99. Konferenz
der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Videokonferenz am 12. Mai 2020
- Protokoll -
TOP 1 - Begrüßung und Organisatorisches
Der Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 99. Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird, und stellt den geplanten Ablauf der Konferenz dar.
Es wird festgestellt, dass der BfDI und Aufsichtsbehörden aller Bundesländer entweder per Video oder per Telefon an der Konferenz teilnehmen.
Mecklenburg-Vorpommern wird für die technische Organisation der Videokonferenz gedankt.
TOP 2 - Tagesordnung und Protokoll
Der Vorsitzende dankt den Teilnehmerinnen und Teilnehmern für die konstruktive Zusammenarbeit zu den zahlreichen Umlaufverfahren und in der Vorkonferenz am 28. April 2020, die ebenfalls als Videokonferenz durchgeführt wurde.
Für die nachfolgenden Tagesordnungspunkte wurde auf der Vorkonferenz ein Einvernehmen hergestellt. Deren Behandlung kann deshalb im verkürzten Verfahren erfolgen.
TOP 3: Information zu Umlaufverfahren der DSK
TOP 6: Vertagung: Information über Publikationen der Aufsichtsbehörde
TOP 11: Draft-Decisions bei grenzüberschreitenden Fällen
TOP 22: Einsatz von Workgroup Collaboration Tools in der DSK-Gremienarbeit
TOP 31: Bericht zur aktuellen Bundesgesetzgebung
Die Konferenz nimmt die Ergebnisse der Vorkonferenz zu den o. g. Tagesordnungspunkten ohne weitere Aussprache an.
Die nachfolgenden Tagesordnungspunkte wurden in Umlaufverfahren entschieden und in der Konferenz nicht mehr aufgerufen:
TOP 10: Standard-Datenschutzmodell (Umlaufverfahren 05/2020 und 06/2020)
TOP 12: Programm Polizei 2020 (Umlaufverfahren 07/2020)
TOP 13: Medizininformatik-Initiative (MIi) des Bundes (Umlaufverfahren 04/2020)
TOP 14: Angebote von DNA-Analysen durch private Unternehmen insbesondere Drittstaaten (Umlaufverfahren 16/2020)
TOP 16: Verfahren der freiwilligen Amtshilfe nach Art. 61 DS-GVO (,,Article 61 Volun tary Mutual Assistance Notifications"), Verfahrensweise (Umlaufverfahren 09/2020)
TOP 18: Netzwerk der Datenschutzbeauftragten der Datenschutzaufsichtsbehörden der DSK-Mitglieder (Umlaufverfahren 10/2020)
TOP 20: Vertretung Deutschlands im Coordinated Supervision Commitee (CSC) des EDSA (Umlaufverfahren 11/2020)
TOP 21: Begleitung der Umsetzung des Onlinezugangsgesetzes durch die DSK (Umlaufverfahren 17/2020)
TOP 3 - Information zu Umlaufverfahren der DSK
Eine aktuelle Übersicht der Umlaufverfahren in 2020 wurde den Teilnehmerinnen und Teilnehmern mit Mail vom 5. März 2020 zur Verfügung gestellt.
Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz. [17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 4 - Bericht aus dem Europäischen Datenschutzausschuss (EDSA)
Der BfDI berichtet aus dem EDSA zu folgenden Themen:
- Durchführung von regelmäßigen Telefonkonferenzen,
- Befassung mit Covid19-Themen,
- Verabschiedung verschiedener Leitlinien, insbesondere:
- Leitlinien zur Verwendung von Standortdaten und Tracing-Tools im Zusammenhang mit dem Ausbruch von COVID-19,
- Leitlinien über die Verarbeitung von Gesundheitsdaten zum Zwecke der wissenschaftlichen Forschung im Zusammenhang mit dem Ausbruch von COVID-19,
- Leitlinien zur Einwilligung nach der DSGVO,
- Übermittlung von Wählerdaten im Rahmen der Präsidentenwahl in Polen,
- Aussetzung von Betroffenenrechten nach der DSGVO in Ungarn in Folge der Corona-Pandemie.
Er legt die enge Zusammenarbeit mit Hamburg sowie mit den Subgroup-Vertretern trotz enger Zeitschiene zwischen den Telefonkonferenzen dar.
Auf Nachfrage von Sachsen-Anhalt teilt der BfDI mit, dass er keine Erkenntnisse dahingehend hat, dass es einen neuen Zeitrahmen für die Evaluierung der DSGVO durch die EU Kommission geben würde.
Hamburg ergänzt die Diskussion im EDSA zum Thema
- Corona-Tests bei Amazon-Mitarbeitern.
Hamburg stellt fest, dass der EDSA sich derzeit stark mit Corona-Themen auseinandersetzen muss und dass eine Befassung mit anderen datenschutzrechtlichen Themen auf einen späteren Zeitpunkt verschoben wird. Derzeit werden keine neuen Impulse beim Vollzug der grenzüberschreitenden Verarbeitung erwartet.
Der BfDI ergänzt, dass die seitens des EDSA verstärkt zu beobachtenden Äußerungen zu staatlichem Handeln, das von den Grundsätzen der DSGVO abweicht, unterstützt wird. Die Unabhängigkeit der jeweiligen staatlichen Datenschutzaufsichtsbehörde muss dabei immer beachtet werden.
TOP 5 - Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden
Der Bericht der ZASt sowie die Übersicht der im IMI-System eingeleiteten Verfahren unter Beteiligung der deutschen Aufsichtsbehörden mit Stand 10. März 2020 wurden den Teilnehmerinnen und Teilnehmern bereits mit Mail vom 12. März 2020 und 23. April 2020 zugesandt.
Die ZASt bittet die Aufsichtsbehörden bei Änderungsvorschlägen zur Ausgestaltung und Nutzung des !MI-Systems das auf Confluence verfügbare Formular zu nutzen.
Darüber hinaus nimmt die ZASt Bezug auf Ziffer 5 des vorliegenden Berichts der ZASt. Nach Abschnitt IX des ZASt-Konzeptes ist dieses zu evaluieren.
Die DSK trifft hierzu folgende Festlegung:
Der AK Organisation und Struktur wird beauftragt das ZASt-Konzept zu evaluieren und einen Evaluationsbericht bis zur 100. Datenschutzkonferenz im Herbst 2020 (24. bis 26. November 2020) zu erstellen. Auf Grundlage des Evaluationsberichtes sind ggf. erforderliche Änderungsvorschläge des ZASt-Konzeptes zu erarbeiten und gemeinsam mit dem Evaluationsbericht der DSK vorzulegen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 6 - Information über Publikationen der Aufsichtsbehörde
Eine aktuelle Übersicht der Publikationen der Aufsichtsbehörden wurde den Teilnehmerinnen und Teilnehmern mit Mail vom 4. Mai 2020 zur Verfügung gestellt.
