Protokoll der 94. Konferenz vom 8. bis 9. November 2017 in Oldenburg
TOP 1 Begrüßung, Organisatorisches
Die Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 94. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) (Anlage 1). Insbesondere begrüßt sie die Oldenburger Bürgermeisterin Frau Averbeck, die die Teilnehmerinnen und Teilnehmer mit einem Grußwort im Namen der Stadt Oldenburg im ehemaligen Landtag des Großherzogtums Oldenburg willkommen heißt.
TOP 2 Tagesordnung
Die Vorsitzende dankt für die vorab eingereichten schriftlichen Berichte der BfDI zur „aktuellen Bundesgesetzgebung“ (Anlage 2) sowie aus Mecklenburg-Vorpommern zum „Standard-Datenschutzmodell“ (Anlage 3).
Auf Antrag des LDA Bayern wird TOP 9 „Keine Rechtsgrundlage für Weitergabe personenbezogener Daten an Auftragsverarbeiter erforderlich“ von der Tagesordnung gestrichen. Stattdessen wird unter TOP 9 der durch LDA Bayern verspätet angemeldete TOP „Microsoft – Amicus Brief“ aufgerufen.
Auf Antrag von Sachsen-Anhalt wird das Thema „Homepage“ gemeinsam mit dem TOP 14 „Bericht aus der Arbeitsgruppe ‚Geschäftsordnung‘ der DSK“ beraten.
Nordrhein-Westfalen kündigt zum TOP 23 „Verschiedenes“ eine Berichterstattung zu den Terminen der DSK im Vorsitzjahr 2018 an.
TOP 3 „Umsetzung der DS-GVO im Medienrecht“; Entschließungsentwurf
Die Entschließung wird in der Version der Anlage 4 einstimmig durch die DSK beschlossen.
TOP 4 „Keine anlasslose Vorratsspeicherung von Fluggastdaten“; Entschließungsentwurf
Die Entschließung wird in der Version der Anlage 5 einstimmig durch die DSK beschlossen.
TOP 5 Austausch zwischen Datenschutzbeauftragten und Wirtschaftsunternehmen; Votum des AK Grundsatzfragen zum Arbeitsauftrag der DSK aus der 2. Sonderkonferenz vom 21. Juni 2017 betr. Fortsetzung des Dialogs mit Wirtschaftsunternehmen; Beratung und Beschlussfassung
Auf Grundlage der Beratung und Empfehlung des AK Grundsatzfragen vom 12. / 13. Juli 2017 bezüglich einer Fortsetzung / Etablierung des Dialogs mit Wirtschaftsunternehmen fasst die DSK folgenden Beschluss:
Die DSK nimmt Ziffer 1 und 2 des Votums des AK Grundsatzfragen (Anlage 6) zustimmend zur Kenntnis. Die DSK sieht mehrheitlich die anlassbezogene Einladung von Wirtschaftsverbänden und anderen Interessengruppen, insbesondere zu Grundsatzfragen des Datenschutzes, als sinnvoll und ausreichend an.
TOP 6) Einbindung weiterer Aufsichtsbehörden in die DSK und Dialog mit Interessenvertretern; Votum des AK Grundsatzfragen zum Arbeitsauftrag der DSK aus der 2. Sonderkonferenz vom 21. Juni 2017; Beratung und Beschlussfassung
Die Vorsitzende berichtet zum vorliegenden Schreiben (Anlage 7) des Datenschutzbeauftragten des Großherzogtums Liechtenstein. Entsprechend der Ankündigung in ihrem Antwortschreiben legt sie die Anfrage aus Liechtenstein der DSK zur Kenntnisnahme vor.
BfDI berichtet ergänzend zum Votum des AK Grundsatzfragen über die Gesprächsrunde Ende August mit Rundfunk- und Kirchenvertretern bei der BfDI. Die Vertreter haben eine enge Kooperation mit der DSK befürwortet. BfDI und die Vorsitzende haben bei dieser Gelegenheit deutlich gemacht, dass eine Beteiligung notwendig ist. Allerdings sei noch zu klären, wann dies der Fall ist und wie die Einbindung stattfinden soll.
Auf Grundlage der Beratung und Empfehlung des AK Grundsatzfragen vom 12. / 13. Juli 2017 bezüglich einer Einbindung weiterer Aufsichtsbehörden in die DSK und eines Dialogs mit Interessenvertretern wird dem AK Grundsatzfragen einstimmig folgender Auftrag erteilt:
Der AK Grundsatzfragen wird gebeten, die Begriffe „Beteiligung“ und „Betroffenheit“ in §18 Abs. 1 Satz 4 BDSG-neu auszulegen und der DSK eine rechtliche Bewertung vorzulegen.
TOP 7 Anwendungsvorrang der DS-GVO gegenüber nationalem Recht; Votum des AK Grundsatzfragen zum Arbeitsauftrag der DSK aus der Anschlusskonferenz vom 11. Mai 2017; Beratung und Beschlussfassung
Die DSK nimmt das Votum des AK Grundsatzfragen einstimmig zustimmend zu Kenntnis.
TOP 8 Entwicklung eines Portals zur Entgegennahme der Mitteilungen nach Art. 37 Abs. 7 DS-GVO
LDA Bayern berichtet, dass der angemeldete Tagesordnungspunkt als erledigt betrachtet werden kann. In einer Besprechung des Themas am 2.11.2017 in Nürnberg haben Baden-Württemberg, , Hessen, Niedersachsen, Saarland und Thüringen Interesse bekundet an der vom LDA Bayern entwickelten Portallösung zu partizipieren. Hamburg und Sachsen-Anhalt haben zudem Offenheit gegenüber dem Projekt signalisiert. Die übrigen Teilnehmer wiederum haben erklärt, eigene Lösungen entwickeln zu wollen. LDA Bayern wird mit den teilnehmenden Aufsichtsbehörden in Verbindung treten, um die ggf. notwendigen vertraglichen Vereinbarungen zu regeln und umzusetzen.
Der TOP wird dementsprechend durch die DSK als behandelt betrachtet.
TOP 9 Microsoft – Amicus Brief
LDA Bayern berichtet, dass das Verfahren gegen Microsoft wegen Herausgabe von Daten aus der EU nun beim Supreme Court liege. Bis zum Januar 2018 bestehe die Möglichkeit, sich im Rahmen eines Amicus-Briefes einzubringen. Microsoft würde es begrüßen, wenn die deutschen Datenschutzaufsichtsbehörden über einen entsprechenden Brief die Auffassung von Microsoft unterstützen würden.
Ein Votum der Art. 29-Gruppe liegt hierzu noch nicht vor.
Die DSK beschließt, abzuwarten, ob die Art. 29-Gruppe sich dazu entscheidet, Microsoft mit einem Amicus-Brief zu unterstützen oder nicht. Die DSK ist sich darüber einig, dass das Votum und die ggf. abgegebene Stellungnahme der Art. 29-Gruppe als bindend für die deutschen Datenschutzaufsichtsbehörden zu betrachten ist.
TOP 10 Datenschutzfolgenabschätzung gemäß Art. 35 DS-GVO; Arbeitspapiere der Deutschen Krankenhausgesellschaft e.V. (DKG), des Bundesverbandes Gesundheits-IT e.V. (bvitg) und des Arbeitskreises „Datenschutz und IT-Sicherheit im Gesundheitswesen“ der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS)
LfD Bayern berichtet über die vorliegenden Arbeitspapiere zu den Anforderungen der DSFA und die Bitte der Verbände, eine Stellungnahme durch den AK Gesundheit und Soziales zu erhalten.
Der AK habe deutlich gemacht, dass derzeit nur eine vorläufige Einschätzung abgegeben werden kann. Einerseits wird die Zielsetzung der Verbände nicht klar. Andererseits sind die überreichten Empfehlungen sehr abstrakt. Die Ergebnisse und Stellungnahmen der DSK hätten hierbei stärker berücksichtigt werden müssen. Die abgegebenen Absichtserklärungen sind zudem defizitär.
Die DSK nimmt den Bericht des LfD Bayern zur Kenntnis.
Nach einer Aussprache beschließt die DSK, dass Vertreter von LfD Bayern, Berliner BDI, der UAG DSFA sowie des AK Technik am 30.11.2017 mit Vertretern der DKG, des bvitg sowie der GMDS in Berlin zu einem Gespräch über deren vorgelegte Arbeitsergebnisse zusammenkommen. Das Ergebnis dieses Gesprächs soll abgewartet werden.1
TOP 11) Videoüberwachung nach der DS-GVO
Mecklenburg-Vorpommern berichtet über die laufende Arbeit der UAG Biometrie. Derzeit könne noch kein abschließendes Arbeitsergebnis vorgelegt werden. Die DSK wird daher gebeten, mit dem Abschluss des Kurzpapiers Videoüberwachung abzuwarten, bis die UAG Biometrie einen Verfahrens- bzw. einen Formulierungsvorschlag vorgelegt hat, der in das Kurzpapier aufgenommen werden kann.
