDI einen Anteil von 20% der Kosten und der Rest durch die Aufsichtsbehörden der Länder nach dem modifizierten Königsteiner Schlüssel übernommen.

[15, 0, 1] (Zustimmung, Ablehnung, Enthaltung)

  

TOP 16 – Bericht über den G7-DPA Roundtable 2022

BfDI führt in das Thema ein und berichtet von dem G7-DPA Roundtable 2022. Als Schwerpunktthemen wurden unter anderem Pandemic-Driven Tech Innovation, Development of a Framework for Cross-Border Transfer of Personal Data and Cooperation between G7 Data Protection Authorities und International data transfer tools including certification besprochen.

Auf Nachfrage von Niedersachsen berichtet BfDI zudem, dass diese Form des Roundtable erst zum zweiten Mal stattgefunden hat.

 

TOP 17 – 44. Jahreskonferenz der Global Privacy Assembly (GPA)

Der BfDI berichtet über die vom 25. bis 28. Oktober 2022 stattfindende International Conference of Data Protection and Privacy Commissioners in Istanbul und weist auf die Möglichkeit einer Teilnahme hin.

 

TOP 18 – Wechsel in der zeitlichen Abfolge des Vorsitzes der Datenschutzkonferenz zwischen Sachsen-Anhalt und Bremen

Sachsen-Anhalt führt in die Thematik ein und Bittet um Zustimmung im Wechsel des Vorsitzes.

Die Konferenz beschließt den Wechsel des Vorsitzes der Datenschutzkonferenz zwischen Sachsen-Anhalt und Bremen.

Demnach übernimmt Bremen den Vorsitz der Datenschutzkonferenz im Jahr 2024 und Sachsen-Anhalt 2030.

[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)

 

TOP 19 – Sonstiges

Berlin weist daraufhin, dass auf Grund des Umzugs die Erreichbarkeit in der 39. KW nicht gewährleistet ist.

Baden-Württemberg regt eine öffentliche Unterstützung der Stellungnahme von EDSA und EDSB zur Budgetplanung der EU im Bereich der Datenschutzaufsicht (https://edpb.europa.eu/system/files/2022-09/letteronbudget_out2022-0068.pdf) durch die DSK an. Die Mitglieder unterstützen dieses Vorhaben. Die genaue Form dieser Unterstützung seitens der DSK soll im Jour Fixe der DSK noch einmal erörtert werden.

Rheinland-Pfalz verkündet, dass die neue Stellvertretung von Herrn Prof. Dr. Kugelmann ihren Dienst zum 1. Dezember 2022 antreten wird. Der Vorsitzende bedankt sich bei Herrn Eiermann im Namen der Mitglieder der DSK für sein langjähriges Engagement. 

 

Prof. Ulrich Kelber

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

Seite drucken