Die Publikationsübersicht soll auf der Webseite der Konferenz veröffentlicht werden. Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 7 - E-Mail-Verschlüsselung
Der Vorsitzende dankt dem AK Technik für die Erstellung der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail"
- Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail"
Über die vorgelegte Orientierungshilfe stimmt die Konferenz mit dem nachfolgenden Ergebnis ab:
[14, 1, 2] (Zustimmung, Ablehnung, Enthaltung)
Bayern bittet gemäß A.IV, Nr. 3 der Geschäftsordnung der DSK um Kenntlichmachung, dass die Orientierungshilfe durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder gegen die Stimme Bayerns beschlossen wurde.
b. Pressemitteilung
Nach der geführten Diskussion stimmt die Konferenz zu, die Orientierungshilfe begleitend durch eine Pressemitteilung zu veröffentlichen. Der Text der Pressemitteilung entspricht dem vorliegenden Entschließungstext.
[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung]
c. Zeitpunkt der Veröffentlichung
Auch unter Berücksichtigung der Corona-Pandemie spricht sich die DSK für eine sofortige Veröffentlichung von Pressemitteilung und Orientierungshilfe aus.
[9, 4, 4] (Zustimmung, Ablehnung, Enthaltung]
TOP 8 - Datenschutzrechtliche Positionierung zu Windows 10
Niedersachsen berichtet, dass derzeit noch der formale Abschluss der Arbeit der ad hoc AG aussteht. Offen sei noch die Bewertung zweier Dokumente (Laborabschlussbericht des LDA und Antwort von Microsoft zur Frage der settings-win.data.microsoft.com Verbindung), da diese noch ausstehen. Nach Eingang und Bewertung dieser Dokumente wird ein abschließender Vermerk gefertigt, abgestimmt und der Datenschutzkonferenz zur Beschlussfassung vorgelegt. Diese Beschlussvorlage stellt dann den Abschluss der Arbeiten der ad hoc AG dar.
Die Konferenz stellt fest, dass die Ausweitung der Betrachtung auf weitere Editionen und Te lemetrie Level eine breitere personelle Aufstellung erfordert, wobei besonders der rechtliche Bereich verstärkt werden muss. Diese neu zu bildende Arbeitsgruppe soll als Unterarbeits gruppe des AK Technik länderoffen und interdisziplinär besetzt werden.
Im Ergebnis der weiteren Diskussion soll die neu zu bildende UAG entsprechend der Ziffer 4 Buchstaben a) und b) des vorliegenden Festlegungsentwurfs sowohl zu einem Tätigwerden auf europäischer als auch auf nationaler Ebene mandatiert werden:
- Deutschland bringt den Vorschlag eines datenschutzrechtlichen Win10 Prüfprojekts auf europäischer Basis in den EDSA ein. Die Unterarbeitsgruppe übernimmt im Rahmen dieses europäischen Prüfprojektes Arbeitspakete und Deutschland tritt als Co-Rapporteur
- Die Arbeitsgruppe wird auf nationaler Ebene von der DSK mit der datenschutzrechtlichen Bewertung der Win10 Editionen und Telemetrie Level, in der es um die Zulässig keit der Nutzung von Win10 durch Verantwortliche in Deutschland geht,
Der DSK-Vorsitz wird gebeten, das Mandat anhand dieses vorliegenden Festlegungsentwurfs entsprechend zu formulieren.
[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)
Die Konferenz nimmt den Zwischenbericht der ad hoc AG zur Kenntnis und stimmt dem o. a. weiteren Vorgehen mit folgendem Ergebnis zu:
[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)
TOP 9 - Vorabwidersprüche bei StreetView und vergleichbaren Diensten
Der Vorsitzende stellt das Ergebnis der Vorkonferenz vom 28.April 2020 noch einmal dar.
Unter Berücksichtigung der in der folgenden Diskussion herausgearbeiteten Änderungsvorschläge im Beschlussentwurf, beschließt die Konferenz ein einheitliches Vorgehen in der datenschutzrechtlichen Bewertung von StreetView und vergleichbaren Diensten. Der geänderte Beschlusstext wird mit folgendem Ergebnis angenommen:
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung]
Der BfDI als gemeinsamer Vertreter erklärt sich bereit, den EDSA über die Beschlusslage der Datenschutzkonferenz zu informieren.
TOP 11 - Draft-Decisions bei grenzüberschreitenden Fällen
Der Auftrag an den AK Grundsatz zu TOP 19 der 98. Datenschutzkonferenz, ein Papier zur Thematik zu erarbeiten, wird aufgehoben.
Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz. [17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 15 - Verantwortlichkeit des Betriebsrates
Der Vorsitzende stellt das Ergebnis der Vorkonferenz vom 28. April 2020 vor. In der Vorkonferenz wurden zwei Varianten zum weiteren Vorgehen diskutiert. Die Konferenz stimmt mehrheitlich zu, an den Bundesgesetzgeber heranzutreten und diesen aufzufordern, in Wahrnehmung seiner Spezifizierungsbefugnis nach Art. 4 Nr. 7 zweiter Halbsatz i. V. m. Art. 88 Abs. 1 DSGVO gesetzlich klarzustellen, ob der Betriebsrat Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist.
[13, 3, 0] (Zustimmung, Ablehnung, Enthaltung)
Der DSK-Vorsitz wird beauftragt, sich mit einem entsprechenden Schreiben an den Bundesgesetzgeber zu wenden.
[13, 0, 4] (Zustimmung, Ablehnung, Enthaltung)
TOP 17 - Prüfung jeder BCR durch deutsche Aufsichtsbehörden
Der Vorsitzende stellt das Ergebnis der Vorkonferenz vom 28. April 2020 vor. Nach der Diskussion in der Vorkonferenz wurden neben den beiden ursprünglichen Varianten zum Vorgehen bei der Prüfung von Binding corporate rules im Sinne von Art. 47 DSGVO (BCR) durch deutsche Aufsichtsbehörden zwei weitere Vorschläge durch Sachsen-Anhalt (Variante 3) und Nordrhein-Westfalen (Modifizierung zu Variante 3) eingebracht. Der DSK-Vorsitz legt dar, dass eine Entscheidung zu der Frage, ob die deutschen Aufsichtsbehörden eine Prüfobliegenheit für alle BCR trifft, getroffen werden muss.
