Toolbar-Menü

Protokoll: Protokoll der 1. Zwischenkonferenz am 29. Januar 2019

TOP 1) Begrüßung, Organisatorisches

Der Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 1. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Der Vorsitzende bedankt sich bei Nordrhein-Westfalen für die Ausrichtung der Konferenzen im Jahr 2018. Anschließend werden der Staffelstab und die DSK- Glocke von Nordrhein-Westfalen an den neuen Vorsitz Rheinland-Pfalz übergeben. (Anlage 1 – Teilnehmerliste)

TOP 2) Tagesordnung und Protokoll

Auf Vorschlag des Vorsitzenden soll TOP 16) nach TOP 6) behandelt werden. Zudem soll unter dem Punkt „Sonstiges“ die Veröffentlichung von genehmigten Verhaltensregeln diskutiert werden. Der BfDI möchte zudem unter dem Punkt „Sonstiges“ über die Transparenz der DSK und seiner Arbeitskreise sprechen. Der von Niedersachsen eingebrachte Entschließungsentwurf zur „Verantwortlichkeit von Betriebs- und Personalräten“ soll aufgrund der kurzfristigen Einreichung im Umlaufverfahren abgestimmt werden. Die Änderung der Tagesordnung wird gebilligt.

(Anlage 2 – Tagesordnung)

TOP 3) Information zu Umlaufverfahren der DSK

Der Vorsitzende stellt das DSK Organisationsteam für das Jahr 2019 vor. Herr Mack betreut die Umlaufverfahren, Frau Czwalinna und Herr Gröhl werden für die Planung der einzelnen Konferenzen zuständig sein.

 TOP 4)  Bericht aus dem Europäischen Datenschutzausschuss

 Hamburg und der BfDI berichten zu folgenden Themen aus dem EDSA:

  • Privacy Shield
  • 50 Millionen Euro Bußgeld der CNIL gegen Google
  • Twitter Data-Leak
  • Brexit
  • Angemessenheitsbeschluss der Europäischen Kommission zu Japan
     

TOP 5) Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden

Der Vorsitzende verweist auf den bereits vor der Konferenz versendeten Bericht der Zentralen Anlaufstelle hin. Der BfDI regt an, den Dauer-TOP „Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden“ nur auf den Hauptkonferenzen zu behandeln.

Ergebnis: Die DSK stimmt einstimmig zu. Der Dauer-TOP „Bericht der Zentralen Anlaufstelle“ wird somit nur noch auf den Hauptkonferenzen als Dauer-TOP geführt. Anlassbezogen soll die Zentrale Anlaufstelle auch außerhalb der Hauptkonferenzen hinzugezogen werden können.

Der Bericht der ZASt wird in den Arbeitskreis „Organisation & Struktur“ verwiesen.

Zusammenarbeit bei mehreren betroffenen deutschen Aufsichtsbehörden:

Auf Nachfrage von Sachsen-Anhalt zum Stand der Beratungen in der Ad-hoc-Arbeitsgruppe "Umgang mit Beschwerden" nach dem Beschluss der DSK zur vorläufigen Verfahrensweise gemäß Vorschlag von Berlin bei der 3.

Sonder-DSK am 11.07.2018 (TOP 9) wird festgestellt, dass das Ergebnisprotokoll zur Sitzung der Arbeitsgruppe vom 18.06.2018 noch nicht abschließend abgestimmt sei (siehe 3. Sonder-DSK am 11.07.2018, TOP 8, und 4. Sonder-DSK am 05.09.2018, TOP 8). Die DSK bittet Hamburg, das Protokoll fertig zu stellen und die Thematik zur 97. Konferenz anzumelden. Berlin und Bremen erklären sich zur Mitwirkung bereit.

 

TOP 6)  Zusammenarbeit mit den spezifischen Aufsichtsbehörden

Gem. TOP) 13 der 96. DSK wurde von der DSK beschlossen, dem AK-Grundsatz den Auftrag zu erteilen, zur Frage Stellung zu nehmen, welche Anforderungen Religions- und Weltanschauungsgemeinschaften erfüllen müssen, um als spezifische Aufsichtsbehörde gemäß Art. 91 Abs. 2 DS-GVO zu gelten. Die von dem AK-Grundsatz erstellten Papiere werden vorgestellt.

Auf Grundlage der erarbeiteten Papiere soll künftig folgende Methodik angewandt werden: Die jeweils zuständigen staatlichen Datenschutzaufsichtsbehörden prüfen, ob im jeweiligen Fall eine spezifische Aufsichtsbehörde beteiligt werden muss und konsultieren diese. Alternativ können sich spezifische Aufsichtsbehörden an die ZASt wenden, diese leitet die Anfrage dann an die jeweils zuständige Aufsichtsbehörde weiter. Der AK-Grundsatz erstellt in diesem Zusammenhang ein Kurzpapier, in dem er die spezifischen Aufsichtsbehörden auffordert, sich bei einer Betroffenheit proaktiv bei den staatlichen Aufsichtsbehörden oder der ZASt zu melden.

