Düsseldorfer Kreis am 8./9. März 2016 in Düsseldorf

Protokoll: Protokoll des Düsseldorfer Kreises am 8./9. März 2016 in Düsseldorf

Inhaltsverzeichnis 

1      Organisatorisches/Tagesordnung

2      Ergebnisniederschrift der letzten Sitzung

3      Sachstand zu den Folgen des Safe-Harbor-Urteils

3.1     Bericht aus der Artikel-29-Gruppe

3.2     Umfrage zu Aktionen gegenüber Unternehmen

4      EU-Datenschutzreform – Sachstand

5      Einwilligungserklärung in Formularen

6      Abgleich der Kundendaten mit Terrorlisten der Europäischen Antiterrorverordnungen durch die Unternehmen

7      Bericht vom AK Beschäftigtendatenschutz 

7.1     Fragebogenversand an Arbeitgeber durch Banken bzw. Inkassounternehmen an Arbeitgeber von Schuldnern vor Pfändungsbeschluss bei Lohnabtretung

7.2     Bereinigung von Personalakten

8      Violence Prevention Network (VPN)

9      Helferkreise Asyl

10    Verschiedenes

10.1   Zuständigkeit für Eingaben zu privaten Fernsehsendern und Telekommunikationsunternehmen mit Sitz in Bayern

10.2   Teilnahme von Vertretern der Konferenz der Datenschutzbeauftragten im Bereich der Katholischen Kirche Deutschlands an Sitzungen des Düsseldorfer Kreises

10.3   Sondersitzung der AG Kreditwirtschaft zur Datenschutz-Grundverordnung

10.4.  Austausch mit Artikel-31-Gruppe zum Privacy Shield

10.5   Urteil des Verwaltungsgerichts Hannover zur Videoüberwachung in Bussen und Bahnen

10.6   NächsterTermin

 

Verzeichnis der Anlagen

Anlage 1       Tagesordnung

Anlage 2       Orientierungshilfe zur datenschutzrechtlichen Einwilligung in Formularen

Anlage 3       Teilnehmerliste

 

1        Organisatorisches/Tagesordnung

 

2        Ergebnisniederschrift der letzten Sitzung

Der Düsseldorfer Kreis nimmt die Ergebnisniederschrift der Sitzung vom 15./16. September 2015 zur Kenntnis.

 

3        Sachstand zu den Folgen des Safe-Harbor-Urteils

3.1     Bericht aus der Artikel-29-Gruppe

Der Vertreter der BfDI berichtet über die Sitzung der Artikel-29-Gruppe der EU- Kommission (WP 29) vom 2./3. Februar 2016. Inhaltlich diskutiert wurde dort vor allem über eine seitens der BTLE-Subgroup vorbereitete Analyse des US-Rechts sowie über einen möglichen Aktionsplan für gemeinsame Vollstreckungsmaßnahmen. Beides wurde jedoch überholt durch die erfreut aufgenommene Ankündigung des neuen "EU-US Privacy Shield" seitens der EU-Kommission. Es bestand Einigkeit, dass die neue Situation eine neue Analyse erforderlich macht.

Laut BfDI sieht der Fahrplan zum Umgang mit den seit dem 29. Februar 2016 vorliegenden Privacy-Shield-Dokumenten vor, zunächst die Subgroups BTLE, ITS und FoP damit zu befassen. Daran sind auch Vertreter der deutschen Datenschutzbehörden beteiligt. Im Plenum am 12./13. April 2016 beabsichtigt die WP 29, eine Stellungnahme anzunehmen.

Der im Entwurf vorliegende Angemessenheitsbeschlusswird von der Kommission und den Mitgliedstaaten im sog. Komitologieverfahren gemäß Art. 31 RL 95/46 beraten.

Im Düsseldorfer Kreis besteht Einigkeit, von individuellen Bewertungen zunächst abzusehen, da eine einheitliche Haltung der Datenschutzbehörden angestrebt wird.

Ergebnis:      Der Düsseldorfer Kreis nimmt den Bericht der BfDI zur Kenntnis.

 

3.2     Umfrage zu Aktionen gegenüber Unternehmen

Im Zusammenhang mit den Folgen des Safe-Harbor-Urteils findet auf Anregung Nordrhein-Westfalens ein Erfahrungsaustausch der Datenschutzbehörden statt.

Ergebnis:      Aufsicht, Information und Beratung werden auf unterschiedliche Weise angegangen.