Daher wird zunächst zu Variante 2 abgestimmt. Diese Variante beinhaltet, dass die deutschen Aufsichtsbehörden keine Prüfobliegenheit in Bezug auf alle BCR trifft. Wie alle übrigen europäischen Aufsichtsbehörden haben sie aber die Gelegenheit zur Prüfung. Jede deutsche Aufsichtsbehörde hat also die Möglichkeit, die BCR zu prüfen und Kommentare abzugeben. Macht eine Aufsichtsbehörde von dieser Möglichkeit Gebrauch, stellt sie sich als Berichterstatterin für das BCR Session Meeting zur Verfügung.
Die Konferenz stimmt der Variante 2 mit folgendem Ergebnis zu:
[8, 5, 3] (Zustimmung, Ablehnung, Enthaltung)
Da mit einfacher Mehrheit die Variante 2 angenommen ist, ist eine Abstimmung zu den anderen Varianten nicht erforderlich.
Der BfDI weist darauf hin, dass durch ihn künftig nur für die BCR, die in seiner eigenen Zuständigkeit liegen, eine Berichterstatterrolle übernommen werden kann. Berlin teilt diese Auffassung nicht und verweist auf bestehende Verfahrensregelungen.
TOP 19 - Vertretung der Länder in der Technology Subgroup
Der Vorsitzende berichtet, dass die Abstimmung im schriftlichen Verfahren per E-Mail durchgeführt wurde und stellt das Ergebnis der Stimmabgabe vor. Hiernach entfällt die Mehrheit der Stimmen auf Berlin.
Die Datenschutzkonferenz beauftragt Berlin die Vertretung der Datenschutzaufsichtsbehörden der Länder in der Technology Subgroup (TS) zu übernehmen.
TOP 22 - Einsatz von Workgroup Collaboration Tools in der DSK-Gremienarbeit
Die Konferenz beauftragt den AK Organisation & Struktur, Rahmenbedingungen für den Einsatz von Workgroup Collaboration Tools in der DSK-Gremienarbeit zu erarbeiten und der Datenschutzkonferenz praktische Vorschläge zu unterbreiten. Dabei soll davon ausgegangen werden, dass zur Entwicklung von Workgroup Collaboration Tools insbesondere Open Source Softwareprodukte zum Einsatz kommen sollen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 23 - Technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich
Der BfDI berichtet über die Abstimmungen mit den entsprechenden Arbeitskreisen und der Konsultation von Fachverbänden zur Thematik. Der Einarbeitungsprozess zu den zum Whitepaper der DSK erhaltenen Anmerkungen ist noch nicht abgeschlossen. Der BfDI wird in der Zwischenkonferenz im Juni 2020 berichten.
TOP 24 - Kesy - automatische Kennzeichenerfassung
Brandenburg berichtet über die Prüfung des Verfahrens. Brandenburg hat das Verfahren gegenüber den Verantwortlichen beanstandet. Derzeit werden Änderungen des Verfahrens umgesetzt und Daten gelöscht. Außerdem wurde eine Gesetzesänderung (StPO) angeregt. Hierzu sollte die DSK dann eine gemeinsame Stellungnahme abgeben.
TOP 25 - Bericht aus dem AK Organisation und Struktur
Die „Übersicht über die deutsche Vertretung im EDSA und die deutschen Vertretungen in den Expertengruppen des EDSA sowie über weitere europäische Gremien" und die Übersicht der „Zuordnung von AKs der DSK zu Themen aus dem Working Plan der EDSA-ESG" wurden den Teilnehmerinnen und Teilnehmern durch den Vorsitz des AK Organisation und Struktur bereits mit Mail vom 16. März 2020 zugesandt.
Der Vorsitz des AK Organisation und Struktur informiert, dass die übersandten Übersichten auf Grund von weiteren personellen Änderungen derzeit überarbeitet und in aktualisierter Form den Teilnehmerinnen und Teilnehmern übersandt werden.
Der Vorsitz des AK Organisation und Struktur berichtet, dass die im Umlaufverfahren 9/2020 festgelegte Verfahrensweise zu Verfahren der freiwilligen Amtshilfe nach Art. 61 DSGVO (,,Article 61 Voluntary Mutual Assistance Notifications") umgesetzt wird. Das hierzu entwickelte IMI-Modul, das die Koordination der Positionen der Aufsichtsbehörden durch die ZASt ermöglichen soll, wird derzeit getestet.
Der Vorsitz des AK Organisation & Struktur kündigt an, dass zukünftig die Herstellung des Einvernehmens bzw. die Herstellung eines gemeinsamen Standpunktes zumindest bezüglich Abstimmungen, die der EDSA im schriftlichen Verfahren herbeiführt, nicht mehr per Email, sondern in einem eigens dafür geschaffenen IMI-Modul erfolgen wird. Der AK arbeitet derzeit daran, die neue Vorgehensweise so zu gestalten, dass sie in den einzelnen Häusern mög lichst wenig organisatorischen Aufwand verursacht.
TOP 26 - Bericht des DSK-Vorsitzenden
Der Vorsitzende informiert, dass nach derzeitigem Stand die 100. Datenschutzkonferenz im November 2020 in Leipzig wieder als Präsenzveranstaltung durchgeführt werden wird. Dies sei jedoch von den Entwicklungen im Rahmen der Covid19-Pademie abhängig.
Im Rahmen der Vorbereitungen auf den Europäischen Datenschutztag berichtet der Vorsitzende, dass eine gemeinsame Veranstaltung mit dem Bundesministerium des Innern, fürBau und Heimat zum Thema „Transborder transfers -Herausforderungen des internationalen Datentransfers aus Sicht der Datenschutzkonvention 108+ und der DSGVO" am 28. Januar2021imBundesministeriumdesInnerninBerlingeplantsei.
Das 40-jährige Jubiläum der Datenschutzkonvention 108, das in den Zeitraum des deutschen Vorsitzes im Ministerko mitee des Europarates fällt, soll am Europäischen Datenschutztag gebührend gewürdigt werden. Derzeit werden die Rednerinnen und Redner für die Fachvorträge und die Podiumsdiskussion angefragt. Es ist geplant, neben dem Fachpublikum auch nationale und internationale Gäste, die die verschiedenen Ebenen des europäischen Grundrechte- und Datenschutzes beleuchten, begrüßen zu können.