Die DSK beschließt, die Veröffentlichung des Kurzpapiers Videoüberwachung bis zum 23.11.2017 aufzuschieben. Sollte bis dahin kein Einvernehmen zwischen der AG Videoüberwachung und der UAG Biometrie erzielt werden können, wird das Papier ohne den Abschnitt Biometrie veröffentlicht.
Die Vorsitzende berichtet zur Nichtzulassungsbeschwerde Niedersachsens gegen das Urteil des OVG Lüneburg vom 07.09.2017 zur Videoüberwachung in den Fahrzeugen des ÖPNV, über das Niedersachsen die DSK per E-Mail vom 8.09.2017 ausführlich unterrichtet hat. Die Teilnehmerinnen und Teilnehmer werden um Zulieferung von Textbausteinen an Niedersachsen entsprechend der vorliegenden Bitte (E-Mail vom 6.11.2017) bis zum 16.11.2017 gebeten.
TOP 12 Kooperation der DSK mit der Wissenschaft zu Lösungen zur Umsetzung der Anforderungen der DS-GVO sowie zur Fortentwicklung des Datenschutzes
Schleswig-Holstein berichtet, dass sich die DSK bereits mehrfach mit der Möglichkeit einer Kooperation mit der Wirtschaft beschäftigt hat. In der bisherigen Diskussion sei jedoch offen geblieben, ob und inwieweit eine Kooperation mit der Wissenschaft gewollt ist.
Die DSK beschließt nach einer Aussprache, dass von Schleswig-Holstein ein Konzept zur Kooperation der DSK mit der Wissenschaft zur Umsetzung der Anforderungen der DS-GVO sowie zur Fortentwicklung des Datenschutzes inklusive alternativer Vorschläge ausgearbeitet und der DSK vorgelegt wird.
TOP 13 Zusammenarbeit der Datenschutzaufsichtsbehörden in Deutschland bei der Akkreditierung von Zertifizierungsstellen
Nach der Berichterstattung durch Schleswig-Holstein beschließt die DSK folgende Punkte einstimmig:
Zu 1. des Beschlussvorschlags: Die AG Zertifizierung erhält den Auftrag, diese Regeln zu entwickeln und der Konferenz zur Beschlussfassung vorzulegen.
Zu Ziffer 2. des Beschlussvorschlags: Die AG Zertifizierung erhält den Auftrag diese Bereiche auszuarbeiten und der Konferenz vorzulegen.
Zu Ziffer 3. des Beschlussvorschlags: An die AG Zertifizierung wird der Auftrag erteilt, das Kooperationsmodell rechtlich, technisch und fachlich auszuformulieren und möglichst zeitig, aber spätestens bis zur nächsten Sonderkonferenz2 zur Beschlussfassung vorzulegen.
TOP 14 Bericht aus der Arbeitsgruppe „Geschäftsordnung“ der DSK
Brandenburg berichtet zum Arbeitsstand der AG GO zum „Projekt zur Veröffentlichung von Positionen der DSK“ und verbindet den Bericht mit der Frage an die Teilnehmerinnen und Teilnehmer, ob ein Interesse an der Fortführung des Projektes besteht. Zudem wird um eine Abstimmung gebeten, ob ein Interesse an einer gemeinsamen Homepage der DSK entsprechend des vom LDA Bayern vorgelegten Konzepts besteht.
Brandenburg gibt abschließend bekannt, dass der Vorsitz in der AG GO zur Verfügung gestellt wird. Die Vorsitzende drückt im Namen der DSK das Bedauern zu dieser Entscheidung aus und dankt Brandenburg für die bisher geleistete Arbeit.
Nach einer Aussprache zu den Anträgen Brandenburgs sowie zur Frage der Nachfolge im Vorsitz der AG GO werden folgende Beschlüsse getroffen.
Die DSK beschließt auf Antrag des LDA Bayern, dass Niedersachsen den Vorsitz in der AG GO übernimmt.
Die DSK beschließt, eine gemeinsame Homepage zur zentralen Veröffentlichung von Protokollen, Entschließungen und weiteren gemeinsamen Publikationen einzurichten.
Des Weiteren fasst die DSK folgenden Beschluss.
Es ist beabsichtigt dass die zentrale Homepage der DSK beim LDA Bayern entwickelt und „gehostet“ wird. Das LDA Bayern wird gebeten, für die Entwicklung und das Hosting ein Konzept zu erstellen und der DSK bis zum 17.11.2017 vorzulegen.
Die DSK entscheidet anschließend im Umlaufverfahren bis zum 27.11.2017 über das Konzept.3
Hessen berichtet über den aktuellen Stand zur Beschaffung von Videokonferenzsystemen und zur Kollaborationsplattform. Zur Beschaffung von Videokonferenzsystemen hat die DSK-interne Umfrage keine Ergebnisse über kommerzielle Anbieter geliefert, diebereits von einzelnen Aufsichtsbehörden geprüft wurden. Mecklenburg-Vorpommern hat sich bereit erklärt, eine Videokonferenz zu Testzwecken zu organisieren. Hierbei sollen die Teilnehmer vor allem die Gelegenheit haben zu prüfen, ob eine Beschaffung der notwendigen Ausstattung sinnvoll und gewollt ist. Für den Testbetrieb sollen die Teilnehmerinnen und Teilnehmer bereits vorhandene Technik anderer Behörden oder Ministerien nutzen. Die Verfügbarkeit wurde bereits im Nachgang der 93. DSK in Göttingen durch die Datenschutzbehörden erörtert und an Mecklenburg-Vorpommern gemeldet.
Das Thema Kollaborationsplattform soll auf der nächsten Sitzung der PG OS am 21. / 22.11.2017 in Wiesbaden weiter besprochen werden. Insbesondere soll geprüft werden, ob und inwieweit eine Nutzung des BSCW-Servers in Betracht kommen könnte, da der Server möglicherweise bessere Nutzungsmöglichkeiten bietet als bisher angenommen. Wie diese aussehen, soll am 21. /22. thematisiert werden.
Darüber hinaus haben Mecklenburg-Vorpommern, Bayern und Hessen, wie in der 93. DSK in Göttingen vereinbart, bei ihren jeweiligen Anbietern Angebote für Kollaborations-Lösungen eingeholt.
Des Weiteren sollen Vorschläge für die Mandatierung und die Kommunikationswege in der Zusammenarbeit von Subgroup-Vertretern mit der ZASt und der DSK diskutiert werden.
Nordrhein-Westfalen fragt nach, welche Vorbereitungsarbeiten in den Aufsichtsbehörden zur Erfüllung von Art. 57 Abs. 1 lit) a-v DS-GVO noch erledigt werden müssen, bis die DS-GVO wirksam wird. Hierzu antwortet Hessen, dass eine Bestandsaufnahme der Arbeitsstände in den Datenschutzbehörden im Rahmen der nächsten Sitzung der PG OS erstellt werden soll.
TOP 15 Umlagefinanzierung unter den Ländern für die personellen und sachlichen Aufwände des künftigen Stellvertreters im EDSA; Beratung und Beschlussfassung
Nach Erörterung beschließt die DSK Folgendes.
Die DSK bittet LfD Bayern und Hamburg um eine Klärung der Finanzierungsmodalitäten bei EU-Vertretungen im Hinblick auf Personal- und Sachaufwand und um einen Bericht zur Sonderkonferenz am 30.01.2018.
Die Datenschutzbehörden der Länder treten an ihre jeweiligen Innenministerien heran und regen eine informelle Beteiligung am Bundesratsverfahren zur Wahl des Ländervertreters an.
TOP 16 Standard-Datenschutzmodell
Mecklenburg-Vorpommern merkt an, dass entgegen dem ursprünglich mit der Anmeldung des TOP vorgesehenen Zeitplans derzeit noch keine neue Version des Standard-Datenschutzmodells (SDM) vorgelegt und verabschiedet werden kann. Entscheidend sei momentan, dass das Kurzpapier „Risiken“ verabschiedet wird. Die Begriffe der DS-GVO, die in diesem Kurzpapier erläutert werden, müssen im SDM umgesetzt werden, insbesondere im Kapitel Schutzbedarf. Deshalb wird zurzeit auf die Fertigstellung des Kurzpapiers gewartet, bevor das SDM weiterentwickelt wird.
Für weitere Informationen zum aktuellen Arbeitsstand wird auf den am 26.10.2017 eingereichten schriftlichen Bericht (Anlage 3) verwiesen.