  

4        EU-Datenschutzreform – Sachstand

Vor Hinzutreten der Vertreter von BMI und IMK stellt Mecklenburg-Vorpommern als Vorsitz der Datenschutzkonferenz den Stand der Überlegungen zu Zuständigkeiten und zur Zusammenarbeit der innerstaatlichen Aufsichtsbehörden nach Anwendbarkeit der Datenschutz-Grundverordnung dar. Vorschläge hierzu, die auf einer Sonderkonferenz am 21. März 2016 beraten werden, soll eine Redaktionsgruppe beste- hend aus BfDI, Hamburg, Hessen, Nordrhein-Westfalen, Sachsen und dem DSK- Vorsitzland Mecklenburg-Vorpommern erarbeiten.

Anschließend stellt der Vertreter des BMI zunächst den weiteren Gang des Rechtsetzungsverfahrens auf europäischer Ebene dar.

Im April sei mit der Veröffentlichung der offiziellen Sprachfassungen der Datenschutz-Grundverordnung zu rechnen, am 21. April 2016 sei die Verabschiedung im JI-Rat geplant, im Mai die Verabschiedung im Plenum des Europäischen Parla- ments, Ende Mai/Anfang Juni werde die Verordnung im Amtsblatt veröffentlicht, nach einer Übergangszeit von 20 Tagen werde sie daraufhin in Kraft treten und nach Ablauf weiterer zwei Jahre Mitte 2018 anwendbar werden.

Innerhalb der nächsten 14 Monate plane der Bund ein BDSG-Nachfolgegesetz zur Umsetzung der Regelungsbereiche, in denen die Verordnung dem nationalen Ge- setzgeber Regelungsgebote auferlege. Im Mai 2016 sei die Erstellung des Referentenentwurfs des Gesetzes geplant. Im August 2016 solle sich das Bundeskabinett mit dem Gesetzentwurf befassen.

Als Regelungsgebote der Verordnung (Fassung des Trilogs vom 15. Dezember 2015, Ratsdokument 15039/15) an den nationalen Gesetzgeber benennt der Vertreter des BMI:

  • verbindliche Unternehmensregelungen (Art. 38, 38a),
  • Zertifizierung/Akkreditierung (Art. 39, 39a),
  • Zuständigkeiten der Aufsichtsbehörden (Art. 46 ff, 51a, 4 Abs. 19a)
  • Vertretung im Europäischen Datenschutzausschuss, Kontaktstelle (innerstaatliche Abstimmungsregeln) (Art. 64 Abs. 3, Erwägungsgrund 93, Art. 46 Abs. 2),
  • geeignete Garantien für Drittstaatentransfers (Art. 42),
  • Klagebefugnisse der Aufsichtsbehörden (Art. 53 Abs. 3),
  • Rechtsschutz Betroffener (Art. 53 Abs. 2),
  • Bußgelder, Sanktionen (Art. 79 Abs. 4, 79b),
  • Regelung zur Abwägung des Datenschutzrechts mit Kommunikationsgrundrechten (Art. 80) und
  • kirchlicher Datenschutz (Art. 85).

Darüber hinaus sei damit zu rechnen, dass auch von einigen Öffnungsklauseln Gebrauch gemacht werde. Als politisch gewollt bezeichnet der BMI-Vertreter u. a. Regelungen zu betrieblichen Datenschutzbeauftragten.

Zeitgleich zur Umsetzung der Verordnung sei die Anpassung des Bundesrechts an die Vorgaben der Richtlinie für den Bereich Justiz und Inneres geplant.

Abschließend stellt der Vertreter der IMK klar, dass kein Mustergesetz für die Umsetzung der Öffnungsklauseln der Verordnung durch die Landesgesetzgeber geplant sei und erörtert verschiedene Einzelfragen zur Auslegung der Vorschriften der Datenschutz-Grundverordnung.

Die Vertreter von BMI und IMK erklären, dass sie jederzeit für Anregungen und Vorschläge aus den Reihen der Aufsichtsbehörden offen sind, insbesondere weil diese wegen ihrer aus der Nähe zum Vollzug gewonnenen Erfahrungen wertvolle Impulse geben können.

Ergebnis:      Der Düsseldorfer Kreis nimmt die Berichte von Innenministerkonferenz und Bundesinnenministerium zu

  • Verfahrensstand der Beratungen auf europäischer Ebene
  • Umsetzung in Bundes-/Landesrecht im Rahmen der von der DSGVO vorgesehenen Spielräume

zur Kenntnis.

