92. Konferenz am 9./10. November 2016 in Kühlungsborn

Protokoll: Protokoll der 92. Konferenz am 9./10. November 2016 in Kühlungsborn

Beginn: 9. November 2016, 10:00 Uhr

Ende: 10. November 2016, 13:00 Uhr

TOP 1  Begrüßung, Organisatorisches

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg- Vorpommern eröffnet als Vorsitzender die 92. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und begrüßt die Teilnehmerinnen und Teilnehmer.

TOP 2  Tagesordnung der 92. Konferenz

Die Mitglieder ergänzen die Tagesordnung um die nach Meldeschluss eingebrachten Tagesordnungspunkte 22.2, 23, 24, 25 und streichen Punkt 4.

Die Mitglieder entscheiden auf Vorschlag des Vorsitzenden, dass die Tagesordnungspunkte 6 und 7 sowie 13 bis 15 zusammengefasst beraten werden.

Die Mitglieder beschließen die Tagesordnung einstimmig in der Fassung der Anlage 1.

TOP 3  Europäische Datenschutzgrundverordnung

Brandenburg stellt einen Entschließungsentwurf zur Diskussion, der die nach der Geschäftsordnung erforderliche Einstimmigkeit nicht erzielt.

Die Mitglieder tauschen sich anschließend über den aktuellen Stand der Gesetzgebung in Bund und Ländern zur Anpassung des Datenschutzrechts an die DSGVO und zur Umsetzung der JI-Richtlinie aus. Sachsen berichtet von einer Arbeitsgruppe von Vertretern von Landesinnenministerien Bayerns, Brandenburgs, Niedersachsens und Sachsens, die ihre Entwürfe von Anpassungsgesetzen abstimmen und den anderen Ländern zur Verfügung stellen werden. Ziel sei kein Mustergesetz sondern eine Abstimmung der Landesgesetze. Dabei werde auch die JI-Richtlinie berücksichtigt. Die Entwürfe sollen bis 18. November 2016 vorliegen; am 24. November 2016 sei eine Besprechung dazu in Berlin geplant.

Der Vorsitzende berichtet von einer an ihn gerichteten Anfrage nach dem IFG, die auf die Herausgabe des Papiers „Datenschutzrechtliche Eckpunkte zu den in die Öffentlichkeit gelangten Überlegungen des BMI für ein Gesetz zur Anpassung des Datenschutzrechts an die Datenschutzgrundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs und Umsetzungsgesetz EU – DSAnpUG-EU)“ gerichtet ist. Nach kurzer Diskussion votieren die Mitglieder ohne Gegenstimme und bei Enthaltung des Bundes, Sachsens und Hessens dafür, den begehrten Text ohne Verzug zu veröffentlichen.

TOP 4  (gestrichen)

TOP 5  Auswirkungen des EuGH-Urteils zu Safe-Harbor auf Standardvertragsklauseln, BCR und andere Rechtsgrundlagen zur Übermittlung personenbezogener Daten in Drittstaaten

Berlin berichtet über die Ergebnisse der Arbeitsgruppe Internationaler Datenverkehr. Die Arbeitsgruppe hielte die grundrechtlichen Erwägungen des EuGH aus dem Schrems-Urteil für grundsätzlich übertragbar auf alle Alternativinstrumente für die Übermittlung von Daten in Drittstaaten ohne angemessenes Datenschutzniveau. Die Übermittlung sei unzulässig, wenn die jeweilige Rechtsgrundlage im Einzelfall nicht grundrechtskonform angewendet werden könne. Dies sei dann der Fall, wenn durch Drittstaatsbehörden Datenzugriffe drohten, die nach den Maßstäben der Grundrechtecharta unzulässig wären. Wann die Datenzugriffe unzulässig sind, habe die Arbeitsgruppe nicht abschließend feststellen können.

Die Mitglieder danken der Arbeitsgruppe und nehmen das Ergebnis zustimmend zur Kenntnis.