 

Beschluss:

  1. Die Datenschutzkonferenz nimmt die Beschlüsse des AK Grundsatz zur Einbindung der spezifischen Aufsichtsbehörden nach § 18 Abs. 1 Satz 4 BDSG sowie den Anforderungen an Religionsgemeinschaften gemäß Art. 91 Abs. 2 DSGVO (9. Sitzung TOP 5a und 5b) zustimmend zur Kenntnis. Bei der Beteiligung spezifischer Aufsichtsbehörden soll entsprechend verfahren werden.
  2. Mit den spezifischen Aufsichtsbehörden soll zwei Mal im Jahr ein Austausch erfolgen. Hierzu lädt der Vorsitz in Kooperation mit dem BfDI ein.
  3. Die Datenschutzkonferenz beauftragt den AK Grundsatz auf der Grundlage der Beschlüsse der 9. Sitzung bis zur 97. Datenschutzkonferenz den Entwurf eines Kurzpapiers zum Thema „Spezifische Aufsichtsbehörden“ i.S.d. Art. 91 DS-GVO zu erstellen. Er wird weiterhin gebeten, eine Vorlage zu erarbeiten, die von den Mitgliedern der Datenschutzkonferenz in den jeweiligen Internet-Angeboten bereitgestellt wird, um spezifischen Aufsichtsbehörden eine Registrierung zu ermöglichen.
  4. Die Datenschutzkonferenz beauftragt den AK Grundsatz zu prüfen, welche der unter 1. In Bezug genommenen Ergebnisse der 9. Sitzung des AK Grundsatz eines förmlichen Beschlusses bedürfen und bittet den AK Grundsatz, hierzu eine entsprechende Beschlussvorlage für die 97. Datenschutzkonferenz zu erstellen.
     

Abstimmungsergebnis:

[15, 0, 2) (j, n, E).

Der Beschluss ist zu veröffentlichen.

(Hinweis: Als Termin für ein Treffen mit den spezifischen Aufsichtsbehörden wird seitens des Vorsitzes der optional reservierte Konferenztermin am 21.5.2019 ins Auge gefasst).

Bayern: Enthaltung zu Punkt 1, Zustimmung zu Punkt 2 und 3

Saarland: Enthaltung

 TOP 7)  Konzept zur Evaluierung der Datenschutz-Grundverordnung

Der Vorschlag des AK-Grundsatzes wird zustimmend zur Kenntnis genommen. Die DSK beschließt anschließend einstimmig, den eingerichteten UAK Evaluierung mit der Erstellung eines Zwischenberichts zur Evaluierung der Datenschutz-Grundverordnung zur 97. DSK auf dem Hambacher Schloss zu beauftragen. Die Vorlage des endgültigen Berichts soll auf einer Zwischenkonferenz im September oder Oktober 2019 erfolgen.

TOP 8) Reaktionen der Datenschutzbeauftragten / Folgeaktionen auf den Hackerangriff / Doxing auf zahlreiche Politikerinnen und Politiker sowie Prominente

Die von den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ergriffenen Maßnahmen zur Aufklärung des in der Presse publik gewordenen Hackerangriffs werden dargestellt. Rheinland-Pfalz berichtet über die eingeleiteten Auskunftsersuchen nach Art. 58 Abs. 1 lit a DS-GVO gegenüber Domain-Verwaltern bzw. die nach Art. 61 DS-GVO eingeleiteten Amtshilfeersuchen an europäische Aufsichtsbehörden. Der BfDI stellt dar, dass die Meldewege der Sicherheitsbehörden bei Cyber-Attacken die Datenschutzaufsichtsbehörden derzeit nicht berücksichtigten. Daher habe er hier um Prüfung gebeten, inwieweit diese bei entsprechenden Vorfällen eingebunden werden können. Die Datenschutzkonferenz bittet den BfDI über den Sachstand hierzu auf der Frühjahrskonferenz zu berichten.

Die DSK beauftragt den AK-Technik mit der Erstellung einer Orientierungshilfe für Anbieter elektronischer Dienste, in der Empfehlungen zusammengestellt werden, mit denen ein angemessener Schutz von Zugangsdaten erreicht werden kann.

TOP 9) Erste Erfahrungen mit Bußgeldverfahren nach Datenschutz-Grundverordnung

Baden-Württemberg berichtet über das gegen das Soziale Netzwerk „Knuddels“ verhängte Bußgeld in Höhe von 20.000 € und deren Ursachen. Es erfolgt ein Meinungsaustausch über eine Veröffentlichung der Höhe verhängter Bußgelder.

TOP 10) Ergänzung zur Positionsbestimmung zur Anwendbarkeit des TMG bei nichtöffentlichen Stellen

Bayern (LDA) berichtet zum Sachstand. Aufgrund zahlreicher Kommentierungen konnte das vorgesehene Papier zur Ergänzung der Positionsbestimmung der Datenschutzkonferenz vom 26.4.2018 bis zur Zwischenkonferenz nicht abschließend erstellt werden. Dieses soll daher nach Fertigstellung im Umlaufverfahren verabschiedet werden. Das Papier werde keine inhaltlichen Änderungen der Positionsbestimmung der Konferenz vornehmen, sondern im Wesentlichen Klarstellungen und  Konkretisierungen enthalten.

Die DSK beschließt einstimmig:

Die Positionsbestimmung soll keine inhaltliche Änderung erfahren. Das Ergänzungspapier soll angesichts von Art und Umfang als Orientierungshilfe verabschiedet werden. Auf der Frühjahrskonferenz soll zudem eine Entschließung zur Thematik gefasst werden (LfDI Bremen erklärt sich bereit, einen entsprechenden Entwurf vorzulegen).