TOP 17 Akkreditierungsverfahren zum G20-Gipfel
BfDI führt aus, dass das grundlegende Problem offenbar die mangelnde Datenqualität in den polizeilichen Datenbeständen ist. Vor allem die zahlreichen Fragen von Journalisten erzeugen in diesem Zusammenhang einen entsprechenden Zeitdruck. Vor diesem Hintergrund wirbt BfDI dafür, dass die Aufsichtsbehörden der Länder ihrerseits ihre Landesbehörden und die dortige Datenqualität möglichst zeitnah überprüfen. Dementsprechend könnte dann aus den vorliegenden Berichten über den AK Sicherheit ein gemeinsamer Bericht entwickelt werden.
Es wird vereinbart, dass die Aufsichtsbehörden Anstrengungen unternehmen, die Prüfungen umgehend zum Abschluss zu bringen.
LfD Bayern sagt zu, das vorhandene Prüfkonzept im Nachgang zur Konferenz zur Verfügung zu stellen.
Auf Basis der Prüfberichte aus den Ländern wird ein gemeinsamer Prüfbericht im Entwurf durch den AK Sicherheit auf dessen nächster Sitzung am 27. / 28. Februar erstellt. Dazu senden die Länder ihre Berichte an die BfDI, die diese dann an den Vorsitz des AK Sicherheit weiterleitet.
TOP 18 Bericht des AK Sicherheit zu den Auswirkungen des BKAG auf die praktische Arbeit der Datenschutzbehörden
Auf Grundlage des vorliegenden schriftlichen Berichts (Anlage 8) benennt Schleswig-Holstein die wichtigsten Änderungen und Fragen, die sich aus Sicht des AK Sicherheit aus dem BKA-Gesetz ergeben.
Zentrales Element des BKA-Gesetzes ist die Schaffung eines neuen Informationsverbundes der Polizeien. Dieser wird beim BKA erstellt, konzipiert und geführt. Auch wenn derzeit unklar ist, wie dieser Informationsverbund im Detail aussehen und wer hierüber im Detail bestimmen wird, steht fest, dass hiermit die Zentralstellenfunktion des BKA enorm gestärkt wird.
Hinsichtlich der neuen Zentralstellenaufgaben des BKA stellt sich die Frage, wie BfDI und LfD die Zusammenarbeit der Polizei künftig datenschutzrechtlich begleiten will. Hierzu existieren bisher AK Sicherheit und AG INPOL. Aktuelle Vorstellung ist es, erst einmal wie bisher weiterzuarbeiten, da auch die BfDI ein großes Interesse an der Mitarbeit der Länder hat.
Durch den Wegfall der Errichtungsanordnung und die Schaffung eines Datenpools im Informationsverbund ergibt sich außerdem für die Arbeit der Datenschutzbehörden das Problem, dass künftig keine schriftlichen Festlegungen über den Zweck, den exakten Inhalt, die Prüf- und Löschfristen und den Umfang der Verarbeitungen vorhanden sein werden.
TOP 19 Bericht des AK Sicherheit zu gesetzlichen Pflichtprüfungen der Datenschutzbehörden im Bereich Polizei und Verfassungsschutz
Schleswig-Holstein führt aus, dass zu den bisherigen Prüfpflichten für Bund und Länder im europäischen Rechtssystem – das Schengener Informationssystem, das VISA-Informationssystem und EURODAC– weitere Rechtsakte hinzukommen: das Einreise-Ausreise-System und das ETIAS Reisegenehmigungssystem. Diese Rechtsakte enthalten jeweils Prüfpflichten für die Datenschutzaufsichtsbehörden. Spätestens seit der Entscheidung des Bundesverfassungsgerichts zur Antiterrordatei zeichne sich ein Trend ab, neue Befugnisse nicht mehr nur unter Richtervorbehalt zu stellen, sondern nachgelagert durch die Datenschutzbeauftragten kontrollieren zu lassen. Damit nehmen die Prüfpflichten der Datenschutzbehörden weiter zu.
Der AK Sicherheit hat eine Tabelle der aktuell bestehenden Prüfpflichten erstellt.
Der beschriebene Trend setzt sich außerdem auch im neuen BKAG und den Entwürfen mehrerer Ländergesetze fort, mit dem Ansatz neue Befugnisse der Polizei mit einer Pflichtprüfung zu versehen.
Um neben den Pflichtprüfungen auch andere, z.B. durch Eingaben, aktuelle Entwicklungen oder eigene Schwerpunktsetzungen angezeigte Prüfungen durchführen zu können, Hält der AK Sicherheit es für wichtig, dass die Ressourcen- und Haushaltsplanung in den Datenschutzbehörden so gestaltet wird, dass überhaupt die Möglichkeit besteht, die Prüfpflichten abzuarbeiten und parallel dazu auch andere Aufgaben vollziehen zu können.
Wichtig sei vor diesem Hintergrund, dem Eindruck entgegen zu wirken, dass mit einer Prüfung des BKA durch die BfDI automatisch die Prüfung der Länderpolizeien abgewickelt ist.
TOP 20 Bericht aus dem IT-Planungsrat
Mecklenburg-Vorpommern thematisiert, dass durch das Online-Zugangs-Gesetz zwar viele DSK-Forderungen zu Service-Konten umgesetzt worden sind. Andererseits regelt das Gesetz aber auch, dass innerhalb der nächsten fünf Jahre sämtliche Verwaltungsdienstleistungen digitalisiert und online angeboten werden sollen. Dies bedeutet in der Praxis einen enormen Umsetzungsdruck. Aus diesem Grund hat der IT-Planungsrat ein Digitalisierungsprogramm entwickelt. In diesem Programm werden zunächst 500 Verwaltungsdienstleistungen, die umgesetzt werden sollen, benannt. Ebenfalls werden in dem Programm sieben Arbeitspakete benannt.
Problematisch ist in diesem Zusammenhang, dass die entsprechende Diskussion im IT-Planungsrat das Thema Datenschutz nicht im Blick hat.
Mecklenburg-Vorpommern nennt hierzu beispielhaft die folgenden Bereiche.
| Paket | Bereich | Federführung |
| 1. | Einwohnerwesen | HH und RLP |
| 2. | Geburtsurkunde, Kindergeld | HB |
| 3. | e-Kfz |
Bund, insbes. das Verkehrsministerium |
| 4. | Gewerbeanmeldung | BMI |
| 5. | e-Rechnung | BMI gemeinsam mit HB |
| 6. | Arbeitsschutz | HE |
| 7. | Raumordnung | HE |
Mecklenburg-Vorpommern bittet die Aufsichtsbehörden derjenigen Länder, die Federführungen bei Paketen des Digitalisierungsprogramms innehaben, bei der Umsetzung des Online-Zugangs-Gesetzes sehr auf die datenschutzrechtlichen Aspekte zu achten. Weiter wird darum gebeten, bei der Begleitung der Projekte insbesondere deutlich zu machen, welche Rolle die DS-GVO spielen wird.
Als zweites Thema zum TOP benennt Mecklenburg-Vorpommern eine mögliche Zusammenarbeit mit dem Normenkontrollrat (NKR) bei der Registermodernisierung. Zur Aufgabe der Registermodernisierung habe der NKR einen Bezug zum österreichischen Stammkennzahlensystem hergestellt, dessen zentraler kryptografischer Schlüssel von der österreichischen Datenschutzbeauftragten verwaltet wird. Der NKR hat angeregt, dass ein modifiziertes Stammkennzahlensystem in Deutschland bei der Registermodernisierung eine Rolle spielen könnte, insbesondere, um datenschutzrechtliche Aspekte sicherzustellen.
Mecklenburg-Vorpommern steht dieser Anregung positiv gegenüber und hat dem NKR zugesagt, die DSK hierüber zu informieren, und schlägt darüber hinaus vor, Herrn Ludewig als Vertreter des NKR in einen der Arbeitskreise einzuladen, beispielsweise in den AK Verwaltungsmodernisierung.
Nach einer Aussprache zum Bericht von Mecklenburg-Vorpommern kommt die DSK darin überein, dass der AK Verwaltungsmodernisierung sich zuerst intern mit dem Thema Registermodernisierung und möglicher Anleihen beim österreichischen Stammkennzahlensystem auseinandersetzt, bevor Gäste, etwa aus dem NKR eingeladen werden.
TOP 21 Bericht aus der IT-Taskforce
Hessen weist darauf hin, dass eine Mitarbeiterin des LfD Hessen bereits in der IT-Taskforce mitarbeitet und dort vertrauensvoll mit den Bundesrepräsentanten zusammenarbeitet. Daher wird die DSK um Zustimmung dazu gebeten, dass die Mitarbeiterin des LfD Hessen ihre Arbeit weiter fortsetzt und gleichzeitig als Stellvertreterin der DSK insgesamt in der IT-Taskforce tätig wird und der DSK Bericht erstattet.
Die DSK stimmt dieser Vorgehensweise zu.