Der Vorsitzende informiert über den Antrag Niedersachsens zur Vereinheitlichung der Da tenschutzaufsicht und dem entsprechenden Bericht des Bundesministeriums für Wirtschaft und Energie in Vorbereitung auf die diesjährige erste Sitzung der Amtschefkonferenz am 28. Mai 2020 und der Wirtschaftsministerkonferenz am 25./26. Juni 2020 in Bremen.
TOP 27 - DSK-Videokonferenzsystem
Der Vorsitzende schlägt vor, den durch Sachsen eingebrachten Tagungsordnungspunkt aus Zeitgründen im Umlaufverfahren zur Abstimmung zu bringen. Die Konferenz stimmt diesem Vorgehen zu.
TOP 28 - Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich, Entscheidung über die Änderungsvorschläge Nordrhein-Westfalens im Umlaufverfahren 13/2020
Der Vorsitzende nimmt Bezug auf die von Nordrhein-Westfalen im Umlaufverfahren zu den Hinweisen eingebrachten Änderungsvorschläge. Sachsen hat diese mit E-Mail vom 23. April 2020 als Änderungsantrag eingebracht.
Nach Diskussion zu den Änderungsvorschlägen zieht Sachsen den eingebrachten Änderungsantrag zurück.
Die Konferenz beschließt die Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereichen in der vorliegenden Fassung.
Die Hinweise sollen auf der Webseite der Konferenz veröffentlicht werden. [13, 0, 4] (Zustimmung, Ablehnung, Enthaltung)
TOP 29 - Bericht der Task Force „Facebook Fanpages"
Die Berichterstattung der Task Force „Facebook Fanpages" wird auf die 2. Zwischenkonferenz am 16. Juni 2020 vertagt.
TOP 30 - Bericht der Aufsichtsbehörden zur Verarbeitung personenbezogener Daten bei der Bewältigung der Corona-Pandemie
- Einsatz von Wärmebildkameras
Rheinland-Pfalz berichtet, dass mehrere Anfragen zur datenschutzrechtlichen Zulässigkeit im Zusammenhang mit dem Einsatz von Wärmebildkameras zur Erkennung möglicher Infektionen in verschiedenen Fällen (Einkaufsmarkt/Kunden; Krankenhaus/Beschäftigte) eingegangen seien. Auch andere Teilnehmerinnen und Teilnehmer berichten über ähnliche Anfragen, z. B. auch aus dem schulischen Bereich. Wärmebildkameras kommen in unterschiedlichen Bereichen zum Einsatz, so dass nicht nur Gesundheitsdaten sondern auch Kundendaten, Beschäftigtendaten u. a. verarbeitet werden. Daher beauftragt die Konferenz den AK Gesundheit und Soziales in Abstimmung mit dem AK Beschäftigtendatenschutz sowie dem AK Videoüberwachung, einen Positionsentwurf zum Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie bis zur 2. Zwischenkonferenz am 16. Juni 2020 zu erarbeiten. Für eine fallweise Klärung von Einzelfragen werden die entsprechenden zuständigen Arbeitskreise um unterstützende Mitarbeit gebeten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
b. Bericht der Aufsichtsbehörden zu folgenden Themen
Übermittlung von Negativergebnissen von Corona-Tests per Telefon
Hessen berichtet, dass die Mitteilung über negative Corona-Testergebnisse per Telefon erfolge. Es wird gebeten, eine Abfrage hinsichtlich eigener Erfahrungen und evtl. bereits vorliegender datenschutzrechtlicher Bewertungen in den Aufsichtsbehörden durchzuführen.
Einsatz von Videokonferenzsystemen
Die Teilnehmerinnen und Teilnehmer berichten, dass eine Vielzahl von Anfragen hinsichtlich des Einsatzes von Videokonferenzsystemen insbesondere aus den Bereichen Schulen und Hochschulen an die Aufsichtsbehörden herangetragen werden.
Sachsen berichtet, dass hinsichtlich des Systems Zoom ein IMI-Verfahren zur freiwilligen Amtshilfe durch Slowenien eingeleitet wurde. Der AK Medien hat die Federführung zur Beantwortung der Anfrage übernommen.
Die Konferenz beauftragt den AK Technik, eine Äußerung zum Einsatz von Videokonferenzsystemen bis zur 2. Zwischenkonferenz am 16. Juni 2020 zu erarbeiten. Für eine fallweise Klärung von Einzelfragen werden die entsprechenden zuständigen Arbeitskreise um unterstützende Mitarbeit gebeten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Mehrere Aufsichtsbehörden stellen dar, dass sich entsprechenderPapiere in der Erarbeitung befinden oder bereits Übersichten zu den Vor- und Nachteilen einzelner Systeme erörtert werden. Dieses Material kann durch den AK Technik angefordert und genutzt werden.
Sachstand zur Corona-App (Tracing-App)
Der BfDI berichtet über den Entwicklungssachstand der Corona-App (Tracing-App) des Bundes. In die Erarbeitung und Umsetzung datenschutzrechtlicher Anforderungen an die App sei der BfDI eingebunden.
Hamburg spricht die Reichweite einer Einwilligung in die Verarbeitung personenbezogener Daten bei Nutzung der Corona-App an. Sachsen-Anhalt zweifelt an der Eignung der App für den beabsichtigten Zweck.
c. Sonstige Berichte
Der BfDI informiert über seine Stellungnahme zum 2. Pandemieschutzgesetz, die auf seiner Homepage eingesehen werden kann. Darüber hinaus stellt er den Stand zu weiteren Vorhaben der Bundesregierung im Rahmen der Corona-Pandemie mit datenschutzrechtlichen Be zug dar (z. B. Quarantäne App, Corona-Datenspende-App).
Einige Teilnehmerinnen und Teilnehmer berichten über Corona-Apps, die sich unabhängig von der Tracing-App auf Bundesebene in der Entwicklung bei verschiedenen Institutionen und mit unterschiedlichen Zielrichtungen befinden. Darüber hinaus gibt es bei den Aufsichtsbehörden vermehrt Anfragen zu Teilnehmer- bzw. Kundenlisten, die durch Verantwortliche im Zuge der Lockerungen der Corona-Auflagengeführt werden müssen.
TOP 31 - Bericht zur aktuellen Bundesgesetzgebung
Die Übersicht des BfDI zur aktuellen Bundesgesetzgebung wurde den Teilnehmerinnen und Teilnehmern bereits mit Mail vom 27. April 2020 zugesandt und wird zur Kenntnisgenommen.
99. Konferenz
der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Videokonferenz am 12. Mai 2020
- Protokoll -
TOP 1 - Begrüßung und Organisatorisches
Der Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 99. Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die als Videokonferenz durchgeführt wird, und stellt den geplanten Ablauf der Konferenz dar.