TOP 11) Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO

Hessen stellt die Problematik dar. Es bedarf einer Konkretisierung des Begriffes „bestimmte Bereiche wissenschaftlicher Forschung“. Die Problematik wurde zunächst nur im AK Wissenschaft diskutiert. Der BfDI stellt dar, dass es auf dem 6. Plenum des Europäischen Datenschutzausschusses eine Stellungnahme zu CTR (klinische Studien) gab. In diesem Zusammenhang sei die Fragestellung auch durch den EDSA bewertet worden.

Ergebnis:

Die DSK beauftragt einstimmig den AK Gesundheit und Soziales unter Berücksichtigung des Papiers des AK-Wissenschaft eine Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ vorzunehmen. Die vom BfDI dargestellte Opinion des EDSA soll hierbei berücksichtigt werden. Zur 97. DSK soll der DSK dann ein zwischen dem AK Wissenschaft und dem AK Gesundheit und Soziales abgestimmtes Positionspaper vorgelegt werden.

TOP 12) Vereinheitlichung von Publikationsformaten

Der Vorsitzende dankt dem LDA Bayern für die Bereitschaft, die Pflege einer Liste der Publikationen der jeweiligen Datenschutzaufsichtsbehörden zu übernehmen und diese halbjährlich auf den Hauptkonferenzen vorzulegen. Das LDA Bayern stellt den eingereichten Beschlussvorschlag vor. Das LDA Bayern schlägt darin vor, künftig bestimmte Veröffentlichungsformate der DSK zu verwenden und dankt den mitarbeitenden Behörden SaarlandNordrhein-WestfalenBfDI und Niedersachsen. Durch die Verwendung einheitlicher Veröffentlichungsformate soll das Erscheinungsbild der DSK insgesamt verbessert werden. Es sollen bestimmte Veröffentlichungsformate für Entschließungen, Beschlüsse, Orientierungshilfen und Kurzpapiere verwendet werden, die ausschließlich der DSK vorbehalten bleiben. Parallel hierzu sollen Veröffentlichungsformate definiert werden, die die einzelnen Aufsichtsbehörden verwenden können. Zudem soll die Homepage der DSK überarbeitet werden. Es soll eine klarere Struktur der Homepage realisiert werden.

Zu Ziff. 4 des o. g. Beschlussentwurfs schlägt Berlin die folgende abweichende Formulierung vor:

  • Die Aufsichtsbehörden bringen Dokumente, die für eine Orientierungshilfe in Frage kommen, in die entsprechenden Arbeitskreise der DSK ein. Die Arbeitskreise erarbeiten eine abgestimmte Fassung und legen diese der DSK vor. Die DSK verabschiedet die Orientierungshilfen in dem in der Geschäftsordnung vorgesehenen Verfahren.
  • Sollte es keinen entsprechenden Arbeitskreis geben, können Entwürfe für Orientierungshilfen direkt in die DSK eingebracht werden. Entwürfe können auch von mehreren Aufsichtsbehörden gemeinsam erarbeitet werden.

Begründung

Berlin sieht keine Notwendigkeit für das in Ziff. 4 geregelte Verfahren. Vielmehr sollten bundesweite Orientierungshilfen unbürokratisch durch die DSK verabschiedet werden können, ohne dass im Vorfeld Festlegungen auf eine bestimmte Zahl an Mitwirkenden oder ein bestimmtes Verfahren erfolgen sollte. Von dem üblichen Weg über die Arbeitskreise sollte in der Regel nicht abgewichen werden. Sinn und Zweck der Arbeitskreise ist es gerade, solche Orientierungshilfen vorzubereiten. Dort findet der entsprechende fachliche Austausch statt.

Ergebnis:

Innerhalb von 3 Wochen soll eine Rückmeldung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder über konsensfähige Punkte des Beschlussvorschlags eingereicht werden. (poststelle@lda.bayern.de). Die Rückmeldung soll bis zum 01.03.2019 erfolgen.

TOP 13) Vorsitz des AK Versicherungswirtschaft

Der Vorsitzende dankt Schleswig-Holstein für die wertvolle Arbeit als AK-Vorsitz der vergangenen Jahre. Anschließend berichtet der Vorsitzende über das Ergebnis des Umlaufverfahrens 01/2019. Neben Niedersachsen gab es keine weitere Interessensbekundung zur Übernahme des Vorsitzes AK-Versicherungswirtschaft. Per Akklamation beschließt die DSK die Übernahme des Vorsitzes AK-Versicherungswirtschaft durch Niedersachsen für die nächsten vier Jahre.

TOP 14) Übersetzung gemeinsamer Dokumente der DSK für den EDSA (Bezug: Umlaufverfahren 22/2018)

Aus Zeitgründen zieht Rheinland-Pfalz die Anmeldung dieses Tagesordnungspunktes zurück. Der Punkt wird somit auf die Frühjahrkonferenz im April verschoben.

TOP 15) Berufung in den Beirat des Marktwächters Digitale Welt

Der Vorsitzende dankt Brandenburg für die Arbeit als Vorsitzende des Beirats des Marktwächters Digitale Welt. Brandenburg berichtet im Anschluss über die Arbeit im Beirat des Marktwächters Digitale Welt in den vergangenen Jahren. Die LfDI Brandenburg wird anschließend einstimmig von der DSK erneut zur Vertreterin der unabhängigen Datenschutzbehörden des Bundes und der Länder in den Marktwächter Digitale Welt gewählt.