 

5        Einwilligungserklärung in Formularen

Unter Bezugnahme auf TOP 10 der Sitzung des Düsseldorfer Kreises vom 15./16. September 2015 stellt Bayern den zwischenzeitlich weiter abgestimmten Entwurf in der Fassung vom 23. Februar 2016 zur Diskussion mit dem Ziel, das Dokument als Orientierungshilfe des Düsseldorfer Kreises zu beschließen.

Über mehrere Punkte des Entwurfs wird inhaltlich diskutiert und der Text entsprechend verändert, bis jeweils Konsens erreicht ist.

Ergebnis:      Der Düsseldorfer Kreis beschließt einstimmig und ohne Enthaltungen die Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen in der Fassung der Anlage 2.

Die Vorsitzende des Düsseldorfer Kreises leitet die Orientierungshilfe dem Vorsitzenden der Datenschutzkonferenz entsprechend der Regelung unter B III. 2. der GO der DSK zur Kenntnisnahme zu.

Die Orientierungshilfe wird ab dem 1. April 2016 veröffentlicht.

 

6        Abgleich der Kundendaten mit Terrorlisten der Europäischen Antiter- rorverordnungen durch die Unternehmen

Mit Bezug auf TOP 17 der 90. DSK am 30. September/1. Oktober 2015 legt Hessen zur weiteren Beratung des Themas einen gutachterlichen Vermerk mit Lösungsvorschlägen zur Problematik der Verpflichtung von Wirtschaftsunternehmen zum Abgleich der Kundendaten mit Terrorlisten der Europäischen Antiterrorverordnungen vor. An der Diskussion beteiligen sich folgende Datenschutzaufsichtsbehörden: Hessen, Baden-Württemberg, Bayern, Nordrhein-Westfalen, Niedersachsen, Mecklenburg-Vorpommern, Brandenburg, Thüringen sowie Bremen, Berlin, Hamburg und Rheinland-Pfalz.

Vor dem Hintergrund, dass ein Kundenscreening losgelöst von einer Einwilligung nur dann zulässig ist, wenn dies im jeweiligen Einzelfall durch eine Rechtsvorschrift erlaubt ist, insbesondere das Screening für die verantwortliche Stelle – auch was die Auswahl des Kreises der betroffenen Kunden betrifft – erforderlich ist, kommen als mögliche Rechtsgrundlagen dafür § 28 Abs. 1 Satz 1 Nr. 1 oder Nr. 2 BDSG (Begründung eines rechtsgeschäftlichen Schuldverhältnisses/Wahrung berechtigter Interessen der Unternehmen) oder unmittelbar die Antiterrorverordnungen in Be- tracht.

BfDI berichtet zu der Frage, wie die Bundesregierung auf die Bitte des Düsseldorfer Kreises vom 22./23. November 2011 zu einer Evaluation der AEO- Zertifizierungspraxis reagiert hat:

Im Juni 2012 hat BfDI die Bitte an das federführende Bundesministerium der Finanzen (BMF) übermittelt. Das BMF hat daraufhin im August 2012 schriftlich mitgeteilt, dass die Bundesregierung die Evaluationsaufforderung zur Kenntnis genommen habe, aber keine weitere Anpassung vornehmen werde. Die Frage des Mitarbeiterscreenings sei beim BFH anhängig und die Entscheidung solle abgewartet werden. Seither ist die BFH-Entscheidung ergangen. Eine kürzliche Rückfrage beim BMF ergab, dass sich am Sachstand seither nichts geändert hat und BMF das Verfahren nicht umgestellt hat.

Ergebnis:      Zum Mitarbeiterscreening bekräftigt der Düsseldorfer Kreis seinen Beschluss vom 22./23. November 2011.

Zum Kundenscreening erkennen die Aufsichtsbehörden an, dass sich die Unternehmen bei der Frage, ob ein solches Screening durchzuführen ist, in einer schwierigen Lage befinden. Die Frage nach einer möglichen Rechtsgrundlage für das Kundenscreening wird im Ergebnis unterschiedlich beantwortet.

 

7        Bericht vom AK Beschäftigtendatenschutz

7.1     Fragebogenversand an Arbeitgeber durch Banken bzw. Inkassounternehmen an Arbeitgeber von Schuldnern vor Pfändungsbeschluss bei Lohnabtretung

Hamburg berichtet, dass das Thema im Rahmen der Sitzung des AK Beschäftigtendatenschutz vom 20./21. Januar 2016 kontrovers diskutiert worden sei. Eine einheitliche Auffassung konnte nicht erzielt werden.

Ergebnis:      Der Düsseldorfer Kreis nimmt den Bericht von Hamburg zur Kenntnis.