TOP 6  Überarbeitung der Geschäftsordnung der DSK mit Blick auf die DS-GVO

gemeinsam behandelt mit

TOP 7  Regelungen zur nationalen Abstimmung in Europäischen Angelegenheiten der Geltung der DS-GVO

Die Konferenz beschließt, die AG Geschäftsordnung damit zu beauftragen, die Geschäftsordnung, gültig ab dem 30. September 2015, zu überarbeiten. Ein Schwerpunkt soll die Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Bezug auf die deutsche Vertretung im Europäischen Datenschutzausschuss sein. Auch sind verbindliche Regelungen zur Zusammenarbeit der Aufsichtsbehörden bei der Bearbeitung von Themen mit Blick auf die DS-GVO auszuarbeiten.

Die AG Geschäftsordnung besteht aus Brandenburg (Vorsitz), dem Bund, Bayern (LDA), Berlin, Hamburg, Hessen, Niedersachsen, Nordrhein Westfalen, Sachsen und Schleswig-Holstein. Die AG wird von der Projektgruppe „Organisation und Struktur“ (siehe TOP 14) unterstützt.

TOP 8   Neubesetzung der Ländervertretung in der Financial Matters Subgroup sowie in der Enforcement Subgroup der Art. 29 Gruppe

Die Mitglieder benennen durch einstimmigen Beschluss Hessen, vertreten durch Herrn Michael Kaiser, als Mitglied der Financial Matters Subgroup und Nordrhein- Westfalen, vertreten durch Frau Eva Sträßner und Frau Sonja Gersching, als Stellvertreterinnen. Das Saarland wird auf dessen Wunsch von der Mitarbeit in der Financial Matters Subgroup entlastet.

Außerdem bestimmen die Mitglieder Schleswig-Holstein, vertreten durch Herrn Dr. Malte Engeler, einstimmig bei Enthaltung Schleswig-Holsteins zum Ländervertreter in der Enforcement Subgroup.

TOP 9  Änderung des Personalausweisgesetzes – Technische Neuerungen sind bürger- und datenschutzfreundlich zu realisieren

Die Mitglieder diskutieren den Entwurf einer Entschließung zum vorliegenden Referentenentwurf eines Gesetzes zur Änderung des Personalausweisgesetzes. Sie einigen sich auf eine Arbeitsfassung, die nach Vorliegen des endgültigen Gesetzentwurfs im Umlaufverfahren abschließend behandelt werden soll. Sie bitten Sachsen, zu Kostenfreiheit und Selbstbestimmung bei der Aktivierung der eID- Funktion des Personalausweises eine neue Formulierung zu erarbeiten.

TOP 10   Standard-Datenschutzmodell

Mecklenburg-Vorpommern stellt das Standard-Datenschutzmodell (SDM) in der Version 1.0 vor. LDA Bayern begründet, warum es bereits in der vorausgehenden Abstimmung im Arbeitskreis „Technische und organisatorische Datenschutzfragen“ diesem Text die Zustimmung verweigert hat.

Die Mitglieder diskutieren diese Argumente. LfD Bayern, Sachsen-Anhalt, Brandenburg und Berlin halten es für geboten, die vorliegende Version als Erprobungsfassung zu kennzeichnen.

Sodann beschließen die Mitglieder bei Enthaltung Bayerns und ohne Gegenstimmen, das SDM mit der vollständigen Bezeichnung „Das Standard- Datenschutzmodell - Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele, Version 1.0“ (Anlage 3) zu veröffentlichen und zur evaluierenden Anwendung zu empfehlen. Die Mehrheit der Mitglieder erteilt dem Arbeitskreis „Technische und organisatorische Datenschutzfragen“ das Mandat, die Bausteine des Maßnahmenkatalogs zu veröffentlichen, nachdem diese im Arbeitskreis einstimmig verabschiedet wurden.

Abschließend kommen die Mitglieder überein, dass der Bund das SDM in die WP29 einbringen wird, und dass Mecklenburg-Vorpommern das SDM der Technology Subgroup der WP29 vorlegen wird.