TOP 16) Bericht der Taskforce-Fanpages

Schleswig-Holstein berichtet aus der Taskforce Facebook-Fanpages und stellt den hierzu eingereichten Beschlussvorschlag vor. Das von Schleswig Holstein eingereichte Papier wird auf der Konferenz unter Federführung von Schleswig-Holstein in Zusammenarbeit mit NiedersachsenBremenHamburgBayern und Baden-Württemberg überarbeitet und soll anschließend im Umlaufverfahren abgestimmt werden.

(Hinweis: Im Rahmen des Umlaufverfahrens ist eine Verständigung dahingehend erfolgt, dass der Entwurf vor der endgültigen Verabschiedung nochmals in der Task Force besprochen werden soll.)

 TOP 17) Bericht über die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation („Berlin Group“)

Berlin berichtet über die Arbeitsgruppe, die nunmehr seit 30 Jahren existiert. Die letzte Sitzung wurde in Kooperation mit der Asiatisch-Pazifischen Datenschutzkonferenz abgehalten. Hierdurch konnten auch Teilnehmer aus dem Asiatisch-Pazifischen Bereich erreicht werden. Gerade für den Bereich Telekommunikation ist dies aufgrund des rasanten technischen Fortschritts von erheblicher Bedeutung. Im Rahmen der Kooperation wurden zudem 2 Papiere verabschiedet, die sich gegenwärtig noch im schriftlichen Zustimmungsverfahren befinden. Im Einzelnen wurden die folgenden Papiere verabschiedet:

  1. Arbeitspapier zum White Area Location Tracking
  2. Arbeitspapier zum Datenschutz und Künstlicher Intelligenz
     

Berlin weist darauf hin, dass letzteres Papier in die Taskforce Künstliche Intelligenz einfließen sollte. Nach Ablauf der schriftlichen Verfahren sind die Papiere auf der Homepage der Berliner Datenschutzbeauftragten abrufbar. Zudem weist Berlin darauf hin, dass die Gruppe offen ist und Interessierte daran teilnehmen können. Die nächste Sitzung findet in am 9/10. April 2019 in Slowenien statt.

TOP 18) Vorkehrungen der Aufsichtsbehörden auf einen etwaigen ungeregelten Austritt Großbritanniens aus der EU

Der Vorsitzende führt in die Thematik ein und berichtet über bereits erstellte Dokumente zum Austritt Großbritanniens und hieraus erwachsender datenschutzrechtlicher Problematiken. Anschließend werden die Sichtweisen durch die teilnehmenden Datenschutzaufsichtsbehörden des Bundes und der Länder vorgestellt.

Die DSK beschließt anschließend einstimmig den AK Internationaler Datenverkehr zu beauftragen, die weiteren politischen Entwicklungen zu beobachten und auf Grundlage des von Rheinland-Pfalz eingereichten Beschlussvorschlages ein Positionspapier zu den Anforderungen an Datenübermittlungen in das Vereinigte Königreich Daten bis zum 01.03.2019 zu erstellen. Der Standpunkt der DSK soll somit zum Austritt Großbritanniens am 29.03.2019 zur Verfügung stehen.

TOP 19) Stand der Vorbereitungen zu einer Entschließung zu Datenschutzanforderungen an auf künstliche Intelligenz gestützte Datenverarbeitungen („Hambacher Erklärung“)

Der Vorsitzende berichtet zum Sachstand. Ein Grundsatzpapier zum Thema Künstliche Intelligenz wurde von Rheinland-Pfalz bereits erstellt. Dieses soll als Grundlage für das erste Treffen der Taskforce Künstliche Intelligenz am 6. und 7. Februar 2019 in Berlin dienen. Der Vorsitzende bedankt sich in diesem Zusammenhang bei Berlin für die Bereitstellung der Räumlichkeiten.

TOP 20) Sonstiges

a)     Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)

Niedersachsen macht die Teilnehmer auf die von Niedersachsen veröffentlichte Methodik zur Auswahl geeigneter technisch-organisatorischer Maßnahmen aufmerksam. Diese ist auf der Homepage der niedersächsischen Datenschutzaufsichtsbehörde abrufbar.

b)     Veröffentlichung von genehmigten Verhaltensregeln (CoC) auf der DSK-Homepage

Die DSK beschließt, die von den jeweiligen Datenschutzaufsichtsbehörden genehmigten Verhaltensregeln auf der Homepage der DSK zu veröffentlichen. Genehmigte Verhaltensregeln sind dem Vorsitzland zuzuleiten, welches eine Veröffentlichung auf der DSK Homepage veranlassen wird.

c)      Transparenz von Terminen und Arbeitsweise der Datenschutzkonferenz  

Der BfDI berichtet über dessen Vorhaben, Tätigkeiten seiner Behörde transparenter zu gestalten.

d)     Verantwortlichkeit von Betriebs- und Personalräten

Der von Niedersachsen eingereichte Entschließungsentwurf des AK Beschäftigtendatenschutz zum Thema „Datenschutzrechtliche Verantwortlichkeit des Betriebsrats bzw. Personalrats“ soll im Rahmen eines Umlaufverfahrens abgestimmt werden.

