Toolbar-Menü

Protokoll: Protokoll der 3. Zwischenkonferenz am 12. September 2019

TOP 01) Begrüßung und Organisatorisches 

Der Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 3. Zwischenkonferenz 2019 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Plenarsaal des rheinland-pfälzischen Landtags.

TOP 02) Tagesordnung und Protokoll 

Der Vorsitzende stellt dar, dass die Tagesordnungspunkte, welche Positionen und Kooperationen betreffen erst am Nachmittag behandelt werden sollen. Grund hierfür ist die verspätete Teilnahme der Kollegen des BfDI aufgrund der bestehenden Haushaltsverhandlungen im Bundestag.

Der Vorsitzende schlägt zudem vor, den Tagesordnungspunkt 16 vor Tagesordnungspunkt 11 behandeln. Der Tagesordnungspunkt 8 wird von Hessen zurückgezogen.

Sofern es die Zeit zulässt, möchte Hessen zudem unter dem TOP „Verschiedenes“ über den aktuellen Sachstand zur Vereinbarung mit der Deutschen Akkreditierungsstelle berichten.

Die Konferenz beschließt die Tagesordnung in der vom Vorsitzenden vorgeschlagenen Weise wie folgt:

[17, 0, 0] (Zustimmung, Enthaltung, Ablehnung)

TOP 03) Informationen zu Umlaufverfahren 

Die Konferenz nimmt die mit E-Mail vom 10.09.2019 versendete Übersicht bestehender und abgeschlossener Umlaufverfahren im Jahr 2019 zustimmend zur Kenntnis.

TOP 04) Bericht aus dem Europäischen Datenschutzausschuss 

Der Vorsitzende dankt Hamburg und dem BfDI für die Teilnahme an der vergangenen Plenumssitzung. Anschließend berichten der BfDI und Hamburg aus dem EDSA, u.a. zu folgenden Themen:

Der BfDI berichtet über die seit der letzten Konferenz am 25.06.2019 insgesamt zwei stattgefundenen Sitzungen des Europäischen Datenschutzausschusses (am 9/10. Juli sowie am 10.09.2019). Zu der Julisitzung berichtet der BfDI zu folgenden Themen:

  • Verabschiedete Guidelines zur Videoüberwachung (Öffentliche Konsultationsphase)
  • Verabschiedete Stellungnahme zur Kompetenz einer Aufsichtsbehörde, wenn die Hauptniederlassung bzw. die einzige Niederlassung auf europäischem Boden während eines laufenden Verfahrens in einen anderen europäischen Mitgliedstaat wechselt.
  • Gemeinsame Stellungnahme zu E-Health Digital Service Infrastructure.
  • Stellungnahmen zum Data Protection Impact Assessment (Listen nach Art. 35 DS-GVO von Zypern, Frankreich, Spanien und Tschechien)

Zu der Sitzung im September berichtet der BfDI das Folgende:

  • Künftige Zusammenarbeit
  • Fragen der Geschäftsordnung und wie diese ggfls. im Hinblick auf die Teilnahme von sog. Observern geändert werden kann
  • Abfassung des Protokolls
    Verteilung von Mandaten für Leitlinien

Der BfDI berichtet ergänzend von der Podiumsdiskussion, veranstaltet vom EDPS und dem BfDI, zum Thema „Herausforderungen für Datenschutz- und Wettbewerbsfähigkeit im digitalen Zeitalter“

Hamburg berichtet zu der Septembersitzung, dass dort überwiegend interne Diskussionen stattfanden sowie über die von Italien eingebrachte Fragestellung, wie künftig mit der Verarbeitung personenbezogener Daten gegen Entgelt umgegangen werden soll, bspw. durch App-Anbieter. In diesem Zusammenhang fügt Hamburg an, dass gewisse italienische App-Anbieter die Daten ihrer Nutzer auf Basis einer Einwilligung sammeln und diese hierfür finanziell entschädigen. Nutzer können somit ihre Daten freiwillig verkaufen. Es stelle sich in diesem Zusammenhang die Frage, wo die Grenzen einer Einwilligung zu ziehen sind. Eine Arbeitsgruppe soll sich nun mit dieser Fragestellung beschäftigen. Hamburg weist darauf hin, dass die Vorlage der Draft-Decisions der irischen Aufsichtsbehörde erst für Ende des Jahres vorgesehen ist.  

TOP 05) Bericht des Vorsitzes 

Der Vorsitzende berichtet zu folgenden Themen 

a)      Rahmenvertrag für Übersetzungsdienstleistungen

Der Vorsitzende stellt dar, dass sich bereits eine Reihe von Ländern bereit erklärt habe, dem Rahmenvertrag beizutreten. Vorteil des Vertrags sei es, das dieser keine Grundgebühr beinhaltet und Kosten nur dann entstehen, wenn Übersetzungsdienstleistungen beansprucht werden.  Das Kurzpapier „international data transfers“ sei probeweise mit einem guten Ergebnis übersetzt worden. 

b)      Schreiben des Vorsitzes an die Innenministerkonferenz 

Der Vorsitzende stellt dar, der Bitte der Konferenz nachgekommen zu sein und ein Schreiben an den Vorsitzenden der Innenministerkonferenz verfasst zu haben, mit der Bitte der DSK künftig einen erleichterten Zugang zu Dokumenten der IMK zu gewähren. Der Vorsitzende der IMK, Herr Minister Grothe, bezieht sich in seinem Antwortschreiben auf ein erstelltes Gutachten, in dem ein allgemeiner Zugang der Datenschutzaufsichtsbehörden zu Dokumenten der IMK verneint werde. Einen solchen soll es deshalb auch künftig nicht geben. Damit sei im Einzelfall zu prüfen, ob ein Dokument der IMK angefordert werde. Weitere Gespräche seien nicht angezeigt.

c)      Europäischer Datenschutztag am 28.01.2020 

Der Vorsitzende informiert über die bisherigen Planungen zum Europäischen Datenschutztag 2020, der in den Räumlichkeiten der Europäischen Kommission in Berlin stattfinden wird. Bisher gibt es Zusagen des Kanzleramtsministers Prof. Dr. Braun, von Herrn Prof. Dr.  Thomas von Danwitz (unter Vorbehalt), Herrn Prof. Dr. Martini (Mitglied der Datenethikkommission), Frau Prof. Dr. Zweig (Mitglied der Enquête Kommission des Bundestages) und von Frau Prof. Dr. Birgit Stark.  