Es wird festgestellt, dass der BfDI und Aufsichtsbehörden aller Bundesländer entweder per Video oder per Telefon an der Konferenz teilnehmen.
Mecklenburg-Vorpommern wird für die technische Organisation der Videokonferenz gedankt.
TOP 2 - Tagesordnung und Protokoll
Der Vorsitzende dankt den Teilnehmerinnen und Teilnehmern für die konstruktive Zusammenarbeit zu den zahlreichen Umlaufverfahren und in der Vorkonferenz am 28. April 2020, die ebenfalls als Videokonferenz durchgeführt wurde.
Für die nachfolgenden Tagesordnungspunkte wurde auf der Vorkonferenz ein Einvernehmen hergestellt. Deren Behandlung kann deshalb im verkürzten Verfahren erfolgen.
TOP 3: Information zu Umlaufverfahren der DSK
TOP 6: Vertagung: Information über Publikationen der Aufsichtsbehörde
TOP 11: Draft-Decisions bei grenzüberschreitenden Fällen
TOP 22: Einsatz von Workgroup Collaboration Tools in der DSK-Gremienarbeit
TOP 31: Bericht zur aktuellen Bundesgesetzgebung
Die Konferenz nimmt die Ergebnisse der Vorkonferenz zu den o. g. Tagesordnungspunkten ohne weitere Aussprache an.
Die nachfolgenden Tagesordnungspunkte wurden in Umlaufverfahren entschieden und in der Konferenz nicht mehr aufgerufen:
TOP 10: Standard-Datenschutzmodell (Umlaufverfahren 05/2020 und 06/2020)
TOP 12: Programm Polizei 2020 (Umlaufverfahren 07/2020)
TOP 13: Medizininformatik-Initiative (MIi) des Bundes (Umlaufverfahren 04/2020)
TOP 14: Angebote von DNA-Analysen durch private Unternehmen insbesondere Drittstaaten (Umlaufverfahren 16/2020)
TOP 16: Verfahren der freiwilligen Amtshilfe nach Art. 61 DS-GVO (,,Article 61 Volun tary Mutual Assistance Notifications"), Verfahrensweise (Umlaufverfahren 09/2020)
TOP 18: Netzwerk der Datenschutzbeauftragten der Datenschutzaufsichtsbehörden der DSK-Mitglieder (Umlaufverfahren 10/2020)
TOP 20: Vertretung Deutschlands im Coordinated Supervision Commitee (CSC) des EDSA (Umlaufverfahren 11/2020)
TOP 21: Begleitung der Umsetzung des Onlinezugangsgesetzes durch die DSK (Umlaufverfahren 17/2020)
TOP 3 - Information zu Umlaufverfahren der DSK
Eine aktuelle Übersicht der Umlaufverfahren in 2020 wurde den Teilnehmerinnen und Teilnehmern mit Mail vom 5. März 2020 zur Verfügung gestellt.
Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz. [17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 4 - Bericht aus dem Europäischen Datenschutzausschuss (EDSA)
Der BfDI berichtet aus dem EDSA zu folgenden Themen:
- Durchführung von regelmäßigen Telefonkonferenzen,
- Befassung mit Covid19-Themen,
- Verabschiedung verschiedener Leitlinien, insbesondere:
- Leitlinien zur Verwendung von Standortdaten und Tracing-Tools im Zusammenhang mit dem Ausbruch von COVID-19,
- Leitlinien über die Verarbeitung von Gesundheitsdaten zum Zwecke der wissenschaftlichen Forschung im Zusammenhang mit dem Ausbruch von COVID-19,
- Leitlinien zur Einwilligung nach der DSGVO,
- Übermittlung von Wählerdaten im Rahmen der Präsidentenwahl in Polen,
- Aussetzung von Betroffenenrechten nach der DSGVO in Ungarn in Folge der Corona-Pandemie.
Er legt die enge Zusammenarbeit mit Hamburg sowie mit den Subgroup-Vertretern trotz enger Zeitschiene zwischen den Telefonkonferenzen dar.
Auf Nachfrage von Sachsen-Anhalt teilt der BfDI mit, dass er keine Erkenntnisse dahingehend hat, dass es einen neuen Zeitrahmen für die Evaluierung der DSGVO durch die EU Kommission geben würde.
Hamburg ergänzt die Diskussion im EDSA zum Thema
- Corona-Tests bei Amazon-Mitarbeitern.
Hamburg stellt fest, dass der EDSA sich derzeit stark mit Corona-Themen auseinandersetzen muss und dass eine Befassung mit anderen datenschutzrechtlichen Themen auf einen späteren Zeitpunkt verschoben wird. Derzeit werden keine neuen Impulse beim Vollzug der grenzüberschreitenden Verarbeitung erwartet.
Der BfDI ergänzt, dass die seitens des EDSA verstärkt zu beobachtenden Äußerungen zu staatlichem Handeln, das von den Grundsätzen der DSGVO abweicht, unterstützt wird. Die Unabhängigkeit der jeweiligen staatlichen Datenschutzaufsichtsbehörde muss dabei immer beachtet werden.
TOP 5 - Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden
Der Bericht der ZASt sowie die Übersicht der im IMI-System eingeleiteten Verfahren unter Beteiligung der deutschen Aufsichtsbehörden mit Stand 10. März 2020 wurden den Teilnehmerinnen und Teilnehmern bereits mit Mail vom 12. März 2020 und 23. April 2020 zugesandt.
Die ZASt bittet die Aufsichtsbehörden bei Änderungsvorschlägen zur Ausgestaltung und Nutzung des !MI-Systems das auf Confluence verfügbare Formular zu nutzen.
Darüber hinaus nimmt die ZASt Bezug auf Ziffer 5 des vorliegenden Berichts der ZASt. Nach Abschnitt IX des ZASt-Konzeptes ist dieses zu evaluieren.
Die DSK trifft hierzu folgende Festlegung:
Der AK Organisation und Struktur wird beauftragt das ZASt-Konzept zu evaluieren und einen Evaluationsbericht bis zur 100. Datenschutzkonferenz im Herbst 2020 (24. bis 26. November 2020) zu erstellen. Auf Grundlage des Evaluationsberichtes sind ggf. erforderliche Änderungsvorschläge des ZASt-Konzeptes zu erarbeiten und gemeinsam mit dem Evaluationsbericht der DSK vorzulegen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 6 - Information über Publikationen der Aufsichtsbehörde
Eine aktuelle Übersicht der Publikationen der Aufsichtsbehörden wurde den Teilnehmerinnen und Teilnehmern mit Mail vom 4. Mai 2020 zur Verfügung gestellt.