 

7.2     Bereinigung von Personalakten

Hamburg berichtet, dass im Rahmen der Sitzung des AK Beschäftigtendatenschutz vom 20./21. Januar 2016 kein Einvernehmen zur Verabschiedung einer von Bremen vorgeschlagenen Entschließung erzielt worden sei, weil mehrheitlich keine Notwendigkeit gesehen worden sei.

Bremen ergänzt, dass ein Beitrag zu der Thematik auf der Basis des Entschließungsentwurfs auf seiner Homepage veröffentlicht worden sei.

Ergebnis:      Der Düsseldorfer Kreis nimmt den Bericht von Hamburg zur Kenntnis.

Im Übrigen weist Hamburg darauf hin, dass die Übernahme des Vorsitzes des AK Beschäftigtendatenschutz durch Niedersachsen für die nächste reguläre Sitzung der Datenschutzkonferenz angemeldet worden sei.

 

8        Violence Prevention Network (VPN)

Berlin trägt den wesentlichen Inhalt seiner Vorlage zur Sitzung vor und bittet um einen Erfahrungsaustausch. Im Rahmen der gemeinsamen Sitzung des AK Justiz und des AK Sicherheit am 1./2. März 2016 habe eine erste Erörterung unter den Ländern stattgefunden, in denen der Verein tätig sei (Berlin, Baden-Württemberg, Bayern, Hessen). Im Dezember 2015 sei der Verein geprüft worden; VPN sei bestrebt, datenschutzrechtlichen Anforderungen Rechnung zu tragen. Es bestünde ein Vertrag mit dem Land Berlin zur Bekämpfung des Islamismus. Geprüft werde, ob eine Datenverarbeitung nach dem Berliner Polizeirecht in Betracht komme. 

Im Rahmen der anschließenden Diskussion wird festgestellt, dass durch die betroffenen Länder sowohl Aspekte der Datenverarbeitung durch VPN im Verhältnis zu den betroffenen Hilfesuchenden einerseits und datenschutzrechtliche Erfordernisse bei einem Informationsaustausch mit Polizei- und Verfassungsschutzbehörden andererseits zu prüfen seien. Im Übrigen werden folgende Aspekte angesprochen: 

  • Datenverarbeitungen nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG für Zwecke des Vereins; erforderliche Abwägung der Belange des Vereins mit denen betroffener Hilfesuchender;
  • grundsätzliches Erfordernis von Einwilligungen bei der Erhebung, Verarbeitung und Nutzung sensitiver Daten nach § 3 Abs. 9 BDSG.

Ausnahmen u. a.:

    • offenkundig öffentlich gemachte Daten nach § 28 Abs. 6 Nr. 2 BDSG;
    • Datenübermittlung und Datennutzung durch VPN im Rahmen des § 28 Abs. 8 Satz 2 BDSG (Gefahrenabwehr für die staatliche und öffentliche Sicherheit/Verfolgung von Straftaten von erheblicher Bedeutung); Problem: Vertrauensverhältnis zwischen VPN und Hilfesuchenden.

Ergebnis:      Die Angelegenheit wird erörtert; das Ergebnis der derzeitigen Prüfungen durch die betroffenen Datenschutzbehörden bleibt abzuwarten.

 

9        Helferkreise Asyl

Bayern trägt den wesentlichen Inhalt seiner Vorlage zur Sitzung vor und bittet um einen Erfahrungsaustausch. Betont wird, dass eine Verpflichtung der Helfer auf das Datengeheimnis nach § 5 BDSG erfolgen sollte, ggf. auch eine Verpflichtung nach dem Verpflichtungsgesetz. § 28 Abs. 1 Satz 1 Nr. 2 BDSG könne als Rechtsgrundlage für die Verarbeitung einfacher personenbezogener Daten durch die Helferkreise in Betracht kommen, da diese ein berechtigtes Interesse an der Datenverarbei- tung für ihre Arbeit haben können. Die Asylbewerber dürften durchweg ein Interesse an der Hilfe durch den Verein haben. Bei sensiblen Daten nach § 3 Abs. 9 BDSG sei eine Einwilligung nach § 4a Abs. 3 BDSG einzuholen. Ferner seien entspre- chende technische Sicherungsmaßnahmen erforderlich.

Ergebnis:      Die Überlegungen von Bayern werden im Düsseldorfer Kreis diskutiert und positiv aufgenommen.