Zur weiteren Berichterstattung verweist Hessen auf den schriftlichen Bericht (Anlage 9), der der DSK mit E-Mail vom 20.10.2017 vorgelegt worden ist.
TOP 22 BAY LDA plant Twitter-Account
LDA Bayern berichtet, dass derzeit erwogen werde, einen eigenen Twitter-Account zu erstellen. Vorab wird jedoch um ein Stimmungsbild der DSK gebeten, etwa, ob es erhebliche Bedenken gibt oder ein derartiges Anliegen die Arbeit der anderen Datenschutzbehörden, etwa angesichts laufender Verfahren, beeinträchtigen würde.
Hamburg berichtet über die geplante Prüfung von Twitter. Neben den datenschutzrechtlichen Bedenken, beispielsweise den unklaren Datenflüssen, spiele auch die Verantwortung eine Rolle. Dies gelte bei Facebook wie auch bei Twitter sowohl für die Anbieter einer Plattform als auch deren Nutzer, die entsprechende Seiten auf den Plattformen betreiben. Auch sei die Situation vor dem Hintergrund des Verfahrens vor dem EuGH derzeit unsicher. Betreiber von Fanpages aus dem öffentlichen Bereich müssten sich bei einem entsprechenden Urteil des EuGH darauf vorbereiten, dass Fanpages aufgrund datenschutzrechtlicher Mängel rechtswidrig sind.
BfDI schließt sich der Aussage Hamburgs an und ergänzt, dass darüber hinaus aus Sicht der BfDI kein praktischer Nutzen für die Öffentlichkeitsarbeit sichtbar sei.
Schleswig-Holstein merkt an, dass die Einbindung vieler sozialer Medien derzeit scheitere, weil entscheidende Information nicht vorgelegt werden können – etwa, welche Datenverarbeitungen stattfinden oder welche Garantien erbracht werden. Es bestehe ein großes Interesse daran, soziale Medien nutzbar zu machen, allerdings müsste zuerst europäisches und deutsches Datenschutzrecht erfüllt werden. Für ein wirksames Durchsetzen sieht Schleswig-Holsetin einen großen Nutzen darin, die Datenschutz-Anforderungen gemeinsam gegenüber den Anbietern zu kommunizieren.
LfD Bayern ergänzt, dass die Datenschutzbehörden in besonderer Weise eine Vorbildfunktion haben. Durch eine Nutzung sozialer Medien werde dokumentiert, dass diese datenschutzkonform nutzbar sind. Dies gelte es zu bedenken.
LDA Bayern dankt für die Rückmeldungen und kündigt an, diese in die weiteren Überlegungen einzubeziehen.
TOP 23 Verschiedenes
Top 23.1 Termine der DSK 2018
Als künftiges Vorsitzland der DSK teilt Nordrhein-Westfalen unter Verweis auf den bereits an die DSK verschickten Terminkalender für 2018 mit, dass die 1. Sonderkonferenz 2018 am 30. Januar in Berlin stattfindet. Hierzu werden die Teilnehmerinnen und Teilnehmer um Anmeldung von Tagesordnungspunkten bis zum 31. Dezember gebeten.
TOP 23.2 (Neues) Projekt zur ¾ Sensibilisierung
LDA Bayern weist darauf hin, dass all diejenigen, die bis zum 10.11.2017 ihre Bereitschaft zur Teilnahme melden, in der 46. Kalenderwoche die entsprechende Datei zur Implementierung auf der eigenen Homepage erhalten werden.
TOP 23.3 Kommunikation in englischer Sprache
LDA Bayern berichtet, dass in jüngster Zeit die Zahl von Anfragen steige, ob das LDA grundsätzlich bereit sei, in englischer Sprache zu kommunizieren, oder ob beispielsweise ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO auf Englisch vorgelegt werden könne. Hierzu wird die DSK um einen Austausch gebeten.
In einer kurzen Aussprache wird deutlich, dass die Mehrheit der Teilnehmerinnen und Teilnehmer einer Entgegennahme englischsprachiger Dokumente ablehnend gegenüber steht. Schließlich liege das Risiko für einen Übersetzungsfehler dann auf Seiten der Datenschutzbehörde. Zudem sei Deutsch als Amtssprache festgelegt. Schließlich seien auch nicht alle Länder rein personell in der Lage, eine Kommunikation in englischer Sprache sicherzustellen.
Schleswig-Holstein bietet an, seine Antwort auf eine diesbezügliche Anfrage der DSK im Nachgang zur Sitzung zur Verfügung zu stellen.
TOP 23.4 Vertretung der Länder in der Art. 29-Gruppe
Hamburg berichtet zum Thema privacy shield, dass eine in Washington durchgeführte Evaluation, an der auch Vertreter aus Hessen und der BfDI teilgenommen haben, derzeit ausgewertet wird. In einer Sitzung am 29. / 30.11.2017 in Brüssel sollen drei Szenarien vorgestellt werden, die als Ergebnis der Evaluation zu erwarten sind.
- Es werden Empfehlungen abgegeben, die beim nächsten Joint Review von den US-Behörden zu beachten sind.
- Es werden Empfehlungen abgegeben verbunden mit einer Frist für die US-Behörden, diese umzusetzen.
- Der privacy shield wird einer gerichtlichen Klärung zugeführt.
Hamburg beurteilt Szenario Nr. 3 als realistisch, da die bereits vorliegenden Berichte negativ für den privacy shield ausfallen. Vor diesem Hintergrund sagt Hamburg zu, die DSK weiter zu unterrichten. Gleichzeitig sei es aber notwendig, dass die DSK einen gemeinsamen Standpunkt findet.
Als zweites Thema zu diesem TOP erwähnt Hamburg den anstehenden Wechsel in der Präsidentschaft der Art. 29-Gruppe in der Februarsitzung. Derzeit werde die Nachfolge von Präsidentin Isabelle Falque-Pierrotin diskutiert. Da die Art. 29-Gruppe ab Februar 2018 nur noch wenige Monate aktiv sein dürfe, bevor sie durch den EDSA abgelöst wird, ist davon auszugehen, dass der dann aktuelle Vorsitz auch den Vorsitz im EDSA übernehmen werde. Insofern kommt dieser Neubesetzung ein besonderes Gewicht zu.
Auf Nachfrage der Vorsitzenden erläutert Hamburg, dass sich die Art. 29-Gruppe mit dem Thema Standardvertragsklauseln befassen wird. Es sei damit zu rechnen, dass der EuGH die Rechtsprechung des Irish High Court fortsetzen und bestätigen wird. Die Art. 29-Gruppe ist derzeit im Begriff, sich hierzu eine Meinung zu bilden.
Abschließend richtet Hamburg an die amtierende und die künftige Vorsitzende die Bitte, den Bericht aus der Art. 29-Gruppe als festen TOP zu Beginn jeder Konferenz aufzurufen.
Anlagen:
- Liste der Teilnehmerinnen und Teilnehmer der 94. DSK in Oldenburg
- Schriftlicher Bericht der BfDI zur „aktuellen Bundesgesetzgebung“
- Schriftlicher Bericht LfD Mecklenburg-Vorpommern zum Standard-Datenschutzmodell
- Entschließung der DSK „Umsetzung der DS-GVO im Medienrecht“Entschließung der DSK „Keine anlasslose Vorratsspeicherung von Fluggastdaten“
- Votum des AK Grundsatz vom 12. / 13. Juli 2017 zum Arbeitsauftrag der DSK aus der 2. Sonderkonferenz vom 21. Juni 2017 betr. Fortsetzung des Dialogs mit Wirtschaftsunternehmen
- Anfrage des Datenschutzbeauftragten des Großherzogtums Liechtenstein an die DSK-Vorsitzende inklusive Antwortschreiben
- Bericht des AK Sicherheit zu den Auswirkungen des BKAG auf die praktische Arbeit der Datenschutzbehörden
- Bericht aus der IT-Taskforce
1 Mit E-Mail vom 22.11.2017 hat der LfD Bayern mitgeteilt, dass der Besprechungstermin am 30.11.2017 ohne Beteiligung der Datenschutzaufsichtsbehörden stattfinden wird. Zunächst werden die benannten Vereinigungen ihre Arbeitspapiere intern überarbeiten und Anmerkungen des AK Gesundheit und Soziales bewerten. Anschließend soll ein Termin für eine gemeinsame Diskussion gefunden werden.
2 Die nächste Sonderkonferenz der DSK findet am 30.01.2018 unter Vorsitz Nordrhein-Westfalens in Berlin statt.
3 LDA Bayern hat mit E-Mail vom 15.11.2017 ein „Konzept und Angebot für Entwicklung und Betrieb der gemeinsamen Webseite für die Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) vorgelegt. Niedersachsen hat das Beschlussverfahren im Umlauf hierzu am 15.11.2017 mit Frist bis zum 27.11.2017 gestartet.