 

d)      Veröffentlichung des Bußgeldkonzeptes der Datenschutzkonferenz 

Der Vorsitzende stellt dar, dass es vermehrt Anfragen gäbe, mit der Bitte um Übersendung des von der Konferenz erstellten Entwurfs eines Bußgeldkonzeptes. Nach Erörterung der Problematik, beschließt die Konferenz mit Blick auf den Verfahrensstand der Entwicklung des Konzepts einstimmig, dass das Bußgeldkonzept auf der 98. Datenschutzkonferenz im November 2019 in Trier weiter beraten werden soll. Dort soll nach vorheriger Prüfung über eine Veröffentlichung des Bußgeldkonzeptes entschieden werden.

 TOP 06) Bericht der Taskforce Facebook Fanpages 

Schleswig-Holstein berichtet über den Termin vom 11.09.2019  beim Bundesverwaltungsgericht in Leipzig, welches entschied, dass Betreiber von Facebook Fanpages als Verantwortliche anzusehen seien. Die Reichweite der Verantwortlichkeit ließ das Gericht jedoch offen.  Facebook Fanpage-Betreiber seien aus Sicht des BVerwG „Türöffner für die Datenerhebung“. Eine Reduktion durch das Fashion-ID Urteils des EuGH sahen die Richter des BVerwG nicht. Eine Anordnung ggü. Facebook Fanpage-Betreibern durch die zuständige Datenschutzaufsichtsbehörde sei laut BVerwG möglich und könne ein verhältnismäßiges Mittel darstellen. 

Des Weiteren berichtet Schleswig-Holstein über ein am 18.07.2019 in Hamburg durchgeführtes Gespräch mit Facebook. Entscheidende datenschutzrechtliche Fragestellungen konnten in dem Gespräch seitens Facebook jedoch nicht beantwortet werden, insbesondere sei mit Blick auf Art. 26 DS-GVO keine überarbeitete Fassung des derzeitigen „Addendums“ vorgelegt worden. Eine solche sei von Facebook für Oktober angekündigt worden. Des Weiteren sei als Reaktion auf die aktuelle EuGH-Rechtsprechung ein separates Addendum für Social Plugins vorgesehen. Das Protokoll des Treffens sei den Teilnehmern der Datenschutzkonferenz mit Mail vom 23.07.2019 zur Verfügung gestellt worden. Ein nächstes Gespräch der Taskforce mit Facebook sei für Oktober geplant. 

Der BfDI erläutert, dass das Bundespresseamt nach Bekanntwerden dieser Problematik  eine Taskforce eingesetzt habe, die sich mit der Thematik für die Bundesregierung befasst. Hierbei habe es bereits Kontakt zu Facebook gegeben, was jedoch nicht den gewünschten Erfolg mit sich brachte, weshalb sich die Taskforce weiter mit der Thematik beschäftigen wolle. 

Der Vorsitzende dankt der Taskforce Facebook Fanpages für die schnelle und qualitativ hochwertige Arbeit.

TOP 07) Koordinierung der Verarbeitung von Meldungen nach Art. 33 DS-GVO 

Das LDA Bayern bedankt sich bei allen teilnehmenden Datenschutzaufsichtsbehörden, die sich an der initiierten Umfrage beteiligt haben. Das LDA Bayern regt an, eine einheitliche Vorgehensweise bei der Bearbeitung von Meldungen nach Art. 33 DS-GVO umzusetzen und stellt die hierfür notwendigen Umsetzungsschritte dar. Die Konferenz beauftragt eine Taskforce unter Federführung des LDA Bayern diese Thematik weiter aufzubereiten. An der Taskforce beteiligen sich Bremen, SachsenSchleswig-HolsteinRheinland-Pfalz der BfDI und Niedersachsen

[15,2,0] 

Hessen und Berlin enthalten sich. 

Die eingerichtete Taskforce soll sich hierbei insbesondere mit den nachfolgenden Fragestellungen beschäftigen:

a)      Welche Kriterien sind für meldepflichtige Tatbestände i.S.d. Art. 33 DS-GVO zugrunde zu legen?

b)      Wann ist ein Risiko, wann ein hohes Risiko anzunehmen?

TOP 08) Bericht aus dem AK Organisation und Struktur 

Der Tagesordnungspunkt wurde von Hessen aufgrund einer Terminkollision zurückgezogen.

 TOP 09) Auswirkungen des § 29 Abs. 3 BDSG auf die Prüftätigkeit der Aufsichtsbehörden 

Hessen stellt die aus § 29 Abs. 3 BDSG resultierende Problematik der Kontrolle durch die zuständigen Datenschutzaufsichtsbehörden von Geheimnisträgern wie bspw. Ärztinnen und Ärzten dar. Hierdurch werde es der Hessischen Datenschutzaufsichtsbehörde erheblich erschwert Kontrollen durchzuführen. Berlin berichtet über ähnlich gelagerte Problemfälle. Der LfD Bayern berichtet ebenfalls über ähnliche Problemfälle bei Notaren. Hamburg schließt sich den dargestellten Problematiken, insbesondere im Bereich der Krankenhausinformationssysteme an. 

Die Konferenz spricht sich dafür aus, zunächst weitere Erfahrungen im Rahmen von Kontrollen zu sammeln, um die Auswirkungen der Regelungen auf die Aufgaben der Aufsichtsbehörden bewerten zu können.