TOP 1) Begrüßung, Organisatorisches

Der Vorsitzende begrüßt die Teilnehmerinnen und Teilnehmer der 1. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Der Vorsitzende bedankt sich bei Nordrhein-Westfalen für die Ausrichtung der Konferenzen im Jahr 2018. Anschließend werden der Staffelstab und die DSK- Glocke von Nordrhein-Westfalen an den neuen Vorsitz Rheinland-Pfalz übergeben. (Anlage 1 – Teilnehmerliste)

TOP 2) Tagesordnung und Protokoll

Auf Vorschlag des Vorsitzenden soll TOP 16) nach TOP 6) behandelt werden. Zudem soll unter dem Punkt „Sonstiges“ die Veröffentlichung von genehmigten Verhaltensregeln diskutiert werden. Der BfDI möchte zudem unter dem Punkt „Sonstiges“ über die Transparenz der DSK und seiner Arbeitskreise sprechen. Der von Niedersachsen eingebrachte Entschließungsentwurf zur „Verantwortlichkeit von Betriebs- und Personalräten“ soll aufgrund der kurzfristigen Einreichung im Umlaufverfahren abgestimmt werden. Die Änderung der Tagesordnung wird gebilligt.

(Anlage 2 – Tagesordnung)

TOP 3) Information zu Umlaufverfahren der DSK

Der Vorsitzende stellt das DSK Organisationsteam für das Jahr 2019 vor. Herr Mack betreut die Umlaufverfahren, Frau Czwalinna und Herr Gröhl werden für die Planung der einzelnen Konferenzen zuständig sein.

 TOP 4)  Bericht aus dem Europäischen Datenschutzausschuss

 Hamburg und der BfDI berichten zu folgenden Themen aus dem EDSA:

  • Privacy Shield
  • 50 Millionen Euro Bußgeld der CNIL gegen Google
  • Twitter Data-Leak
  • Brexit
  • Angemessenheitsbeschluss der Europäischen Kommission zu Japan
     

TOP 5) Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden

Der Vorsitzende verweist auf den bereits vor der Konferenz versendeten Bericht der Zentralen Anlaufstelle hin. Der BfDI regt an, den Dauer-TOP „Bericht der Zentralen Anlaufstelle über die Zusammenarbeit der Aufsichtsbehörden“ nur auf den Hauptkonferenzen zu behandeln.

Ergebnis: Die DSK stimmt einstimmig zu. Der Dauer-TOP „Bericht der Zentralen Anlaufstelle“ wird somit nur noch auf den Hauptkonferenzen als Dauer-TOP geführt. Anlassbezogen soll die Zentrale Anlaufstelle auch außerhalb der Hauptkonferenzen hinzugezogen werden können.

Der Bericht der ZASt wird in den Arbeitskreis „Organisation & Struktur“ verwiesen.

Zusammenarbeit bei mehreren betroffenen deutschen Aufsichtsbehörden:

Auf Nachfrage von Sachsen-Anhalt zum Stand der Beratungen in der Ad-hoc-Arbeitsgruppe "Umgang mit Beschwerden" nach dem Beschluss der DSK zur vorläufigen Verfahrensweise gemäß Vorschlag von Berlin bei der 3.

Sonder-DSK am 11.07.2018 (TOP 9) wird festgestellt, dass das Ergebnisprotokoll zur Sitzung der Arbeitsgruppe vom 18.06.2018 noch nicht abschließend abgestimmt sei (siehe 3. Sonder-DSK am 11.07.2018, TOP 8, und 4. Sonder-DSK am 05.09.2018, TOP 8). Die DSK bittet Hamburg, das Protokoll fertig zu stellen und die Thematik zur 97. Konferenz anzumelden. Berlin und Bremen erklären sich zur Mitwirkung bereit.

 

TOP 6)  Zusammenarbeit mit den spezifischen Aufsichtsbehörden

Gem. TOP) 13 der 96. DSK wurde von der DSK beschlossen, dem AK-Grundsatz den Auftrag zu erteilen, zur Frage Stellung zu nehmen, welche Anforderungen Religions- und Weltanschauungsgemeinschaften erfüllen müssen, um als spezifische Aufsichtsbehörde gemäß Art. 91 Abs. 2 DS-GVO zu gelten. Die von dem AK-Grundsatz erstellten Papiere werden vorgestellt.

Auf Grundlage der erarbeiteten Papiere soll künftig folgende Methodik angewandt werden: Die jeweils zuständigen staatlichen Datenschutzaufsichtsbehörden prüfen, ob im jeweiligen Fall eine spezifische Aufsichtsbehörde beteiligt werden muss und konsultieren diese. Alternativ können sich spezifische Aufsichtsbehörden an die ZASt wenden, diese leitet die Anfrage dann an die jeweils zuständige Aufsichtsbehörde weiter. Der AK-Grundsatz erstellt in diesem Zusammenhang ein Kurzpapier, in dem er die spezifischen Aufsichtsbehörden auffordert, sich bei einer Betroffenheit proaktiv bei den staatlichen Aufsichtsbehörden oder der ZASt zu melden.