TOP 1 Begrüßung, Organisatorisches
Die Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 94. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) (Anlage 1). Insbesondere begrüßt sie die Oldenburger Bürgermeisterin Frau Averbeck, die die Teilnehmerinnen und Teilnehmer mit einem Grußwort im Namen der Stadt Oldenburg im ehemaligen Landtag des Großherzogtums Oldenburg willkommen heißt.
TOP 2 Tagesordnung
Die Vorsitzende dankt für die vorab eingereichten schriftlichen Berichte der BfDI zur „aktuellen Bundesgesetzgebung“ (Anlage 2) sowie aus Mecklenburg-Vorpommern zum „Standard-Datenschutzmodell“ (Anlage 3).
Auf Antrag des LDA Bayern wird TOP 9 „Keine Rechtsgrundlage für Weitergabe personenbezogener Daten an Auftragsverarbeiter erforderlich“ von der Tagesordnung gestrichen. Stattdessen wird unter TOP 9 der durch LDA Bayern verspätet angemeldete TOP „Microsoft – Amicus Brief“ aufgerufen.
Auf Antrag von Sachsen-Anhalt wird das Thema „Homepage“ gemeinsam mit dem TOP 14 „Bericht aus der Arbeitsgruppe ‚Geschäftsordnung‘ der DSK“ beraten.
Nordrhein-Westfalen kündigt zum TOP 23 „Verschiedenes“ eine Berichterstattung zu den Terminen der DSK im Vorsitzjahr 2018 an.
TOP 3 „Umsetzung der DS-GVO im Medienrecht“; Entschließungsentwurf
Die Entschließung wird in der Version der Anlage 4 einstimmig durch die DSK beschlossen.
TOP 4 „Keine anlasslose Vorratsspeicherung von Fluggastdaten“; Entschließungsentwurf
Die Entschließung wird in der Version der Anlage 5 einstimmig durch die DSK beschlossen.
TOP 5 Austausch zwischen Datenschutzbeauftragten und Wirtschaftsunternehmen; Votum des AK Grundsatzfragen zum Arbeitsauftrag der DSK aus der 2. Sonderkonferenz vom 21. Juni 2017 betr. Fortsetzung des Dialogs mit Wirtschaftsunternehmen; Beratung und Beschlussfassung
Auf Grundlage der Beratung und Empfehlung des AK Grundsatzfragen vom 12. / 13. Juli 2017 bezüglich einer Fortsetzung / Etablierung des Dialogs mit Wirtschaftsunternehmen fasst die DSK folgenden Beschluss:
Die DSK nimmt Ziffer 1 und 2 des Votums des AK Grundsatzfragen (Anlage 6) zustimmend zur Kenntnis. Die DSK sieht mehrheitlich die anlassbezogene Einladung von Wirtschaftsverbänden und anderen Interessengruppen, insbesondere zu Grundsatzfragen des Datenschutzes, als sinnvoll und ausreichend an.
TOP 6) Einbindung weiterer Aufsichtsbehörden in die DSK und Dialog mit Interessenvertretern; Votum des AK Grundsatzfragen zum Arbeitsauftrag der DSK aus der 2. Sonderkonferenz vom 21. Juni 2017; Beratung und Beschlussfassung
Die Vorsitzende berichtet zum vorliegenden Schreiben (Anlage 7) des Datenschutzbeauftragten des Großherzogtums Liechtenstein. Entsprechend der Ankündigung in ihrem Antwortschreiben legt sie die Anfrage aus Liechtenstein der DSK zur Kenntnisnahme vor.
BfDI berichtet ergänzend zum Votum des AK Grundsatzfragen über die Gesprächsrunde Ende August mit Rundfunk- und Kirchenvertretern bei der BfDI. Die Vertreter haben eine enge Kooperation mit der DSK befürwortet. BfDI und die Vorsitzende haben bei dieser Gelegenheit deutlich gemacht, dass eine Beteiligung notwendig ist. Allerdings sei noch zu klären, wann dies der Fall ist und wie die Einbindung stattfinden soll.
Auf Grundlage der Beratung und Empfehlung des AK Grundsatzfragen vom 12. / 13. Juli 2017 bezüglich einer Einbindung weiterer Aufsichtsbehörden in die DSK und eines Dialogs mit Interessenvertretern wird dem AK Grundsatzfragen einstimmig folgender Auftrag erteilt:
Der AK Grundsatzfragen wird gebeten, die Begriffe „Beteiligung“ und „Betroffenheit“ in §18 Abs. 1 Satz 4 BDSG-neu auszulegen und der DSK eine rechtliche Bewertung vorzulegen.
TOP 7 Anwendungsvorrang der DS-GVO gegenüber nationalem Recht; Votum des AK Grundsatzfragen zum Arbeitsauftrag der DSK aus der Anschlusskonferenz vom 11. Mai 2017; Beratung und Beschlussfassung
Die DSK nimmt das Votum des AK Grundsatzfragen einstimmig zustimmend zu Kenntnis.
TOP 8 Entwicklung eines Portals zur Entgegennahme der Mitteilungen nach Art. 37 Abs. 7 DS-GVO
LDA Bayern berichtet, dass der angemeldete Tagesordnungspunkt als erledigt betrachtet werden kann. In einer Besprechung des Themas am 2.11.2017 in Nürnberg haben Baden-Württemberg, , Hessen, Niedersachsen, Saarland und Thüringen Interesse bekundet an der vom LDA Bayern entwickelten Portallösung zu partizipieren. Hamburg und Sachsen-Anhalt haben zudem Offenheit gegenüber dem Projekt signalisiert. Die übrigen Teilnehmer wiederum haben erklärt, eigene Lösungen entwickeln zu wollen. LDA Bayern wird mit den teilnehmenden Aufsichtsbehörden in Verbindung treten, um die ggf. notwendigen vertraglichen Vereinbarungen zu regeln und umzusetzen.
Der TOP wird dementsprechend durch die DSK als behandelt betrachtet.
TOP 9 Microsoft – Amicus Brief
LDA Bayern berichtet, dass das Verfahren gegen Microsoft wegen Herausgabe von Daten aus der EU nun beim Supreme Court liege. Bis zum Januar 2018 bestehe die Möglichkeit, sich im Rahmen eines Amicus-Briefes einzubringen. Microsoft würde es begrüßen, wenn die deutschen Datenschutzaufsichtsbehörden über einen entsprechenden Brief die Auffassung von Microsoft unterstützen würden.
Ein Votum der Art. 29-Gruppe liegt hierzu noch nicht vor.
Die DSK beschließt, abzuwarten, ob die Art. 29-Gruppe sich dazu entscheidet, Microsoft mit einem Amicus-Brief zu unterstützen oder nicht. Die DSK ist sich darüber einig, dass das Votum und die ggf. abgegebene Stellungnahme der Art. 29-Gruppe als bindend für die deutschen Datenschutzaufsichtsbehörden zu betrachten ist.
TOP 10 Datenschutzfolgenabschätzung gemäß Art. 35 DS-GVO; Arbeitspapiere der Deutschen Krankenhausgesellschaft e.V. (DKG), des Bundesverbandes Gesundheits-IT e.V. (bvitg) und des Arbeitskreises „Datenschutz und IT-Sicherheit im Gesundheitswesen“ der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS)
LfD Bayern berichtet über die vorliegenden Arbeitspapiere zu den Anforderungen der DSFA und die Bitte der Verbände, eine Stellungnahme durch den AK Gesundheit und Soziales zu erhalten.
Der AK habe deutlich gemacht, dass derzeit nur eine vorläufige Einschätzung abgegeben werden kann. Einerseits wird die Zielsetzung der Verbände nicht klar. Andererseits sind die überreichten Empfehlungen sehr abstrakt. Die Ergebnisse und Stellungnahmen der DSK hätten hierbei stärker berücksichtigt werden müssen. Die abgegebenen Absichtserklärungen sind zudem defizitär.
Die DSK nimmt den Bericht des LfD Bayern zur Kenntnis.
Nach einer Aussprache beschließt die DSK, dass Vertreter von LfD Bayern, Berliner BDI, der UAG DSFA sowie des AK Technik am 30.11.2017 mit Vertretern der DKG, des bvitg sowie der GMDS in Berlin zu einem Gespräch über deren vorgelegte Arbeitsergebnisse zusammenkommen. Das Ergebnis dieses Gesprächs soll abgewartet werden.1
TOP 11) Videoüberwachung nach der DS-GVO
Mecklenburg-Vorpommern berichtet über die laufende Arbeit der UAG Biometrie. Derzeit könne noch kein abschließendes Arbeitsergebnis vorgelegt werden. Die DSK wird daher gebeten, mit dem Abschluss des Kurzpapiers Videoüberwachung abzuwarten, bis die UAG Biometrie einen Verfahrens- bzw. einen Formulierungsvorschlag vorgelegt hat, der in das Kurzpapier aufgenommen werden kann.