Die Publikationsübersicht soll auf der Webseite der Konferenz veröffentlicht werden. Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 7 - E-Mail-Verschlüsselung
Der Vorsitzende dankt dem AK Technik für die Erstellung der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail"
- Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail"
Über die vorgelegte Orientierungshilfe stimmt die Konferenz mit dem nachfolgenden Ergebnis ab:
[14, 1, 2] (Zustimmung, Ablehnung, Enthaltung)
Bayern bittet gemäß A.IV, Nr. 3 der Geschäftsordnung der DSK um Kenntlichmachung, dass die Orientierungshilfe durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder gegen die Stimme Bayerns beschlossen wurde.
b. Pressemitteilung
Nach der geführten Diskussion stimmt die Konferenz zu, die Orientierungshilfe begleitend durch eine Pressemitteilung zu veröffentlichen. Der Text der Pressemitteilung entspricht dem vorliegenden Entschließungstext.
[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung]
c. Zeitpunkt der Veröffentlichung
Auch unter Berücksichtigung der Corona-Pandemie spricht sich die DSK für eine sofortige Veröffentlichung von Pressemitteilung und Orientierungshilfe aus.
[9, 4, 4] (Zustimmung, Ablehnung, Enthaltung]
TOP 8 - Datenschutzrechtliche Positionierung zu Windows 10
Niedersachsen berichtet, dass derzeit noch der formale Abschluss der Arbeit der ad hoc AG aussteht. Offen sei noch die Bewertung zweier Dokumente (Laborabschlussbericht des LDA und Antwort von Microsoft zur Frage der settings-win.data.microsoft.com Verbindung), da diese noch ausstehen. Nach Eingang und Bewertung dieser Dokumente wird ein abschließender Vermerk gefertigt, abgestimmt und der Datenschutzkonferenz zur Beschlussfassung vorgelegt. Diese Beschlussvorlage stellt dann den Abschluss der Arbeiten der ad hoc AG dar.
Die Konferenz stellt fest, dass die Ausweitung der Betrachtung auf weitere Editionen und Te lemetrie Level eine breitere personelle Aufstellung erfordert, wobei besonders der rechtliche Bereich verstärkt werden muss. Diese neu zu bildende Arbeitsgruppe soll als Unterarbeits gruppe des AK Technik länderoffen und interdisziplinär besetzt werden.
Im Ergebnis der weiteren Diskussion soll die neu zu bildende UAG entsprechend der Ziffer 4 Buchstaben a) und b) des vorliegenden Festlegungsentwurfs sowohl zu einem Tätigwerden auf europäischer als auch auf nationaler Ebene mandatiert werden:
- Deutschland bringt den Vorschlag eines datenschutzrechtlichen Win10 Prüfprojekts auf europäischer Basis in den EDSA ein. Die Unterarbeitsgruppe übernimmt im Rahmen dieses europäischen Prüfprojektes Arbeitspakete und Deutschland tritt als Co-Rapporteur
- Die Arbeitsgruppe wird auf nationaler Ebene von der DSK mit der datenschutzrechtlichen Bewertung der Win10 Editionen und Telemetrie Level, in der es um die Zulässig keit der Nutzung von Win10 durch Verantwortliche in Deutschland geht,
Der DSK-Vorsitz wird gebeten, das Mandat anhand dieses vorliegenden Festlegungsentwurfs entsprechend zu formulieren.
[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)
Die Konferenz nimmt den Zwischenbericht der ad hoc AG zur Kenntnis und stimmt dem o. a. weiteren Vorgehen mit folgendem Ergebnis zu:
[16, 0, 1] (Zustimmung, Ablehnung, Enthaltung)
TOP 9 - Vorabwidersprüche bei StreetView und vergleichbaren Diensten
Der Vorsitzende stellt das Ergebnis der Vorkonferenz vom 28.April 2020 noch einmal dar.
Unter Berücksichtigung der in der folgenden Diskussion herausgearbeiteten Änderungsvorschläge im Beschlussentwurf, beschließt die Konferenz ein einheitliches Vorgehen in der datenschutzrechtlichen Bewertung von StreetView und vergleichbaren Diensten. Der geänderte Beschlusstext wird mit folgendem Ergebnis angenommen:
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung]
Der BfDI als gemeinsamer Vertreter erklärt sich bereit, den EDSA über die Beschlusslage der Datenschutzkonferenz zu informieren.
TOP 11 - Draft-Decisions bei grenzüberschreitenden Fällen
Der Auftrag an den AK Grundsatz zu TOP 19 der 98. Datenschutzkonferenz, ein Papier zur Thematik zu erarbeiten, wird aufgehoben.
Es erfolgt die zustimmende Kenntnisnahme durch die Konferenz. [17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 15 - Verantwortlichkeit des Betriebsrates
Der Vorsitzende stellt das Ergebnis der Vorkonferenz vom 28. April 2020 vor. In der Vorkonferenz wurden zwei Varianten zum weiteren Vorgehen diskutiert. Die Konferenz stimmt mehrheitlich zu, an den Bundesgesetzgeber heranzutreten und diesen aufzufordern, in Wahrnehmung seiner Spezifizierungsbefugnis nach Art. 4 Nr. 7 zweiter Halbsatz i. V. m. Art. 88 Abs. 1 DSGVO gesetzlich klarzustellen, ob der Betriebsrat Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist.
[13, 3, 0] (Zustimmung, Ablehnung, Enthaltung)
Der DSK-Vorsitz wird beauftragt, sich mit einem entsprechenden Schreiben an den Bundesgesetzgeber zu wenden.
[13, 0, 4] (Zustimmung, Ablehnung, Enthaltung)
TOP 17 - Prüfung jeder BCR durch deutsche Aufsichtsbehörden
Der Vorsitzende stellt das Ergebnis der Vorkonferenz vom 28. April 2020 vor. Nach der Diskussion in der Vorkonferenz wurden neben den beiden ursprünglichen Varianten zum Vorgehen bei der Prüfung von Binding corporate rules im Sinne von Art. 47 DSGVO (BCR) durch deutsche Aufsichtsbehörden zwei weitere Vorschläge durch Sachsen-Anhalt (Variante 3) und Nordrhein-Westfalen (Modifizierung zu Variante 3) eingebracht. Der DSK-Vorsitz legt dar, dass eine Entscheidung zu der Frage, ob die deutschen Aufsichtsbehörden eine Prüfobliegenheit für alle BCR trifft, getroffen werden muss.