TOP 10) Vollzug der Orientierungshilfe für Anbieter von Telemedien 

Das LDA Bayern bittet um Rückmeldungen dazu, wie die von der DSK verabschiedete Orientierungshilfe für Anbieter von Telemedien  in der Aufsichtspraxis angewendet wird. Rheinland-Pfalz berichtet über die in diesem Zusammenhang insgesamt zwei erlassenen Anordnungen. Niedersachsen berichtet über eine in diesem Zusammenhang kürzlich gestartete branchenunabhängige Prüfung. Der LfD Bayern berichtet anschließend über eine Pressemitteilung von „Privacy International“ zu Trackinggepflogenheiten von Gesundheitsdienstanbietern und einen in diesem Zusammenhang vom AK Gesundheit und Soziales geplanten Entschließungs-oder Beschlussentwurf, welcher der Konferenz ggf. zur nächsten Sitzung im November zur Abstimmung vorgelegt werden soll. 

Die Teilnehmer verständigen sich darauf, Informationen über Aufsichtsmaßnahmen, die auf der Grundlage der Orientierungshilfe getroffen werden, auszutauschen.

TOP 11) Digitalisierung der Verwaltung ohne einheitliche, verwaltungsübergreifende Personenkennzeichen 

Die vom BfDI und Mecklenburg-Vorpommern erarbeitete Entschließung wird vom BfDI vorgestellt. Der Vorsitzende dankt den Beteiligten für die Erstellung der Entschließung. Nach Beratung stimmt die Konferenz über den bearbeiteten Entschließungstext mit dem nachfolgenden Ergebnis ab: 

[17,0,0] 

Damit die Entschließung ihren Weg in die konkrete Arbeit findet, wird der Vorsitzende ein Schreiben an den zuständigen Staatssekretär Klaus Vitt mit der Bitte um Berücksichtigung verfassen. 

Des weiteren weist Niedersachsen darauf hin, dass vom BMI im Rahmen der Beteiligung der verschiedenen Interessengruppen drei sog. „Expertengruppen“ mit den Schwerpunkten Technik, Recht und Umsetzung eingerichtet wurden. Die fachlich dazu die korrespondierenden Vertreter der DSK aus den AKs Technik, Grundsatz und Verwaltung wurden jedoch ausschließlich in die Expertengruppe Recht eingeladen. Dies stellt sich als unvorteilhaft für die Mitwirkungsmöglichkeiten der DSK dar. Der BfDI sagt zu, auf eine Beteiligung der DSK Vertreter in allen drei Expertengremien hinwirken zu wollen.

TOP 12) Sachliche Zuständigkeit für E-Mail und andere OTT-Dienste – Auswirkungen des EuGH-Urteils zu Gmail (C-193/18) 

Der BfDI berichtet über einen dem AK-Medien unterbreiteten Vorschlag zur künftigen Verteilung der Zuständigkeit für E-Mail und andere Over-the-top Dienste (OTT) auf  Basis des EuGH Urteils. Der AK-Medien habe sich dem Vorschlag des BfDI angeschlossen.

Die Konferenz stimmt anschließend über den in diesem Zusammenhang vom AK-Medien vorgelegten Beschlussvorschlag mit dem nachfolgenden Ergebnis ab: [7, 9, 1] 

Hamburg stimmt gegen den Beschlussvorschlag. 

TOP 13) Befassung der DSK mit den Mustertexten der Medizininformatik-Initiative 

Hessen stellt die Problematik des möglichen Eigentums an Biodaten dar. Mecklenburg- VorpommernBerlin, Brandenburg, Sachsen und Hamburg äußern Bedenken hinsichtlich einzelner Formulierungen des Beschlussvorschlags. Die Konferenz kommt überein, dass die Thematik der Mustertexte der Medizininformatik-Initiative an den federführenden Arbeitskreis „Wissenschaft“ zurückverwiesen wird. Dieser soll unter Beteiligung der Arbeitskreise „Gesundheit und Soziales“, „Internationaler Datenverkehr“ und „Grundsatz“ der Konferenz einen überarbeiteten Beschlussvorschlag unterbreiten.

TOP 14) Datenschutzrechtliche Verantwortung in der Telematikinfrastruktur (TI) der gematik (Gesellschaft für Telematikanwendungen) 

Der BfDI stellt dar, dass das Thema in der UAG EGK intensiv erörtert wurde. Mecklenburg-Vorpommern erläutert anschließend die vorgenommenen Präzisierungen am Beschlussvorschlag. Im Anschluss hieran stimmt die Konferenz dem vorgelegten und auf der Konferenz angepassten Beschlussvorschlag mit dem nachfolgenden Ergebnis zu: 

[15, 0, 2] 

Baden-Württemberg und Nordrhein-Westfalen stimmen dagegen 

TOP 15) Positionierung des HBDI zu MS Office 365 

Hessen stellt seine rechtliche Positionierung zum Einsatz von Microsoft Office 365 dar und erläutert, dass es sich dabei mit Blick auf von Microsoft gegebene Zusagen um eine einstweilige Duldung handele, die nach entsprechender Güterabwägung ausgesprochen worden sei. Brandenburg stellt dar, dass der AK Verwaltung die Thematik derzeit behandele, mit dem Ziel eine gemeinsame Positionierung zum Einsatz von Microsoft Office 365 zu erarbeiten.

TOP 16) Positionierung der DSK zu Windows 10, Zwischenbericht 

Niedersachsen berichtet über den Arbeitsstand der ad hoc AG und von festgestellten Defiziten an der untersuchten Microsoft Windows 10 Enterprise Edition, welche in der datenschutzrechtlichen Positionierung zusammengefasst wurden. Das von der ad-hoc AG erstellte Papier befindet sich derzeit in der Beratung durch den AK Technik. Es wird vereinbart, das Papier im AK Technik und der ad hoc AG zunächst lediglich fachlich abzustimmen, ungeachtet der Frage der weiteren Verwendung. Ein weiteres von der ad hoc AG erstelltes Papier ist das „Prüfschema Win10“ incl. dem Anhang zu „weitergehenden technischen Aspekten“. Es soll Verantwortliche, die Windows 10 bereits einsetzen oder dies beabsichtigen in die Lage versetzen, eigenständig die Einhaltung der rechtlichen Vorgaben der DS-GVO in ihrem konkreten Fall zu prüfen und zu dokumentieren. Auch dieses Papier befindet sich zur Abstimmung im AK Technik. 