Die DSK beschließt, die Veröffentlichung des Kurzpapiers Videoüberwachung bis zum 23.11.2017 aufzuschieben. Sollte bis dahin kein Einvernehmen zwischen der AG Videoüberwachung und der UAG Biometrie erzielt werden können, wird das Papier ohne den Abschnitt Biometrie veröffentlicht.
Die Vorsitzende berichtet zur Nichtzulassungsbeschwerde Niedersachsens gegen das Urteil des OVG Lüneburg vom 07.09.2017 zur Videoüberwachung in den Fahrzeugen des ÖPNV, über das Niedersachsen die DSK per E-Mail vom 8.09.2017 ausführlich unterrichtet hat. Die Teilnehmerinnen und Teilnehmer werden um Zulieferung von Textbausteinen an Niedersachsen entsprechend der vorliegenden Bitte (E-Mail vom 6.11.2017) bis zum 16.11.2017 gebeten.
TOP 12 Kooperation der DSK mit der Wissenschaft zu Lösungen zur Umsetzung der Anforderungen der DS-GVO sowie zur Fortentwicklung des Datenschutzes
Schleswig-Holstein berichtet, dass sich die DSK bereits mehrfach mit der Möglichkeit einer Kooperation mit der Wirtschaft beschäftigt hat. In der bisherigen Diskussion sei jedoch offen geblieben, ob und inwieweit eine Kooperation mit der Wissenschaft gewollt ist.
Die DSK beschließt nach einer Aussprache, dass von Schleswig-Holstein ein Konzept zur Kooperation der DSK mit der Wissenschaft zur Umsetzung der Anforderungen der DS-GVO sowie zur Fortentwicklung des Datenschutzes inklusive alternativer Vorschläge ausgearbeitet und der DSK vorgelegt wird.
TOP 13 Zusammenarbeit der Datenschutzaufsichtsbehörden in Deutschland bei der Akkreditierung von Zertifizierungsstellen
Nach der Berichterstattung durch Schleswig-Holstein beschließt die DSK folgende Punkte einstimmig:
Zu 1. des Beschlussvorschlags: Die AG Zertifizierung erhält den Auftrag, diese Regeln zu entwickeln und der Konferenz zur Beschlussfassung vorzulegen.
Zu Ziffer 2. des Beschlussvorschlags: Die AG Zertifizierung erhält den Auftrag diese Bereiche auszuarbeiten und der Konferenz vorzulegen.
Zu Ziffer 3. des Beschlussvorschlags: An die AG Zertifizierung wird der Auftrag erteilt, das Kooperationsmodell rechtlich, technisch und fachlich auszuformulieren und möglichst zeitig, aber spätestens bis zur nächsten Sonderkonferenz2 zur Beschlussfassung vorzulegen.
TOP 14 Bericht aus der Arbeitsgruppe „Geschäftsordnung“ der DSK
Brandenburg berichtet zum Arbeitsstand der AG GO zum „Projekt zur Veröffentlichung von Positionen der DSK“ und verbindet den Bericht mit der Frage an die Teilnehmerinnen und Teilnehmer, ob ein Interesse an der Fortführung des Projektes besteht. Zudem wird um eine Abstimmung gebeten, ob ein Interesse an einer gemeinsamen Homepage der DSK entsprechend des vom LDA Bayern vorgelegten Konzepts besteht.
Brandenburg gibt abschließend bekannt, dass der Vorsitz in der AG GO zur Verfügung gestellt wird. Die Vorsitzende drückt im Namen der DSK das Bedauern zu dieser Entscheidung aus und dankt Brandenburg für die bisher geleistete Arbeit.
Nach einer Aussprache zu den Anträgen Brandenburgs sowie zur Frage der Nachfolge im Vorsitz der AG GO werden folgende Beschlüsse getroffen.
Die DSK beschließt auf Antrag des LDA Bayern, dass Niedersachsen den Vorsitz in der AG GO übernimmt.
Die DSK beschließt, eine gemeinsame Homepage zur zentralen Veröffentlichung von Protokollen, Entschließungen und weiteren gemeinsamen Publikationen einzurichten.
Des Weiteren fasst die DSK folgenden Beschluss.
Es ist beabsichtigt dass die zentrale Homepage der DSK beim LDA Bayern entwickelt und „gehostet“ wird. Das LDA Bayern wird gebeten, für die Entwicklung und das Hosting ein Konzept zu erstellen und der DSK bis zum 17.11.2017 vorzulegen.
Die DSK entscheidet anschließend im Umlaufverfahren bis zum 27.11.2017 über das Konzept.3
Hessen berichtet über den aktuellen Stand zur Beschaffung von Videokonferenzsystemen und zur Kollaborationsplattform. Zur Beschaffung von Videokonferenzsystemen hat die DSK-interne Umfrage keine Ergebnisse über kommerzielle Anbieter geliefert, diebereits von einzelnen Aufsichtsbehörden geprüft wurden. Mecklenburg-Vorpommern hat sich bereit erklärt, eine Videokonferenz zu Testzwecken zu organisieren. Hierbei sollen die Teilnehmer vor allem die Gelegenheit haben zu prüfen, ob eine Beschaffung der notwendigen Ausstattung sinnvoll und gewollt ist. Für den Testbetrieb sollen die Teilnehmerinnen und Teilnehmer bereits vorhandene Technik anderer Behörden oder Ministerien nutzen. Die Verfügbarkeit wurde bereits im Nachgang der 93. DSK in Göttingen durch die Datenschutzbehörden erörtert und an Mecklenburg-Vorpommern gemeldet.
Das Thema Kollaborationsplattform soll auf der nächsten Sitzung der PG OS am 21. / 22.11.2017 in Wiesbaden weiter besprochen werden. Insbesondere soll geprüft werden, ob und inwieweit eine Nutzung des BSCW-Servers in Betracht kommen könnte, da der Server möglicherweise bessere Nutzungsmöglichkeiten bietet als bisher angenommen. Wie diese aussehen, soll am 21. /22. thematisiert werden.
Darüber hinaus haben Mecklenburg-Vorpommern, Bayern und Hessen, wie in der 93. DSK in Göttingen vereinbart, bei ihren jeweiligen Anbietern Angebote für Kollaborations-Lösungen eingeholt.
Des Weiteren sollen Vorschläge für die Mandatierung und die Kommunikationswege in der Zusammenarbeit von Subgroup-Vertretern mit der ZASt und der DSK diskutiert werden.
Nordrhein-Westfalen fragt nach, welche Vorbereitungsarbeiten in den Aufsichtsbehörden zur Erfüllung von Art. 57 Abs. 1 lit) a-v DS-GVO noch erledigt werden müssen, bis die DS-GVO wirksam wird. Hierzu antwortet Hessen, dass eine Bestandsaufnahme der Arbeitsstände in den Datenschutzbehörden im Rahmen der nächsten Sitzung der PG OS erstellt werden soll.
TOP 15 Umlagefinanzierung unter den Ländern für die personellen und sachlichen Aufwände des künftigen Stellvertreters im EDSA; Beratung und Beschlussfassung
Nach Erörterung beschließt die DSK Folgendes.
Die DSK bittet LfD Bayern und Hamburg um eine Klärung der Finanzierungsmodalitäten bei EU-Vertretungen im Hinblick auf Personal- und Sachaufwand und um einen Bericht zur Sonderkonferenz am 30.01.2018.
Die Datenschutzbehörden der Länder treten an ihre jeweiligen Innenministerien heran und regen eine informelle Beteiligung am Bundesratsverfahren zur Wahl des Ländervertreters an.
TOP 16 Standard-Datenschutzmodell
Mecklenburg-Vorpommern merkt an, dass entgegen dem ursprünglich mit der Anmeldung des TOP vorgesehenen Zeitplans derzeit noch keine neue Version des Standard-Datenschutzmodells (SDM) vorgelegt und verabschiedet werden kann. Entscheidend sei momentan, dass das Kurzpapier „Risiken“ verabschiedet wird. Die Begriffe der DS-GVO, die in diesem Kurzpapier erläutert werden, müssen im SDM umgesetzt werden, insbesondere im Kapitel Schutzbedarf. Deshalb wird zurzeit auf die Fertigstellung des Kurzpapiers gewartet, bevor das SDM weiterentwickelt wird.
Für weitere Informationen zum aktuellen Arbeitsstand wird auf den am 26.10.2017 eingereichten schriftlichen Bericht (Anlage 3) verwiesen.