Daher wird zunächst zu Variante 2 abgestimmt. Diese Variante beinhaltet, dass die deutschen Aufsichtsbehörden keine Prüfobliegenheit in Bezug auf alle BCR trifft. Wie alle übrigen europäischen Aufsichtsbehörden haben sie aber die Gelegenheit zur Prüfung. Jede deutsche Aufsichtsbehörde hat also die Möglichkeit, die BCR zu prüfen und Kommentare abzugeben. Macht eine Aufsichtsbehörde von dieser Möglichkeit Gebrauch, stellt sie sich als Berichterstatterin für das BCR Session Meeting zur Verfügung.
Die Konferenz stimmt der Variante 2 mit folgendem Ergebnis zu:
[8, 5, 3] (Zustimmung, Ablehnung, Enthaltung)
Da mit einfacher Mehrheit die Variante 2 angenommen ist, ist eine Abstimmung zu den anderen Varianten nicht erforderlich.
Der BfDI weist darauf hin, dass durch ihn künftig nur für die BCR, die in seiner eigenen Zuständigkeit liegen, eine Berichterstatterrolle übernommen werden kann. Berlin teilt diese Auffassung nicht und verweist auf bestehende Verfahrensregelungen.
TOP 19 - Vertretung der Länder in der Technology Subgroup
Der Vorsitzende berichtet, dass die Abstimmung im schriftlichen Verfahren per E-Mail durchgeführt wurde und stellt das Ergebnis der Stimmabgabe vor. Hiernach entfällt die Mehrheit der Stimmen auf Berlin.
Die Datenschutzkonferenz beauftragt Berlin die Vertretung der Datenschutzaufsichtsbehörden der Länder in der Technology Subgroup (TS) zu übernehmen.
TOP 22 - Einsatz von Workgroup Collaboration Tools in der DSK-Gremienarbeit
Die Konferenz beauftragt den AK Organisation & Struktur, Rahmenbedingungen für den Einsatz von Workgroup Collaboration Tools in der DSK-Gremienarbeit zu erarbeiten und der Datenschutzkonferenz praktische Vorschläge zu unterbreiten. Dabei soll davon ausgegangen werden, dass zur Entwicklung von Workgroup Collaboration Tools insbesondere Open Source Softwareprodukte zum Einsatz kommen sollen.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
TOP 23 - Technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich
Der BfDI berichtet über die Abstimmungen mit den entsprechenden Arbeitskreisen und der Konsultation von Fachverbänden zur Thematik. Der Einarbeitungsprozess zu den zum Whitepaper der DSK erhaltenen Anmerkungen ist noch nicht abgeschlossen. Der BfDI wird in der Zwischenkonferenz im Juni 2020 berichten.
TOP 24 - Kesy - automatische Kennzeichenerfassung
Brandenburg berichtet über die Prüfung des Verfahrens. Brandenburg hat das Verfahren gegenüber den Verantwortlichen beanstandet. Derzeit werden Änderungen des Verfahrens umgesetzt und Daten gelöscht. Außerdem wurde eine Gesetzesänderung (StPO) angeregt. Hierzu sollte die DSK dann eine gemeinsame Stellungnahme abgeben.
TOP 25 - Bericht aus dem AK Organisation und Struktur
Die „Übersicht über die deutsche Vertretung im EDSA und die deutschen Vertretungen in den Expertengruppen des EDSA sowie über weitere europäische Gremien" und die Übersicht der „Zuordnung von AKs der DSK zu Themen aus dem Working Plan der EDSA-ESG" wurden den Teilnehmerinnen und Teilnehmern durch den Vorsitz des AK Organisation und Struktur bereits mit Mail vom 16. März 2020 zugesandt.
Der Vorsitz des AK Organisation und Struktur informiert, dass die übersandten Übersichten auf Grund von weiteren personellen Änderungen derzeit überarbeitet und in aktualisierter Form den Teilnehmerinnen und Teilnehmern übersandt werden.
Der Vorsitz des AK Organisation und Struktur berichtet, dass die im Umlaufverfahren 9/2020 festgelegte Verfahrensweise zu Verfahren der freiwilligen Amtshilfe nach Art. 61 DSGVO (,,Article 61 Voluntary Mutual Assistance Notifications") umgesetzt wird. Das hierzu entwickelte IMI-Modul, das die Koordination der Positionen der Aufsichtsbehörden durch die ZASt ermöglichen soll, wird derzeit getestet.
Der Vorsitz des AK Organisation & Struktur kündigt an, dass zukünftig die Herstellung des Einvernehmens bzw. die Herstellung eines gemeinsamen Standpunktes zumindest bezüglich Abstimmungen, die der EDSA im schriftlichen Verfahren herbeiführt, nicht mehr per Email, sondern in einem eigens dafür geschaffenen IMI-Modul erfolgen wird. Der AK arbeitet derzeit daran, die neue Vorgehensweise so zu gestalten, dass sie in den einzelnen Häusern mög lichst wenig organisatorischen Aufwand verursacht.
TOP 26 - Bericht des DSK-Vorsitzenden
Der Vorsitzende informiert, dass nach derzeitigem Stand die 100. Datenschutzkonferenz im November 2020 in Leipzig wieder als Präsenzveranstaltung durchgeführt werden wird. Dies sei jedoch von den Entwicklungen im Rahmen der Covid19-Pademie abhängig.
Im Rahmen der Vorbereitungen auf den Europäischen Datenschutztag berichtet der Vorsitzende, dass eine gemeinsame Veranstaltung mit dem Bundesministerium des Innern, fürBau und Heimat zum Thema „Transborder transfers -Herausforderungen des internationalen Datentransfers aus Sicht der Datenschutzkonvention 108+ und der DSGVO" am 28. Januar2021imBundesministeriumdesInnerninBerlingeplantsei.
Das 40-jährige Jubiläum der Datenschutzkonvention 108, das in den Zeitraum des deutschen Vorsitzes im Ministerko mitee des Europarates fällt, soll am Europäischen Datenschutztag gebührend gewürdigt werden. Derzeit werden die Rednerinnen und Redner für die Fachvorträge und die Podiumsdiskussion angefragt. Es ist geplant, neben dem Fachpublikum auch nationale und internationale Gäste, die die verschiedenen Ebenen des europäischen Grundrechte- und Datenschutzes beleuchten, begrüßen zu können.