Im Zusammenhang mit einer vom LDA Bayern angemeldeten Fragestellung, erörtert die Konferenz anschließend Fragestellungen rund um die Bearbeitung von Beschwerden gegen Microsoft, die federführende irische Aufsichtsbehörde sowie über die Frage nach der Zulässigkeit der Verwendung von Microsoft Windows 10 im Beschäftigungsverhältnis. Die Konferenz nimmt den Bericht der ad hoc AG anschließend zustimmend zur Kenntnis und 

  1. erteilt dem AK Technik den Auftrag, die von der ad hoc AG „Windows 10“ vorgelegten Papiere zur „datenschutzrechtlichen Bewertung der Windows 10 Edition Enterprise im Telemetrielevel Security“ sowie das „Prüfschema zum datenschutzkonformen Einsatz von Windows 10“ zu finalisieren und zur 98. Datenschutzkonferenz vorzulegen.
  2. erteilt der ad hoc AG den Auftrag, auf Basis der finalisierten Papiere die Betrachtung auf weitere Editionen und Telemetrielevel auszuweiten.
  3. beauftragt den AK Grundsatz mit der Klärung der Frage: „Welche Möglichkeiten der öffentlichen Positionierung zur Datenschutzkonformität kommerzieller Produkte, die von verantwortlichen Stellen eingesetzt und bei denen personenbezogene Daten durch den Hersteller verarbeitet werden, hat die Datenschutzkonferenz? Hierbei sind am Beispiel von Windows 10 insbesondere die Aspekte der Rechtmäßigkeit, der Zuständigkeit und des Vollzugs zu betrachten.
     

TOP 17) Tracking bei Presseportalen 

Hamburg berichtet von vermehrten Beschwerden aufgrund von Tracking und Hinzuziehung von Werbenetzwerken bei der Nutzung von Pressportalen. Aufgrund dessen wurde ein Treffen mit dem Bundesverband der Zeitungswirtschaft und weiterer Verbände anberaumt. Bei dem Treffen wurde den Teilnehmern die Rechtsaufassung des Hamburgischen Datenschutzbeauftragten in der Angelegenheit mitgeteilt und verschiedene Lösungsvorschläge für die Problematik erörtert. Weitere Gesprächstermine folgen im Oktober.  Über den Fortgang der Gespräche wird Hamburg die Konferenz unterrichten und regt an, entsprechende Webseiten in die vorgesehene konzertierte Prüfung zu Trackingmechanismen einzubeziehen. Der Vorsitzende dankt Hamburg für die Initiative und das Führen der Gespräche und bittet um einen Bericht zum Sachstand auf der 98. Datenschutzkonferenz.

TOP 18) Transkriptionen durch Anbieter von Sprachassistenzsystemen 

Hamburg berichtet, dass beim Google-Assistant stichprobenartig Sprachaufzeichnungen durch externe Mitarbeiter händisch transkribiert wurden. Hierdurch sei es zu einer Auswertung der Sprachaufzeichnungen gekommen. Besonders problematisch sei hierbei, dass es bei Google und anderen Sprachassistenzsystemen zu Fehlaktivierungen komme. Hierdurch würden personenbezogene Daten erhoben, ohne dass die Betroffenen hiervon Kenntnis erhielten. Aufgrund dessen hat Hamburg ein Dringlichkeitsverfahren nach Art. 66 DS-GVO in Aussicht gestellt, mit dem Ergebnis, dass Google die Praxis des Transkribierens für einen Zeitraum von zunächst 3 Monaten zurückgestellt hat. Hieraufhin hat Hamburg zunächst von der Einleitung eines Dringlichkeitsverfahrens abgesehen. Sofern die von Hamburg gestellten Forderungen  seitens Google nicht erfüllt werden, soll das Dringlichkeitsverfahren jedoch eingeleitet werden.  Über den weiteren Verlauf der Angelegenheit wird Hamburg auf der 98. Datenschutzkonferenz berichten und ggf. einen Entschließungsentwurf zur Abstimmung vorlegen. 

TOP 19) Gütliche Einigung (Amicable Settlement) 

Der Vorsitzende führt in die Thematik der Amicable Settlements ein, welche nach irischem Verwaltungsverfahrensrecht als zulässig angesehen werden könnten. Berlin berichtet über zunehmende Vorschläge aus Irland für eine sog. Gütliche Einigung und hieraus resultierenden verfassungs- und europarechtliche Fragestellungen und Problematiken, insbesondere wenn es hierdurch zu einer abschließenden Entscheidung komme. Das Thema sei von Berlin bereits im Board angesprochen, sowie an die Cooperation Subgroup kommuniziert worden.

Baden-Württemberg stellt sich als Rapporteur zur Verfügung Der BfDI nimmt als Co-Rapporteur teil. Berlin unterstützt Baden-Württemberg als permanenter Ländervertreter in der Cooperation Expert Subgroup.

TOP 20) Verschiedenes 

a)     Vereinbarung mit der DAkkS 

Hessen teilt mit, dass eine Mitarbeiterin aus der IT von der DAkkS als Mitglied in das Sektorkommitee DS berufen wurde.

b)     Mitarbeit der spezifischen Aufsichtsbehörden in Arbeitskreisen der DSK

Der Vorsitzende berichtet über den Wunsch der spezifischen Aufsichtsbehörden an Arbeitskreisen der Datenschutzkonferenz teilzunehmen und bittet die Vorsitzenden der angefragten Arbeitskreise um wohlwollende Prüfung der Anfragen. 

c)      Veranstaltungen

Der BfDI weist auf das von ihm ausgerichtete Symposium zur Künstlichen Intelligenz am 24.9.2019 in Berlin hin, die LfDI Saarland auf die vom Unabhängigen Datenschutzzentrum des Saarlandes in der Saarländischen Landesvertretung am 17.9. ausgerichtete Veranstaltung zur grenzüberschreitenden Zusammenarbeit, der LfDI RP auf das in Kooperation mit dem LfDI Baden-Württemberg ausgerichtete All-female Panel zu KI am 17.9. in Ludwigshafen.