TOP 17 Akkreditierungsverfahren zum G20-Gipfel
BfDI führt aus, dass das grundlegende Problem offenbar die mangelnde Datenqualität in den polizeilichen Datenbeständen ist. Vor allem die zahlreichen Fragen von Journalisten erzeugen in diesem Zusammenhang einen entsprechenden Zeitdruck. Vor diesem Hintergrund wirbt BfDI dafür, dass die Aufsichtsbehörden der Länder ihrerseits ihre Landesbehörden und die dortige Datenqualität möglichst zeitnah überprüfen. Dementsprechend könnte dann aus den vorliegenden Berichten über den AK Sicherheit ein gemeinsamer Bericht entwickelt werden.
Es wird vereinbart, dass die Aufsichtsbehörden Anstrengungen unternehmen, die Prüfungen umgehend zum Abschluss zu bringen.
LfD Bayern sagt zu, das vorhandene Prüfkonzept im Nachgang zur Konferenz zur Verfügung zu stellen.
Auf Basis der Prüfberichte aus den Ländern wird ein gemeinsamer Prüfbericht im Entwurf durch den AK Sicherheit auf dessen nächster Sitzung am 27. / 28. Februar erstellt. Dazu senden die Länder ihre Berichte an die BfDI, die diese dann an den Vorsitz des AK Sicherheit weiterleitet.
TOP 18 Bericht des AK Sicherheit zu den Auswirkungen des BKAG auf die praktische Arbeit der Datenschutzbehörden
Auf Grundlage des vorliegenden schriftlichen Berichts (Anlage 8) benennt Schleswig-Holstein die wichtigsten Änderungen und Fragen, die sich aus Sicht des AK Sicherheit aus dem BKA-Gesetz ergeben.
Zentrales Element des BKA-Gesetzes ist die Schaffung eines neuen Informationsverbundes der Polizeien. Dieser wird beim BKA erstellt, konzipiert und geführt. Auch wenn derzeit unklar ist, wie dieser Informationsverbund im Detail aussehen und wer hierüber im Detail bestimmen wird, steht fest, dass hiermit die Zentralstellenfunktion des BKA enorm gestärkt wird.
Hinsichtlich der neuen Zentralstellenaufgaben des BKA stellt sich die Frage, wie BfDI und LfD die Zusammenarbeit der Polizei künftig datenschutzrechtlich begleiten will. Hierzu existieren bisher AK Sicherheit und AG INPOL. Aktuelle Vorstellung ist es, erst einmal wie bisher weiterzuarbeiten, da auch die BfDI ein großes Interesse an der Mitarbeit der Länder hat.
Durch den Wegfall der Errichtungsanordnung und die Schaffung eines Datenpools im Informationsverbund ergibt sich außerdem für die Arbeit der Datenschutzbehörden das Problem, dass künftig keine schriftlichen Festlegungen über den Zweck, den exakten Inhalt, die Prüf- und Löschfristen und den Umfang der Verarbeitungen vorhanden sein werden.
TOP 19 Bericht des AK Sicherheit zu gesetzlichen Pflichtprüfungen der Datenschutzbehörden im Bereich Polizei und Verfassungsschutz
Schleswig-Holstein führt aus, dass zu den bisherigen Prüfpflichten für Bund und Länder im europäischen Rechtssystem – das Schengener Informationssystem, das VISA-Informationssystem und EURODAC– weitere Rechtsakte hinzukommen: das Einreise-Ausreise-System und das ETIAS Reisegenehmigungssystem. Diese Rechtsakte enthalten jeweils Prüfpflichten für die Datenschutzaufsichtsbehörden. Spätestens seit der Entscheidung des Bundesverfassungsgerichts zur Antiterrordatei zeichne sich ein Trend ab, neue Befugnisse nicht mehr nur unter Richtervorbehalt zu stellen, sondern nachgelagert durch die Datenschutzbeauftragten kontrollieren zu lassen. Damit nehmen die Prüfpflichten der Datenschutzbehörden weiter zu.
Der AK Sicherheit hat eine Tabelle der aktuell bestehenden Prüfpflichten erstellt.
Der beschriebene Trend setzt sich außerdem auch im neuen BKAG und den Entwürfen mehrerer Ländergesetze fort, mit dem Ansatz neue Befugnisse der Polizei mit einer Pflichtprüfung zu versehen.
Um neben den Pflichtprüfungen auch andere, z.B. durch Eingaben, aktuelle Entwicklungen oder eigene Schwerpunktsetzungen angezeigte Prüfungen durchführen zu können, Hält der AK Sicherheit es für wichtig, dass die Ressourcen- und Haushaltsplanung in den Datenschutzbehörden so gestaltet wird, dass überhaupt die Möglichkeit besteht, die Prüfpflichten abzuarbeiten und parallel dazu auch andere Aufgaben vollziehen zu können.
Wichtig sei vor diesem Hintergrund, dem Eindruck entgegen zu wirken, dass mit einer Prüfung des BKA durch die BfDI automatisch die Prüfung der Länderpolizeien abgewickelt ist.
TOP 20 Bericht aus dem IT-Planungsrat
Mecklenburg-Vorpommern thematisiert, dass durch das Online-Zugangs-Gesetz zwar viele DSK-Forderungen zu Service-Konten umgesetzt worden sind. Andererseits regelt das Gesetz aber auch, dass innerhalb der nächsten fünf Jahre sämtliche Verwaltungsdienstleistungen digitalisiert und online angeboten werden sollen. Dies bedeutet in der Praxis einen enormen Umsetzungsdruck. Aus diesem Grund hat der IT-Planungsrat ein Digitalisierungsprogramm entwickelt. In diesem Programm werden zunächst 500 Verwaltungsdienstleistungen, die umgesetzt werden sollen, benannt. Ebenfalls werden in dem Programm sieben Arbeitspakete benannt.
Problematisch ist in diesem Zusammenhang, dass die entsprechende Diskussion im IT-Planungsrat das Thema Datenschutz nicht im Blick hat.
Mecklenburg-Vorpommern nennt hierzu beispielhaft die folgenden Bereiche.
| Paket | Bereich | Federführung |
| 1. | Einwohnerwesen | HH und RLP |
| 2. | Geburtsurkunde, Kindergeld | HB |
| 3. | e-Kfz |
Bund, insbes. das Verkehrsministerium |
| 4. | Gewerbeanmeldung | BMI |
| 5. | e-Rechnung | BMI gemeinsam mit HB |
| 6. | Arbeitsschutz | HE |
| 7. | Raumordnung | HE |
Mecklenburg-Vorpommern bittet die Aufsichtsbehörden derjenigen Länder, die Federführungen bei Paketen des Digitalisierungsprogramms innehaben, bei der Umsetzung des Online-Zugangs-Gesetzes sehr auf die datenschutzrechtlichen Aspekte zu achten. Weiter wird darum gebeten, bei der Begleitung der Projekte insbesondere deutlich zu machen, welche Rolle die DS-GVO spielen wird.
Als zweites Thema zum TOP benennt Mecklenburg-Vorpommern eine mögliche Zusammenarbeit mit dem Normenkontrollrat (NKR) bei der Registermodernisierung. Zur Aufgabe der Registermodernisierung habe der NKR einen Bezug zum österreichischen Stammkennzahlensystem hergestellt, dessen zentraler kryptografischer Schlüssel von der österreichischen Datenschutzbeauftragten verwaltet wird. Der NKR hat angeregt, dass ein modifiziertes Stammkennzahlensystem in Deutschland bei der Registermodernisierung eine Rolle spielen könnte, insbesondere, um datenschutzrechtliche Aspekte sicherzustellen.
Mecklenburg-Vorpommern steht dieser Anregung positiv gegenüber und hat dem NKR zugesagt, die DSK hierüber zu informieren, und schlägt darüber hinaus vor, Herrn Ludewig als Vertreter des NKR in einen der Arbeitskreise einzuladen, beispielsweise in den AK Verwaltungsmodernisierung.
Nach einer Aussprache zum Bericht von Mecklenburg-Vorpommern kommt die DSK darin überein, dass der AK Verwaltungsmodernisierung sich zuerst intern mit dem Thema Registermodernisierung und möglicher Anleihen beim österreichischen Stammkennzahlensystem auseinandersetzt, bevor Gäste, etwa aus dem NKR eingeladen werden.
TOP 21 Bericht aus der IT-Taskforce
Hessen weist darauf hin, dass eine Mitarbeiterin des LfD Hessen bereits in der IT-Taskforce mitarbeitet und dort vertrauensvoll mit den Bundesrepräsentanten zusammenarbeitet. Daher wird die DSK um Zustimmung dazu gebeten, dass die Mitarbeiterin des LfD Hessen ihre Arbeit weiter fortsetzt und gleichzeitig als Stellvertreterin der DSK insgesamt in der IT-Taskforce tätig wird und der DSK Bericht erstattet.
Die DSK stimmt dieser Vorgehensweise zu.