 

Beschluss:

  1. Die Datenschutzkonferenz nimmt die Beschlüsse des AK Grundsatz zur Einbindung der spezifischen Aufsichtsbehörden nach § 18 Abs. 1 Satz 4 BDSG sowie den Anforderungen an Religionsgemeinschaften gemäß Art. 91 Abs. 2 DSGVO (9. Sitzung TOP 5a und 5b) zustimmend zur Kenntnis. Bei der Beteiligung spezifischer Aufsichtsbehörden soll entsprechend verfahren werden.
  2. Mit den spezifischen Aufsichtsbehörden soll zwei Mal im Jahr ein Austausch erfolgen. Hierzu lädt der Vorsitz in Kooperation mit dem BfDI ein.
  3. Die Datenschutzkonferenz beauftragt den AK Grundsatz auf der Grundlage der Beschlüsse der 9. Sitzung bis zur 97. Datenschutzkonferenz den Entwurf eines Kurzpapiers zum Thema „Spezifische Aufsichtsbehörden“ i.S.d. Art. 91 DS-GVO zu erstellen. Er wird weiterhin gebeten, eine Vorlage zu erarbeiten, die von den Mitgliedern der Datenschutzkonferenz in den jeweiligen Internet-Angeboten bereitgestellt wird, um spezifischen Aufsichtsbehörden eine Registrierung zu ermöglichen.
  4. Die Datenschutzkonferenz beauftragt den AK Grundsatz zu prüfen, welche der unter 1. In Bezug genommenen Ergebnisse der 9. Sitzung des AK Grundsatz eines förmlichen Beschlusses bedürfen und bittet den AK Grundsatz, hierzu eine entsprechende Beschlussvorlage für die 97. Datenschutzkonferenz zu erstellen.
     

Abstimmungsergebnis:

[15, 0, 2) (j, n, E).

Der Beschluss ist zu veröffentlichen.

(Hinweis: Als Termin für ein Treffen mit den spezifischen Aufsichtsbehörden wird seitens des Vorsitzes der optional reservierte Konferenztermin am 21.5.2019 ins Auge gefasst).

Bayern: Enthaltung zu Punkt 1, Zustimmung zu Punkt 2 und 3

Saarland: Enthaltung

 TOP 7)  Konzept zur Evaluierung der Datenschutz-Grundverordnung

Der Vorschlag des AK-Grundsatzes wird zustimmend zur Kenntnis genommen. Die DSK beschließt anschließend einstimmig, den eingerichteten UAK Evaluierung mit der Erstellung eines Zwischenberichts zur Evaluierung der Datenschutz-Grundverordnung zur 97. DSK auf dem Hambacher Schloss zu beauftragen. Die Vorlage des endgültigen Berichts soll auf einer Zwischenkonferenz im September oder Oktober 2019 erfolgen.

TOP 8) Reaktionen der Datenschutzbeauftragten / Folgeaktionen auf den Hackerangriff / Doxing auf zahlreiche Politikerinnen und Politiker sowie Prominente

Die von den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ergriffenen Maßnahmen zur Aufklärung des in der Presse publik gewordenen Hackerangriffs werden dargestellt. Rheinland-Pfalz berichtet über die eingeleiteten Auskunftsersuchen nach Art. 58 Abs. 1 lit a DS-GVO gegenüber Domain-Verwaltern bzw. die nach Art. 61 DS-GVO eingeleiteten Amtshilfeersuchen an europäische Aufsichtsbehörden. Der BfDI stellt dar, dass die Meldewege der Sicherheitsbehörden bei Cyber-Attacken die Datenschutzaufsichtsbehörden derzeit nicht berücksichtigten. Daher habe er hier um Prüfung gebeten, inwieweit diese bei entsprechenden Vorfällen eingebunden werden können. Die Datenschutzkonferenz bittet den BfDI über den Sachstand hierzu auf der Frühjahrskonferenz zu berichten.

Die DSK beauftragt den AK-Technik mit der Erstellung einer Orientierungshilfe für Anbieter elektronischer Dienste, in der Empfehlungen zusammengestellt werden, mit denen ein angemessener Schutz von Zugangsdaten erreicht werden kann.

TOP 9) Erste Erfahrungen mit Bußgeldverfahren nach Datenschutz-Grundverordnung

Baden-Württemberg berichtet über das gegen das Soziale Netzwerk „Knuddels“ verhängte Bußgeld in Höhe von 20.000 € und deren Ursachen. Es erfolgt ein Meinungsaustausch über eine Veröffentlichung der Höhe verhängter Bußgelder.

TOP 10) Ergänzung zur Positionsbestimmung zur Anwendbarkeit des TMG bei nichtöffentlichen Stellen

Bayern (LDA) berichtet zum Sachstand. Aufgrund zahlreicher Kommentierungen konnte das vorgesehene Papier zur Ergänzung der Positionsbestimmung der Datenschutzkonferenz vom 26.4.2018 bis zur Zwischenkonferenz nicht abschließend erstellt werden. Dieses soll daher nach Fertigstellung im Umlaufverfahren verabschiedet werden. Das Papier werde keine inhaltlichen Änderungen der Positionsbestimmung der Konferenz vornehmen, sondern im Wesentlichen Klarstellungen und  Konkretisierungen enthalten.

Die DSK beschließt einstimmig:

Die Positionsbestimmung soll keine inhaltliche Änderung erfahren. Das Ergänzungspapier soll angesichts von Art und Umfang als Orientierungshilfe verabschiedet werden. Auf der Frühjahrskonferenz soll zudem eine Entschließung zur Thematik gefasst werden (LfDI Bremen erklärt sich bereit, einen entsprechenden Entwurf vorzulegen).