TOP 01) Begrüßung und Organisatorisches 

Der Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 3. Zwischenkonferenz 2019 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Plenarsaal des rheinland-pfälzischen Landtags.

TOP 02) Tagesordnung und Protokoll 

Der Vorsitzende stellt dar, dass die Tagesordnungspunkte, welche Positionen und Kooperationen betreffen erst am Nachmittag behandelt werden sollen. Grund hierfür ist die verspätete Teilnahme der Kollegen des BfDI aufgrund der bestehenden Haushaltsverhandlungen im Bundestag.

Der Vorsitzende schlägt zudem vor, den Tagesordnungspunkt 16 vor Tagesordnungspunkt 11 behandeln. Der Tagesordnungspunkt 8 wird von Hessen zurückgezogen.

Sofern es die Zeit zulässt, möchte Hessen zudem unter dem TOP „Verschiedenes“ über den aktuellen Sachstand zur Vereinbarung mit der Deutschen Akkreditierungsstelle berichten.

Die Konferenz beschließt die Tagesordnung in der vom Vorsitzenden vorgeschlagenen Weise wie folgt:

[17, 0, 0] (Zustimmung, Enthaltung, Ablehnung)

TOP 03) Informationen zu Umlaufverfahren 

Die Konferenz nimmt die mit E-Mail vom 10.09.2019 versendete Übersicht bestehender und abgeschlossener Umlaufverfahren im Jahr 2019 zustimmend zur Kenntnis.

TOP 04) Bericht aus dem Europäischen Datenschutzausschuss 

Der Vorsitzende dankt Hamburg und dem BfDI für die Teilnahme an der vergangenen Plenumssitzung. Anschließend berichten der BfDI und Hamburg aus dem EDSA, u.a. zu folgenden Themen:

Der BfDI berichtet über die seit der letzten Konferenz am 25.06.2019 insgesamt zwei stattgefundenen Sitzungen des Europäischen Datenschutzausschusses (am 9/10. Juli sowie am 10.09.2019). Zu der Julisitzung berichtet der BfDI zu folgenden Themen:

  • Verabschiedete Guidelines zur Videoüberwachung (Öffentliche Konsultationsphase)
  • Verabschiedete Stellungnahme zur Kompetenz einer Aufsichtsbehörde, wenn die Hauptniederlassung bzw. die einzige Niederlassung auf europäischem Boden während eines laufenden Verfahrens in einen anderen europäischen Mitgliedstaat wechselt.
  • Gemeinsame Stellungnahme zu E-Health Digital Service Infrastructure.
  • Stellungnahmen zum Data Protection Impact Assessment (Listen nach Art. 35 DS-GVO von Zypern, Frankreich, Spanien und Tschechien)

Zu der Sitzung im September berichtet der BfDI das Folgende:

  • Künftige Zusammenarbeit
  • Fragen der Geschäftsordnung und wie diese ggfls. im Hinblick auf die Teilnahme von sog. Observern geändert werden kann
  • Abfassung des Protokolls
    Verteilung von Mandaten für Leitlinien

Der BfDI berichtet ergänzend von der Podiumsdiskussion, veranstaltet vom EDPS und dem BfDI, zum Thema „Herausforderungen für Datenschutz- und Wettbewerbsfähigkeit im digitalen Zeitalter“

Hamburg berichtet zu der Septembersitzung, dass dort überwiegend interne Diskussionen stattfanden sowie über die von Italien eingebrachte Fragestellung, wie künftig mit der Verarbeitung personenbezogener Daten gegen Entgelt umgegangen werden soll, bspw. durch App-Anbieter. In diesem Zusammenhang fügt Hamburg an, dass gewisse italienische App-Anbieter die Daten ihrer Nutzer auf Basis einer Einwilligung sammeln und diese hierfür finanziell entschädigen. Nutzer können somit ihre Daten freiwillig verkaufen. Es stelle sich in diesem Zusammenhang die Frage, wo die Grenzen einer Einwilligung zu ziehen sind. Eine Arbeitsgruppe soll sich nun mit dieser Fragestellung beschäftigen. Hamburg weist darauf hin, dass die Vorlage der Draft-Decisions der irischen Aufsichtsbehörde erst für Ende des Jahres vorgesehen ist.  

TOP 05) Bericht des Vorsitzes 

Der Vorsitzende berichtet zu folgenden Themen 

a)      Rahmenvertrag für Übersetzungsdienstleistungen

Der Vorsitzende stellt dar, dass sich bereits eine Reihe von Ländern bereit erklärt habe, dem Rahmenvertrag beizutreten. Vorteil des Vertrags sei es, das dieser keine Grundgebühr beinhaltet und Kosten nur dann entstehen, wenn Übersetzungsdienstleistungen beansprucht werden.  Das Kurzpapier „international data transfers“ sei probeweise mit einem guten Ergebnis übersetzt worden. 

b)      Schreiben des Vorsitzes an die Innenministerkonferenz 

Der Vorsitzende stellt dar, der Bitte der Konferenz nachgekommen zu sein und ein Schreiben an den Vorsitzenden der Innenministerkonferenz verfasst zu haben, mit der Bitte der DSK künftig einen erleichterten Zugang zu Dokumenten der IMK zu gewähren. Der Vorsitzende der IMK, Herr Minister Grothe, bezieht sich in seinem Antwortschreiben auf ein erstelltes Gutachten, in dem ein allgemeiner Zugang der Datenschutzaufsichtsbehörden zu Dokumenten der IMK verneint werde. Einen solchen soll es deshalb auch künftig nicht geben. Damit sei im Einzelfall zu prüfen, ob ein Dokument der IMK angefordert werde. Weitere Gespräche seien nicht angezeigt.

c)      Europäischer Datenschutztag am 28.01.2020 

Der Vorsitzende informiert über die bisherigen Planungen zum Europäischen Datenschutztag 2020, der in den Räumlichkeiten der Europäischen Kommission in Berlin stattfinden wird. Bisher gibt es Zusagen des Kanzleramtsministers Prof. Dr. Braun, von Herrn Prof. Dr.  Thomas von Danwitz (unter Vorbehalt), Herrn Prof. Dr. Martini (Mitglied der Datenethikkommission), Frau Prof. Dr. Zweig (Mitglied der Enquête Kommission des Bundestages) und von Frau Prof. Dr. Birgit Stark.  