Zur weiteren Berichterstattung verweist Hessen auf den schriftlichen Bericht (Anlage 9), der der DSK mit E-Mail vom 20.10.2017 vorgelegt worden ist.
TOP 22 BAY LDA plant Twitter-Account
LDA Bayern berichtet, dass derzeit erwogen werde, einen eigenen Twitter-Account zu erstellen. Vorab wird jedoch um ein Stimmungsbild der DSK gebeten, etwa, ob es erhebliche Bedenken gibt oder ein derartiges Anliegen die Arbeit der anderen Datenschutzbehörden, etwa angesichts laufender Verfahren, beeinträchtigen würde.
Hamburg berichtet über die geplante Prüfung von Twitter. Neben den datenschutzrechtlichen Bedenken, beispielsweise den unklaren Datenflüssen, spiele auch die Verantwortung eine Rolle. Dies gelte bei Facebook wie auch bei Twitter sowohl für die Anbieter einer Plattform als auch deren Nutzer, die entsprechende Seiten auf den Plattformen betreiben. Auch sei die Situation vor dem Hintergrund des Verfahrens vor dem EuGH derzeit unsicher. Betreiber von Fanpages aus dem öffentlichen Bereich müssten sich bei einem entsprechenden Urteil des EuGH darauf vorbereiten, dass Fanpages aufgrund datenschutzrechtlicher Mängel rechtswidrig sind.
BfDI schließt sich der Aussage Hamburgs an und ergänzt, dass darüber hinaus aus Sicht der BfDI kein praktischer Nutzen für die Öffentlichkeitsarbeit sichtbar sei.
Schleswig-Holstein merkt an, dass die Einbindung vieler sozialer Medien derzeit scheitere, weil entscheidende Information nicht vorgelegt werden können – etwa, welche Datenverarbeitungen stattfinden oder welche Garantien erbracht werden. Es bestehe ein großes Interesse daran, soziale Medien nutzbar zu machen, allerdings müsste zuerst europäisches und deutsches Datenschutzrecht erfüllt werden. Für ein wirksames Durchsetzen sieht Schleswig-Holsetin einen großen Nutzen darin, die Datenschutz-Anforderungen gemeinsam gegenüber den Anbietern zu kommunizieren.
LfD Bayern ergänzt, dass die Datenschutzbehörden in besonderer Weise eine Vorbildfunktion haben. Durch eine Nutzung sozialer Medien werde dokumentiert, dass diese datenschutzkonform nutzbar sind. Dies gelte es zu bedenken.
LDA Bayern dankt für die Rückmeldungen und kündigt an, diese in die weiteren Überlegungen einzubeziehen.
TOP 23 Verschiedenes
Top 23.1 Termine der DSK 2018
Als künftiges Vorsitzland der DSK teilt Nordrhein-Westfalen unter Verweis auf den bereits an die DSK verschickten Terminkalender für 2018 mit, dass die 1. Sonderkonferenz 2018 am 30. Januar in Berlin stattfindet. Hierzu werden die Teilnehmerinnen und Teilnehmer um Anmeldung von Tagesordnungspunkten bis zum 31. Dezember gebeten.
TOP 23.2 (Neues) Projekt zur ¾ Sensibilisierung
LDA Bayern weist darauf hin, dass all diejenigen, die bis zum 10.11.2017 ihre Bereitschaft zur Teilnahme melden, in der 46. Kalenderwoche die entsprechende Datei zur Implementierung auf der eigenen Homepage erhalten werden.
TOP 23.3 Kommunikation in englischer Sprache
LDA Bayern berichtet, dass in jüngster Zeit die Zahl von Anfragen steige, ob das LDA grundsätzlich bereit sei, in englischer Sprache zu kommunizieren, oder ob beispielsweise ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO auf Englisch vorgelegt werden könne. Hierzu wird die DSK um einen Austausch gebeten.
In einer kurzen Aussprache wird deutlich, dass die Mehrheit der Teilnehmerinnen und Teilnehmer einer Entgegennahme englischsprachiger Dokumente ablehnend gegenüber steht. Schließlich liege das Risiko für einen Übersetzungsfehler dann auf Seiten der Datenschutzbehörde. Zudem sei Deutsch als Amtssprache festgelegt. Schließlich seien auch nicht alle Länder rein personell in der Lage, eine Kommunikation in englischer Sprache sicherzustellen.
Schleswig-Holstein bietet an, seine Antwort auf eine diesbezügliche Anfrage der DSK im Nachgang zur Sitzung zur Verfügung zu stellen.
TOP 23.4 Vertretung der Länder in der Art. 29-Gruppe
Hamburg berichtet zum Thema privacy shield, dass eine in Washington durchgeführte Evaluation, an der auch Vertreter aus Hessen und der BfDI teilgenommen haben, derzeit ausgewertet wird. In einer Sitzung am 29. / 30.11.2017 in Brüssel sollen drei Szenarien vorgestellt werden, die als Ergebnis der Evaluation zu erwarten sind.
- Es werden Empfehlungen abgegeben, die beim nächsten Joint Review von den US-Behörden zu beachten sind.
- Es werden Empfehlungen abgegeben verbunden mit einer Frist für die US-Behörden, diese umzusetzen.
- Der privacy shield wird einer gerichtlichen Klärung zugeführt.
Hamburg beurteilt Szenario Nr. 3 als realistisch, da die bereits vorliegenden Berichte negativ für den privacy shield ausfallen. Vor diesem Hintergrund sagt Hamburg zu, die DSK weiter zu unterrichten. Gleichzeitig sei es aber notwendig, dass die DSK einen gemeinsamen Standpunkt findet.
Als zweites Thema zu diesem TOP erwähnt Hamburg den anstehenden Wechsel in der Präsidentschaft der Art. 29-Gruppe in der Februarsitzung. Derzeit werde die Nachfolge von Präsidentin Isabelle Falque-Pierrotin diskutiert. Da die Art. 29-Gruppe ab Februar 2018 nur noch wenige Monate aktiv sein dürfe, bevor sie durch den EDSA abgelöst wird, ist davon auszugehen, dass der dann aktuelle Vorsitz auch den Vorsitz im EDSA übernehmen werde. Insofern kommt dieser Neubesetzung ein besonderes Gewicht zu.
Auf Nachfrage der Vorsitzenden erläutert Hamburg, dass sich die Art. 29-Gruppe mit dem Thema Standardvertragsklauseln befassen wird. Es sei damit zu rechnen, dass der EuGH die Rechtsprechung des Irish High Court fortsetzen und bestätigen wird. Die Art. 29-Gruppe ist derzeit im Begriff, sich hierzu eine Meinung zu bilden.
Abschließend richtet Hamburg an die amtierende und die künftige Vorsitzende die Bitte, den Bericht aus der Art. 29-Gruppe als festen TOP zu Beginn jeder Konferenz aufzurufen.
Anlagen:
- Liste der Teilnehmerinnen und Teilnehmer der 94. DSK in Oldenburg
- Schriftlicher Bericht der BfDI zur „aktuellen Bundesgesetzgebung“
- Schriftlicher Bericht LfD Mecklenburg-Vorpommern zum Standard-Datenschutzmodell
- Entschließung der DSK „Umsetzung der DS-GVO im Medienrecht“Entschließung der DSK „Keine anlasslose Vorratsspeicherung von Fluggastdaten“
- Votum des AK Grundsatz vom 12. / 13. Juli 2017 zum Arbeitsauftrag der DSK aus der 2. Sonderkonferenz vom 21. Juni 2017 betr. Fortsetzung des Dialogs mit Wirtschaftsunternehmen
- Anfrage des Datenschutzbeauftragten des Großherzogtums Liechtenstein an die DSK-Vorsitzende inklusive Antwortschreiben
- Bericht des AK Sicherheit zu den Auswirkungen des BKAG auf die praktische Arbeit der Datenschutzbehörden
- Bericht aus der IT-Taskforce
1 Mit E-Mail vom 22.11.2017 hat der LfD Bayern mitgeteilt, dass der Besprechungstermin am 30.11.2017 ohne Beteiligung der Datenschutzaufsichtsbehörden stattfinden wird. Zunächst werden die benannten Vereinigungen ihre Arbeitspapiere intern überarbeiten und Anmerkungen des AK Gesundheit und Soziales bewerten. Anschließend soll ein Termin für eine gemeinsame Diskussion gefunden werden.
2 Die nächste Sonderkonferenz der DSK findet am 30.01.2018 unter Vorsitz Nordrhein-Westfalens in Berlin statt.
3 LDA Bayern hat mit E-Mail vom 15.11.2017 ein „Konzept und Angebot für Entwicklung und Betrieb der gemeinsamen Webseite für die Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) vorgelegt. Niedersachsen hat das Beschlussverfahren im Umlauf hierzu am 15.11.2017 mit Frist bis zum 27.11.2017 gestartet.