TOP 11) Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO

Hessen stellt die Problematik dar. Es bedarf einer Konkretisierung des Begriffes „bestimmte Bereiche wissenschaftlicher Forschung“. Die Problematik wurde zunächst nur im AK Wissenschaft diskutiert. Der BfDI stellt dar, dass es auf dem 6. Plenum des Europäischen Datenschutzausschusses eine Stellungnahme zu CTR (klinische Studien) gab. In diesem Zusammenhang sei die Fragestellung auch durch den EDSA bewertet worden.

Ergebnis:

Die DSK beauftragt einstimmig den AK Gesundheit und Soziales unter Berücksichtigung des Papiers des AK-Wissenschaft eine Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ vorzunehmen. Die vom BfDI dargestellte Opinion des EDSA soll hierbei berücksichtigt werden. Zur 97. DSK soll der DSK dann ein zwischen dem AK Wissenschaft und dem AK Gesundheit und Soziales abgestimmtes Positionspaper vorgelegt werden.

TOP 12) Vereinheitlichung von Publikationsformaten

Der Vorsitzende dankt dem LDA Bayern für die Bereitschaft, die Pflege einer Liste der Publikationen der jeweiligen Datenschutzaufsichtsbehörden zu übernehmen und diese halbjährlich auf den Hauptkonferenzen vorzulegen. Das LDA Bayern stellt den eingereichten Beschlussvorschlag vor. Das LDA Bayern schlägt darin vor, künftig bestimmte Veröffentlichungsformate der DSK zu verwenden und dankt den mitarbeitenden Behörden SaarlandNordrhein-WestfalenBfDI und Niedersachsen. Durch die Verwendung einheitlicher Veröffentlichungsformate soll das Erscheinungsbild der DSK insgesamt verbessert werden. Es sollen bestimmte Veröffentlichungsformate für Entschließungen, Beschlüsse, Orientierungshilfen und Kurzpapiere verwendet werden, die ausschließlich der DSK vorbehalten bleiben. Parallel hierzu sollen Veröffentlichungsformate definiert werden, die die einzelnen Aufsichtsbehörden verwenden können. Zudem soll die Homepage der DSK überarbeitet werden. Es soll eine klarere Struktur der Homepage realisiert werden.

Zu Ziff. 4 des o. g. Beschlussentwurfs schlägt Berlin die folgende abweichende Formulierung vor:

  • Die Aufsichtsbehörden bringen Dokumente, die für eine Orientierungshilfe in Frage kommen, in die entsprechenden Arbeitskreise der DSK ein. Die Arbeitskreise erarbeiten eine abgestimmte Fassung und legen diese der DSK vor. Die DSK verabschiedet die Orientierungshilfen in dem in der Geschäftsordnung vorgesehenen Verfahren.
  • Sollte es keinen entsprechenden Arbeitskreis geben, können Entwürfe für Orientierungshilfen direkt in die DSK eingebracht werden. Entwürfe können auch von mehreren Aufsichtsbehörden gemeinsam erarbeitet werden.

Begründung

Berlin sieht keine Notwendigkeit für das in Ziff. 4 geregelte Verfahren. Vielmehr sollten bundesweite Orientierungshilfen unbürokratisch durch die DSK verabschiedet werden können, ohne dass im Vorfeld Festlegungen auf eine bestimmte Zahl an Mitwirkenden oder ein bestimmtes Verfahren erfolgen sollte. Von dem üblichen Weg über die Arbeitskreise sollte in der Regel nicht abgewichen werden. Sinn und Zweck der Arbeitskreise ist es gerade, solche Orientierungshilfen vorzubereiten. Dort findet der entsprechende fachliche Austausch statt.

Ergebnis:

Innerhalb von 3 Wochen soll eine Rückmeldung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder über konsensfähige Punkte des Beschlussvorschlags eingereicht werden. (poststelle@lda.bayern.de). Die Rückmeldung soll bis zum 01.03.2019 erfolgen.

TOP 13) Vorsitz des AK Versicherungswirtschaft

Der Vorsitzende dankt Schleswig-Holstein für die wertvolle Arbeit als AK-Vorsitz der vergangenen Jahre. Anschließend berichtet der Vorsitzende über das Ergebnis des Umlaufverfahrens 01/2019. Neben Niedersachsen gab es keine weitere Interessensbekundung zur Übernahme des Vorsitzes AK-Versicherungswirtschaft. Per Akklamation beschließt die DSK die Übernahme des Vorsitzes AK-Versicherungswirtschaft durch Niedersachsen für die nächsten vier Jahre.

TOP 14) Übersetzung gemeinsamer Dokumente der DSK für den EDSA (Bezug: Umlaufverfahren 22/2018)

Aus Zeitgründen zieht Rheinland-Pfalz die Anmeldung dieses Tagesordnungspunktes zurück. Der Punkt wird somit auf die Frühjahrkonferenz im April verschoben.

TOP 15) Berufung in den Beirat des Marktwächters Digitale Welt

Der Vorsitzende dankt Brandenburg für die Arbeit als Vorsitzende des Beirats des Marktwächters Digitale Welt. Brandenburg berichtet im Anschluss über die Arbeit im Beirat des Marktwächters Digitale Welt in den vergangenen Jahren. Die LfDI Brandenburg wird anschließend einstimmig von der DSK erneut zur Vertreterin der unabhängigen Datenschutzbehörden des Bundes und der Länder in den Marktwächter Digitale Welt gewählt.