 

d)      Veröffentlichung des Bußgeldkonzeptes der Datenschutzkonferenz 

Der Vorsitzende stellt dar, dass es vermehrt Anfragen gäbe, mit der Bitte um Übersendung des von der Konferenz erstellten Entwurfs eines Bußgeldkonzeptes. Nach Erörterung der Problematik, beschließt die Konferenz mit Blick auf den Verfahrensstand der Entwicklung des Konzepts einstimmig, dass das Bußgeldkonzept auf der 98. Datenschutzkonferenz im November 2019 in Trier weiter beraten werden soll. Dort soll nach vorheriger Prüfung über eine Veröffentlichung des Bußgeldkonzeptes entschieden werden.

 TOP 06) Bericht der Taskforce Facebook Fanpages 

Schleswig-Holstein berichtet über den Termin vom 11.09.2019  beim Bundesverwaltungsgericht in Leipzig, welches entschied, dass Betreiber von Facebook Fanpages als Verantwortliche anzusehen seien. Die Reichweite der Verantwortlichkeit ließ das Gericht jedoch offen.  Facebook Fanpage-Betreiber seien aus Sicht des BVerwG „Türöffner für die Datenerhebung“. Eine Reduktion durch das Fashion-ID Urteils des EuGH sahen die Richter des BVerwG nicht. Eine Anordnung ggü. Facebook Fanpage-Betreibern durch die zuständige Datenschutzaufsichtsbehörde sei laut BVerwG möglich und könne ein verhältnismäßiges Mittel darstellen. 

Des Weiteren berichtet Schleswig-Holstein über ein am 18.07.2019 in Hamburg durchgeführtes Gespräch mit Facebook. Entscheidende datenschutzrechtliche Fragestellungen konnten in dem Gespräch seitens Facebook jedoch nicht beantwortet werden, insbesondere sei mit Blick auf Art. 26 DS-GVO keine überarbeitete Fassung des derzeitigen „Addendums“ vorgelegt worden. Eine solche sei von Facebook für Oktober angekündigt worden. Des Weiteren sei als Reaktion auf die aktuelle EuGH-Rechtsprechung ein separates Addendum für Social Plugins vorgesehen. Das Protokoll des Treffens sei den Teilnehmern der Datenschutzkonferenz mit Mail vom 23.07.2019 zur Verfügung gestellt worden. Ein nächstes Gespräch der Taskforce mit Facebook sei für Oktober geplant. 

Der BfDI erläutert, dass das Bundespresseamt nach Bekanntwerden dieser Problematik  eine Taskforce eingesetzt habe, die sich mit der Thematik für die Bundesregierung befasst. Hierbei habe es bereits Kontakt zu Facebook gegeben, was jedoch nicht den gewünschten Erfolg mit sich brachte, weshalb sich die Taskforce weiter mit der Thematik beschäftigen wolle. 

Der Vorsitzende dankt der Taskforce Facebook Fanpages für die schnelle und qualitativ hochwertige Arbeit.

TOP 07) Koordinierung der Verarbeitung von Meldungen nach Art. 33 DS-GVO 

Das LDA Bayern bedankt sich bei allen teilnehmenden Datenschutzaufsichtsbehörden, die sich an der initiierten Umfrage beteiligt haben. Das LDA Bayern regt an, eine einheitliche Vorgehensweise bei der Bearbeitung von Meldungen nach Art. 33 DS-GVO umzusetzen und stellt die hierfür notwendigen Umsetzungsschritte dar. Die Konferenz beauftragt eine Taskforce unter Federführung des LDA Bayern diese Thematik weiter aufzubereiten. An der Taskforce beteiligen sich Bremen, SachsenSchleswig-HolsteinRheinland-Pfalz der BfDI und Niedersachsen

[15,2,0] 

Hessen und Berlin enthalten sich. 

Die eingerichtete Taskforce soll sich hierbei insbesondere mit den nachfolgenden Fragestellungen beschäftigen:

a)      Welche Kriterien sind für meldepflichtige Tatbestände i.S.d. Art. 33 DS-GVO zugrunde zu legen?

b)      Wann ist ein Risiko, wann ein hohes Risiko anzunehmen?

TOP 08) Bericht aus dem AK Organisation und Struktur 

Der Tagesordnungspunkt wurde von Hessen aufgrund einer Terminkollision zurückgezogen.

 TOP 09) Auswirkungen des § 29 Abs. 3 BDSG auf die Prüftätigkeit der Aufsichtsbehörden 

Hessen stellt die aus § 29 Abs. 3 BDSG resultierende Problematik der Kontrolle durch die zuständigen Datenschutzaufsichtsbehörden von Geheimnisträgern wie bspw. Ärztinnen und Ärzten dar. Hierdurch werde es der Hessischen Datenschutzaufsichtsbehörde erheblich erschwert Kontrollen durchzuführen. Berlin berichtet über ähnlich gelagerte Problemfälle. Der LfD Bayern berichtet ebenfalls über ähnliche Problemfälle bei Notaren. Hamburg schließt sich den dargestellten Problematiken, insbesondere im Bereich der Krankenhausinformationssysteme an. 

Die Konferenz spricht sich dafür aus, zunächst weitere Erfahrungen im Rahmen von Kontrollen zu sammeln, um die Auswirkungen der Regelungen auf die Aufgaben der Aufsichtsbehörden bewerten zu können.