Der Vorsitzende informiert über den Antrag Niedersachsens zur Vereinheitlichung der Da tenschutzaufsicht und dem entsprechenden Bericht des Bundesministeriums für Wirtschaft und Energie in Vorbereitung auf die diesjährige erste Sitzung der Amtschefkonferenz am 28. Mai 2020 und der Wirtschaftsministerkonferenz am 25./26. Juni 2020 in Bremen.
TOP 27 - DSK-Videokonferenzsystem
Der Vorsitzende schlägt vor, den durch Sachsen eingebrachten Tagungsordnungspunkt aus Zeitgründen im Umlaufverfahren zur Abstimmung zu bringen. Die Konferenz stimmt diesem Vorgehen zu.
TOP 28 - Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich, Entscheidung über die Änderungsvorschläge Nordrhein-Westfalens im Umlaufverfahren 13/2020
Der Vorsitzende nimmt Bezug auf die von Nordrhein-Westfalen im Umlaufverfahren zu den Hinweisen eingebrachten Änderungsvorschläge. Sachsen hat diese mit E-Mail vom 23. April 2020 als Änderungsantrag eingebracht.
Nach Diskussion zu den Änderungsvorschlägen zieht Sachsen den eingebrachten Änderungsantrag zurück.
Die Konferenz beschließt die Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereichen in der vorliegenden Fassung.
Die Hinweise sollen auf der Webseite der Konferenz veröffentlicht werden. [13, 0, 4] (Zustimmung, Ablehnung, Enthaltung)
TOP 29 - Bericht der Task Force „Facebook Fanpages"
Die Berichterstattung der Task Force „Facebook Fanpages" wird auf die 2. Zwischenkonferenz am 16. Juni 2020 vertagt.
TOP 30 - Bericht der Aufsichtsbehörden zur Verarbeitung personenbezogener Daten bei der Bewältigung der Corona-Pandemie
- Einsatz von Wärmebildkameras
Rheinland-Pfalz berichtet, dass mehrere Anfragen zur datenschutzrechtlichen Zulässigkeit im Zusammenhang mit dem Einsatz von Wärmebildkameras zur Erkennung möglicher Infektionen in verschiedenen Fällen (Einkaufsmarkt/Kunden; Krankenhaus/Beschäftigte) eingegangen seien. Auch andere Teilnehmerinnen und Teilnehmer berichten über ähnliche Anfragen, z. B. auch aus dem schulischen Bereich. Wärmebildkameras kommen in unterschiedlichen Bereichen zum Einsatz, so dass nicht nur Gesundheitsdaten sondern auch Kundendaten, Beschäftigtendaten u. a. verarbeitet werden. Daher beauftragt die Konferenz den AK Gesundheit und Soziales in Abstimmung mit dem AK Beschäftigtendatenschutz sowie dem AK Videoüberwachung, einen Positionsentwurf zum Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie bis zur 2. Zwischenkonferenz am 16. Juni 2020 zu erarbeiten. Für eine fallweise Klärung von Einzelfragen werden die entsprechenden zuständigen Arbeitskreise um unterstützende Mitarbeit gebeten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
b. Bericht der Aufsichtsbehörden zu folgenden Themen
Übermittlung von Negativergebnissen von Corona-Tests per Telefon
Hessen berichtet, dass die Mitteilung über negative Corona-Testergebnisse per Telefon erfolge. Es wird gebeten, eine Abfrage hinsichtlich eigener Erfahrungen und evtl. bereits vorliegender datenschutzrechtlicher Bewertungen in den Aufsichtsbehörden durchzuführen.
Einsatz von Videokonferenzsystemen
Die Teilnehmerinnen und Teilnehmer berichten, dass eine Vielzahl von Anfragen hinsichtlich des Einsatzes von Videokonferenzsystemen insbesondere aus den Bereichen Schulen und Hochschulen an die Aufsichtsbehörden herangetragen werden.
Sachsen berichtet, dass hinsichtlich des Systems Zoom ein IMI-Verfahren zur freiwilligen Amtshilfe durch Slowenien eingeleitet wurde. Der AK Medien hat die Federführung zur Beantwortung der Anfrage übernommen.
Die Konferenz beauftragt den AK Technik, eine Äußerung zum Einsatz von Videokonferenzsystemen bis zur 2. Zwischenkonferenz am 16. Juni 2020 zu erarbeiten. Für eine fallweise Klärung von Einzelfragen werden die entsprechenden zuständigen Arbeitskreise um unterstützende Mitarbeit gebeten.
[17, 0, 0] (Zustimmung, Ablehnung, Enthaltung)
Mehrere Aufsichtsbehörden stellen dar, dass sich entsprechenderPapiere in der Erarbeitung befinden oder bereits Übersichten zu den Vor- und Nachteilen einzelner Systeme erörtert werden. Dieses Material kann durch den AK Technik angefordert und genutzt werden.
Sachstand zur Corona-App (Tracing-App)
Der BfDI berichtet über den Entwicklungssachstand der Corona-App (Tracing-App) des Bundes. In die Erarbeitung und Umsetzung datenschutzrechtlicher Anforderungen an die App sei der BfDI eingebunden.
Hamburg spricht die Reichweite einer Einwilligung in die Verarbeitung personenbezogener Daten bei Nutzung der Corona-App an. Sachsen-Anhalt zweifelt an der Eignung der App für den beabsichtigten Zweck.
c. Sonstige Berichte
Der BfDI informiert über seine Stellungnahme zum 2. Pandemieschutzgesetz, die auf seiner Homepage eingesehen werden kann. Darüber hinaus stellt er den Stand zu weiteren Vorhaben der Bundesregierung im Rahmen der Corona-Pandemie mit datenschutzrechtlichen Be zug dar (z. B. Quarantäne App, Corona-Datenspende-App).
Einige Teilnehmerinnen und Teilnehmer berichten über Corona-Apps, die sich unabhängig von der Tracing-App auf Bundesebene in der Entwicklung bei verschiedenen Institutionen und mit unterschiedlichen Zielrichtungen befinden. Darüber hinaus gibt es bei den Aufsichtsbehörden vermehrt Anfragen zu Teilnehmer- bzw. Kundenlisten, die durch Verantwortliche im Zuge der Lockerungen der Corona-Auflagengeführt werden müssen.
TOP 31 - Bericht zur aktuellen Bundesgesetzgebung
Die Übersicht des BfDI zur aktuellen Bundesgesetzgebung wurde den Teilnehmerinnen und Teilnehmern bereits mit Mail vom 27. April 2020 zugesandt und wird zur Kenntnisgenommen.