TOP 16) Bericht der Taskforce-Fanpages

Schleswig-Holstein berichtet aus der Taskforce Facebook-Fanpages und stellt den hierzu eingereichten Beschlussvorschlag vor. Das von Schleswig Holstein eingereichte Papier wird auf der Konferenz unter Federführung von Schleswig-Holstein in Zusammenarbeit mit NiedersachsenBremenHamburgBayern und Baden-Württemberg überarbeitet und soll anschließend im Umlaufverfahren abgestimmt werden.

(Hinweis: Im Rahmen des Umlaufverfahrens ist eine Verständigung dahingehend erfolgt, dass der Entwurf vor der endgültigen Verabschiedung nochmals in der Task Force besprochen werden soll.)

 TOP 17) Bericht über die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation („Berlin Group“)

Berlin berichtet über die Arbeitsgruppe, die nunmehr seit 30 Jahren existiert. Die letzte Sitzung wurde in Kooperation mit der Asiatisch-Pazifischen Datenschutzkonferenz abgehalten. Hierdurch konnten auch Teilnehmer aus dem Asiatisch-Pazifischen Bereich erreicht werden. Gerade für den Bereich Telekommunikation ist dies aufgrund des rasanten technischen Fortschritts von erheblicher Bedeutung. Im Rahmen der Kooperation wurden zudem 2 Papiere verabschiedet, die sich gegenwärtig noch im schriftlichen Zustimmungsverfahren befinden. Im Einzelnen wurden die folgenden Papiere verabschiedet:

  1. Arbeitspapier zum White Area Location Tracking
  2. Arbeitspapier zum Datenschutz und Künstlicher Intelligenz
     

Berlin weist darauf hin, dass letzteres Papier in die Taskforce Künstliche Intelligenz einfließen sollte. Nach Ablauf der schriftlichen Verfahren sind die Papiere auf der Homepage der Berliner Datenschutzbeauftragten abrufbar. Zudem weist Berlin darauf hin, dass die Gruppe offen ist und Interessierte daran teilnehmen können. Die nächste Sitzung findet in am 9/10. April 2019 in Slowenien statt.

TOP 18) Vorkehrungen der Aufsichtsbehörden auf einen etwaigen ungeregelten Austritt Großbritanniens aus der EU

Der Vorsitzende führt in die Thematik ein und berichtet über bereits erstellte Dokumente zum Austritt Großbritanniens und hieraus erwachsender datenschutzrechtlicher Problematiken. Anschließend werden die Sichtweisen durch die teilnehmenden Datenschutzaufsichtsbehörden des Bundes und der Länder vorgestellt.

Die DSK beschließt anschließend einstimmig den AK Internationaler Datenverkehr zu beauftragen, die weiteren politischen Entwicklungen zu beobachten und auf Grundlage des von Rheinland-Pfalz eingereichten Beschlussvorschlages ein Positionspapier zu den Anforderungen an Datenübermittlungen in das Vereinigte Königreich Daten bis zum 01.03.2019 zu erstellen. Der Standpunkt der DSK soll somit zum Austritt Großbritanniens am 29.03.2019 zur Verfügung stehen.

TOP 19) Stand der Vorbereitungen zu einer Entschließung zu Datenschutzanforderungen an auf künstliche Intelligenz gestützte Datenverarbeitungen („Hambacher Erklärung“)

Der Vorsitzende berichtet zum Sachstand. Ein Grundsatzpapier zum Thema Künstliche Intelligenz wurde von Rheinland-Pfalz bereits erstellt. Dieses soll als Grundlage für das erste Treffen der Taskforce Künstliche Intelligenz am 6. und 7. Februar 2019 in Berlin dienen. Der Vorsitzende bedankt sich in diesem Zusammenhang bei Berlin für die Bereitstellung der Räumlichkeiten.

TOP 20) Sonstiges

a)     Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)

Niedersachsen macht die Teilnehmer auf die von Niedersachsen veröffentlichte Methodik zur Auswahl geeigneter technisch-organisatorischer Maßnahmen aufmerksam. Diese ist auf der Homepage der niedersächsischen Datenschutzaufsichtsbehörde abrufbar.

b)     Veröffentlichung von genehmigten Verhaltensregeln (CoC) auf der DSK-Homepage

Die DSK beschließt, die von den jeweiligen Datenschutzaufsichtsbehörden genehmigten Verhaltensregeln auf der Homepage der DSK zu veröffentlichen. Genehmigte Verhaltensregeln sind dem Vorsitzland zuzuleiten, welches eine Veröffentlichung auf der DSK Homepage veranlassen wird.

c)      Transparenz von Terminen und Arbeitsweise der Datenschutzkonferenz  

Der BfDI berichtet über dessen Vorhaben, Tätigkeiten seiner Behörde transparenter zu gestalten.

d)     Verantwortlichkeit von Betriebs- und Personalräten

Der von Niedersachsen eingereichte Entschließungsentwurf des AK Beschäftigtendatenschutz zum Thema „Datenschutzrechtliche Verantwortlichkeit des Betriebsrats bzw. Personalrats“ soll im Rahmen eines Umlaufverfahrens abgestimmt werden.

Seite drucken