TOP 10) Vollzug der Orientierungshilfe für Anbieter von Telemedien 

Das LDA Bayern bittet um Rückmeldungen dazu, wie die von der DSK verabschiedete Orientierungshilfe für Anbieter von Telemedien  in der Aufsichtspraxis angewendet wird. Rheinland-Pfalz berichtet über die in diesem Zusammenhang insgesamt zwei erlassenen Anordnungen. Niedersachsen berichtet über eine in diesem Zusammenhang kürzlich gestartete branchenunabhängige Prüfung. Der LfD Bayern berichtet anschließend über eine Pressemitteilung von „Privacy International“ zu Trackinggepflogenheiten von Gesundheitsdienstanbietern und einen in diesem Zusammenhang vom AK Gesundheit und Soziales geplanten Entschließungs-oder Beschlussentwurf, welcher der Konferenz ggf. zur nächsten Sitzung im November zur Abstimmung vorgelegt werden soll. 

Die Teilnehmer verständigen sich darauf, Informationen über Aufsichtsmaßnahmen, die auf der Grundlage der Orientierungshilfe getroffen werden, auszutauschen.

TOP 11) Digitalisierung der Verwaltung ohne einheitliche, verwaltungsübergreifende Personenkennzeichen 

Die vom BfDI und Mecklenburg-Vorpommern erarbeitete Entschließung wird vom BfDI vorgestellt. Der Vorsitzende dankt den Beteiligten für die Erstellung der Entschließung. Nach Beratung stimmt die Konferenz über den bearbeiteten Entschließungstext mit dem nachfolgenden Ergebnis ab: 

[17,0,0] 

Damit die Entschließung ihren Weg in die konkrete Arbeit findet, wird der Vorsitzende ein Schreiben an den zuständigen Staatssekretär Klaus Vitt mit der Bitte um Berücksichtigung verfassen. 

Des weiteren weist Niedersachsen darauf hin, dass vom BMI im Rahmen der Beteiligung der verschiedenen Interessengruppen drei sog. „Expertengruppen“ mit den Schwerpunkten Technik, Recht und Umsetzung eingerichtet wurden. Die fachlich dazu die korrespondierenden Vertreter der DSK aus den AKs Technik, Grundsatz und Verwaltung wurden jedoch ausschließlich in die Expertengruppe Recht eingeladen. Dies stellt sich als unvorteilhaft für die Mitwirkungsmöglichkeiten der DSK dar. Der BfDI sagt zu, auf eine Beteiligung der DSK Vertreter in allen drei Expertengremien hinwirken zu wollen.

TOP 12) Sachliche Zuständigkeit für E-Mail und andere OTT-Dienste – Auswirkungen des EuGH-Urteils zu Gmail (C-193/18) 

Der BfDI berichtet über einen dem AK-Medien unterbreiteten Vorschlag zur künftigen Verteilung der Zuständigkeit für E-Mail und andere Over-the-top Dienste (OTT) auf  Basis des EuGH Urteils. Der AK-Medien habe sich dem Vorschlag des BfDI angeschlossen.

Die Konferenz stimmt anschließend über den in diesem Zusammenhang vom AK-Medien vorgelegten Beschlussvorschlag mit dem nachfolgenden Ergebnis ab: [7, 9, 1] 

Hamburg stimmt gegen den Beschlussvorschlag. 

TOP 13) Befassung der DSK mit den Mustertexten der Medizininformatik-Initiative 

Hessen stellt die Problematik des möglichen Eigentums an Biodaten dar. Mecklenburg- VorpommernBerlin, Brandenburg, Sachsen und Hamburg äußern Bedenken hinsichtlich einzelner Formulierungen des Beschlussvorschlags. Die Konferenz kommt überein, dass die Thematik der Mustertexte der Medizininformatik-Initiative an den federführenden Arbeitskreis „Wissenschaft“ zurückverwiesen wird. Dieser soll unter Beteiligung der Arbeitskreise „Gesundheit und Soziales“, „Internationaler Datenverkehr“ und „Grundsatz“ der Konferenz einen überarbeiteten Beschlussvorschlag unterbreiten.

TOP 14) Datenschutzrechtliche Verantwortung in der Telematikinfrastruktur (TI) der gematik (Gesellschaft für Telematikanwendungen) 

Der BfDI stellt dar, dass das Thema in der UAG EGK intensiv erörtert wurde. Mecklenburg-Vorpommern erläutert anschließend die vorgenommenen Präzisierungen am Beschlussvorschlag. Im Anschluss hieran stimmt die Konferenz dem vorgelegten und auf der Konferenz angepassten Beschlussvorschlag mit dem nachfolgenden Ergebnis zu: 

[15, 0, 2] 

Baden-Württemberg und Nordrhein-Westfalen stimmen dagegen 

TOP 15) Positionierung des HBDI zu MS Office 365 

Hessen stellt seine rechtliche Positionierung zum Einsatz von Microsoft Office 365 dar und erläutert, dass es sich dabei mit Blick auf von Microsoft gegebene Zusagen um eine einstweilige Duldung handele, die nach entsprechender Güterabwägung ausgesprochen worden sei. Brandenburg stellt dar, dass der AK Verwaltung die Thematik derzeit behandele, mit dem Ziel eine gemeinsame Positionierung zum Einsatz von Microsoft Office 365 zu erarbeiten.

TOP 16) Positionierung der DSK zu Windows 10, Zwischenbericht 

Niedersachsen berichtet über den Arbeitsstand der ad hoc AG und von festgestellten Defiziten an der untersuchten Microsoft Windows 10 Enterprise Edition, welche in der datenschutzrechtlichen Positionierung zusammengefasst wurden. Das von der ad-hoc AG erstellte Papier befindet sich derzeit in der Beratung durch den AK Technik. Es wird vereinbart, das Papier im AK Technik und der ad hoc AG zunächst lediglich fachlich abzustimmen, ungeachtet der Frage der weiteren Verwendung. Ein weiteres von der ad hoc AG erstelltes Papier ist das „Prüfschema Win10“ incl. dem Anhang zu „weitergehenden technischen Aspekten“. Es soll Verantwortliche, die Windows 10 bereits einsetzen oder dies beabsichtigen in die Lage versetzen, eigenständig die Einhaltung der rechtlichen Vorgaben der DS-GVO in ihrem konkreten Fall zu prüfen und zu dokumentieren. Auch dieses Papier befindet sich zur Abstimmung im AK Technik. 