 

10      Verschiedenes

10.1   Zuständigkeit für Eingaben zu privaten Fernsehsendern und Telekom- munikationsunternehmen mit Sitz in Bayern

In letzter Zeit werden sehr häufig Eingaben einerseits gegen den privaten Fernsehsender Sky und andererseits gegen die Telekommunikationsunternehmen Telefonica und Fonic zu deren Kundenverhältnissen an Bayern abgegeben.

Bayern ist für derartige Verfahren nicht zuständig und bittet darum, dass Beschwerden gegen

  • Sky unmittelbar an die Bayerische Landeszentrale für neue Medien, z. H. des Datenschutzbeauftragten Andreas Gummer, Heinrich-Lübke-Straße 27, 81737 München und
  • Telefonica und Fonic zu deren Kundenverhältnissen unmittelbar an die BfDI

abgegeben werden.

 

10.2   Teilnahme von Vertretern der Konferenz der Datenschutzbeauftragten im Bereich der Katholischen Kirche Deutschlands an Sitzungen des Düsseldorfer Kreises

Die BfDI übermittelt den Wunsch der Konferenz der Datenschutzbeauftragten im Bereich der Katholischen Kirche, künftig einzelfallbezogen zu Sitzungen des Düsseldorfer Kreises eingeladen zu werden, wenn Tagesordnungspunkte im Bereich der Katholischen Kirche von besonderem Interesse sind.

Ergebnis:      Überwiegend wird die Auffassung vertreten, den Kreis der Teilnehmer am Düsseldorfer Kreis nicht zu erweitern. Es würde sich andernfalls die Frage stellen, ob weitere Religionsgemeinschaften oder die Datenschutzbeauftragter anderer Bereiche – etwa der Rundfunkanstalten – gleichfalls einbezogen werden müssten.

Für einen Austausch stehen die einzelnen Mitglieder des Düsseldorfer Kreises im Übrigen jederzeit zur Verfügung.

10.3   Sondersitzung der AG Kreditwirtschaft zur Datenschutz- Grundverordnung

Berlin berichtet in Abstimmung mit Nordrhein-Westfalen als Vorsitz der AG Kreditwirtschaft über die Vorbereitungen für eine Sondersitzung der AG Kreditwirtschaft zur Datenschutz-Grundverordnung. Die Deutsche Kreditwirtschaft wird voraussichtlich bis Mitte April 2016 die zu klärenden Punkte im Zusammenhang mit der Verordnung auflisten und bis Ende Juli 2016 entsprechende Diskussionspapiere erstellen. Es ist geplant, dass die AG-Mitglieder je einen oder zwei dieser Punkte vertieft bearbeiten. In einer Sondersitzung der AG im September 2016 sollen die Themen dann zunächst intern und sodann mit den Vertretern der Bankenverbände behandelt werden.

Ergebnis:      Der Düsseldorfer Kreis nimmt den Sachstandsbericht von Berlin zur Kenntnis.

 

10.4.  Austausch mit Artikel-31-Gruppe zum Privacy Shield

Mecklenburg-Vorpommern als Vorsitz der Datenschutzkonferenz setzt sich mit dem Vertreter der Länder in der Artikel-31-Gruppe in Verbindung.

 

10.5   Urteil des Verwaltungsgerichts Hannover zur Videoüberwachung in Bussen und Bahnen

Niedersachsen weist auf das Urteil des VG Hannover vom 10. Februar 2016 (Az.: 10 A 4379/15) hin. Inhaltlich gehe es um den zulässigen Umfang von Videoüberwachung (VÜ) in Fahrzeugen der Verkehrsgesellschaft üstra Hannoversche Verkehrsbetriebe AG. Eine auf das BDSG gestützte Anordnung zur Einstellung der VÜ bis zum Nachweis der Erforderlichkeit einer zeitlich und räumlich unbeschränkten VÜ im Rahmen eines Sicherheitskonzepts sei aufgehoben worden, weil laut VG das hier anzuwendende niedersächsische Landesrecht keine Rechtsgrundlage für eine Anordnung bilde. Eine Sachentscheidung über die Zulässigkeit der VÜ sei allerdings nicht getroffen worden. Niedersachsen bezweifelt die Rechtsauffassung des VG und beabsichtigt in Berufung zu gehen.

Nordrhein-Westfalen weist auf eine Presseanfrage im Sachzusammenhang hin.

Ergebnis:      Der Bericht von Niedersachsen wird zur Kenntnis genommen.

 

10.6   Nächster Termin

Die nächste Sitzung des Düsseldorfer Kreises findet am 13./14. September 2016 statt.

Auswahl



Protokoll