Im Zusammenhang mit einer vom LDA Bayern angemeldeten Fragestellung, erörtert die Konferenz anschließend Fragestellungen rund um die Bearbeitung von Beschwerden gegen Microsoft, die federführende irische Aufsichtsbehörde sowie über die Frage nach der Zulässigkeit der Verwendung von Microsoft Windows 10 im Beschäftigungsverhältnis. Die Konferenz nimmt den Bericht der ad hoc AG anschließend zustimmend zur Kenntnis und 

  1. erteilt dem AK Technik den Auftrag, die von der ad hoc AG „Windows 10“ vorgelegten Papiere zur „datenschutzrechtlichen Bewertung der Windows 10 Edition Enterprise im Telemetrielevel Security“ sowie das „Prüfschema zum datenschutzkonformen Einsatz von Windows 10“ zu finalisieren und zur 98. Datenschutzkonferenz vorzulegen.
  2. erteilt der ad hoc AG den Auftrag, auf Basis der finalisierten Papiere die Betrachtung auf weitere Editionen und Telemetrielevel auszuweiten.
  3. beauftragt den AK Grundsatz mit der Klärung der Frage: „Welche Möglichkeiten der öffentlichen Positionierung zur Datenschutzkonformität kommerzieller Produkte, die von verantwortlichen Stellen eingesetzt und bei denen personenbezogene Daten durch den Hersteller verarbeitet werden, hat die Datenschutzkonferenz? Hierbei sind am Beispiel von Windows 10 insbesondere die Aspekte der Rechtmäßigkeit, der Zuständigkeit und des Vollzugs zu betrachten.
     

TOP 17) Tracking bei Presseportalen 

Hamburg berichtet von vermehrten Beschwerden aufgrund von Tracking und Hinzuziehung von Werbenetzwerken bei der Nutzung von Pressportalen. Aufgrund dessen wurde ein Treffen mit dem Bundesverband der Zeitungswirtschaft und weiterer Verbände anberaumt. Bei dem Treffen wurde den Teilnehmern die Rechtsaufassung des Hamburgischen Datenschutzbeauftragten in der Angelegenheit mitgeteilt und verschiedene Lösungsvorschläge für die Problematik erörtert. Weitere Gesprächstermine folgen im Oktober.  Über den Fortgang der Gespräche wird Hamburg die Konferenz unterrichten und regt an, entsprechende Webseiten in die vorgesehene konzertierte Prüfung zu Trackingmechanismen einzubeziehen. Der Vorsitzende dankt Hamburg für die Initiative und das Führen der Gespräche und bittet um einen Bericht zum Sachstand auf der 98. Datenschutzkonferenz.

TOP 18) Transkriptionen durch Anbieter von Sprachassistenzsystemen 

Hamburg berichtet, dass beim Google-Assistant stichprobenartig Sprachaufzeichnungen durch externe Mitarbeiter händisch transkribiert wurden. Hierdurch sei es zu einer Auswertung der Sprachaufzeichnungen gekommen. Besonders problematisch sei hierbei, dass es bei Google und anderen Sprachassistenzsystemen zu Fehlaktivierungen komme. Hierdurch würden personenbezogene Daten erhoben, ohne dass die Betroffenen hiervon Kenntnis erhielten. Aufgrund dessen hat Hamburg ein Dringlichkeitsverfahren nach Art. 66 DS-GVO in Aussicht gestellt, mit dem Ergebnis, dass Google die Praxis des Transkribierens für einen Zeitraum von zunächst 3 Monaten zurückgestellt hat. Hieraufhin hat Hamburg zunächst von der Einleitung eines Dringlichkeitsverfahrens abgesehen. Sofern die von Hamburg gestellten Forderungen  seitens Google nicht erfüllt werden, soll das Dringlichkeitsverfahren jedoch eingeleitet werden.  Über den weiteren Verlauf der Angelegenheit wird Hamburg auf der 98. Datenschutzkonferenz berichten und ggf. einen Entschließungsentwurf zur Abstimmung vorlegen. 

TOP 19) Gütliche Einigung (Amicable Settlement) 

Der Vorsitzende führt in die Thematik der Amicable Settlements ein, welche nach irischem Verwaltungsverfahrensrecht als zulässig angesehen werden könnten. Berlin berichtet über zunehmende Vorschläge aus Irland für eine sog. Gütliche Einigung und hieraus resultierenden verfassungs- und europarechtliche Fragestellungen und Problematiken, insbesondere wenn es hierdurch zu einer abschließenden Entscheidung komme. Das Thema sei von Berlin bereits im Board angesprochen, sowie an die Cooperation Subgroup kommuniziert worden.

Baden-Württemberg stellt sich als Rapporteur zur Verfügung Der BfDI nimmt als Co-Rapporteur teil. Berlin unterstützt Baden-Württemberg als permanenter Ländervertreter in der Cooperation Expert Subgroup.

TOP 20) Verschiedenes 

a)     Vereinbarung mit der DAkkS 

Hessen teilt mit, dass eine Mitarbeiterin aus der IT von der DAkkS als Mitglied in das Sektorkommitee DS berufen wurde.

b)     Mitarbeit der spezifischen Aufsichtsbehörden in Arbeitskreisen der DSK

Der Vorsitzende berichtet über den Wunsch der spezifischen Aufsichtsbehörden an Arbeitskreisen der Datenschutzkonferenz teilzunehmen und bittet die Vorsitzenden der angefragten Arbeitskreise um wohlwollende Prüfung der Anfragen. 

c)      Veranstaltungen

Der BfDI weist auf das von ihm ausgerichtete Symposium zur Künstlichen Intelligenz am 24.9.2019 in Berlin hin, die LfDI Saarland auf die vom Unabhängigen Datenschutzzentrum des Saarlandes in der Saarländischen Landesvertretung am 17.9. ausgerichtete Veranstaltung zur grenzüberschreitenden Zusammenarbeit, der LfDI RP auf das in Kooperation mit dem LfDI Baden-Württemberg ausgerichtete All-female Panel zu KI am 17.9. in Ludwigshafen.

Seite drucken