TOP 11   Auswirkungen  der Entscheidung des BVerfG zum BKAG

Die Konferenz nimmt den Bericht des AK Sicherheit zur Kenntnis. Es wird klargestellt, dass jede Datenschutzbehörde  das Urteil des BVerfG selbst für sich auslegt.

TOP 12  Gemeinsame Kontrolle der Falldatei Rauschgift (FDR) von Bund und Ländern

Schleswig-Holstein begründet mit dem Prüfbericht über die gemeinsame Kontrolle der Falldatei Rauschgift die Notwendigkeit und die Schwerpunkte des vorgeschlagenen Entschließungstextes.

Thüringen bittet um Erwähnung in der Entschließung, auch dort seien inzwischen die Speicherungen in der FDR geprüft worden. Die im Entschließungsentwurf angesprochenen Mängel seien dort ebenso vorhanden.

Hamburg kündigt an, sich zu enthalten. Dort seien andere Dateien geprüft, aber dieselben Mängel festgestellt worden.

Niedersachsen erklärt, die gemeinsame Entschließung grundsätzlich mitzutragen, wenn gleich die festgestellten Mängel in Niedersachsen nicht vorhanden gewesen sind.

Nachdem einige von Bayern vorgeschlagene redaktionelle Änderungen eingearbeitet wurden, lässt  der Vorsitzende über den geringfügig abgeänderten Entwurf für die Entschließung „Gemeinsame Prüfung der Falldatei Rauschgift deckt gravierende Mängel auf – Konsequenzen für polizeiliche Datenverarbeitung notwendig“ abstimmen. Sie wird ohne Gegenstimmen bei Enthaltung Hamburgs in der Fassung der Anlage 4 angenommen.

Hinsichtlich des weiteren Umgangs mit dem Prüfbericht regt Schleswig-Holstein an, diesen an die Bundesministerien des Innern sowie der Justiz, an den Innenausschuss sowie den Rechtsausschuss des Bundestages, die Innenministerkonferenz sowie die Justizministerkonferenz zu versenden. Das wird von den Mitgliedern der Konferenz auch so beschlossen.

TOP 13   Organisationsstruktur der Datenschutzkonferenz und ihrer Untergliederungen sowie Verteilung der Aufgaben

gemeinsam behandelt mit

TOP 14   Neustrukturierung der Arbeitskreise der Datenschutzkonferenz und deren Anpassung an europäische Gegebenheiten

Hessen berichtet über ein Arbeitstreffen aller deutschen Subgroup-Vertreter in Hessen. Dort habe man sich darüber ausgetauscht, wie die Vertreter der deutschen Aufsichtsbehörden in Brüssel künftig Einfluss auf die dort geleistete Arbeit nehmen können. Bislang trete die Artikel-29-Gruppe fünfmal im Jahr zusammen. Die Subgroups bereiten die Sitzungen vor und treffen sich ebenfalls fünfmal im Jahr. Allerdings werde die Artikel-29-Gruppe in 18 Monaten durch den Europäischen Datenschutzausschuss abgelöst. Ob es weiter Subgroups geben werde, sei offen. Bis dahin mache eine Neustrukturierung der deutschen Arbeitskreise wenig Sinn, allerdings könne als Sofortmaßnahme die Kommunikation verbessert werden. So sollten etwa die deutschen Subgroup-Vertreter in den zuständigen Arbeitskreisen über die Sitzungen ihrer Subgroup berichten. Darüber hinaus werden bzw. wurden bereits für die einzelnen Subgroups vpo-Verteiler angelegt, an die sämtliche Subgroup-öffentlichen Papiere versandt werden. So ist jede Dienststelle jeder Zeit in der Lage, sich ein aktuelles Bild über die Diskussionslage auf der Ebenen der Subgroups zu verschaffen. Auch sollten die fertigen Working Papers der Subgroups an die nicht in der Subgroup vertretenen deutschen Aufsichtsbehörden weiterverteilt werden. Wichtig sei auch ein gewisser Grad an technischer Ausstattung, eine Plattform, auf der gemeinsam an Papieren gearbeitet werden könne, und die Möglichkeit, Telefon- und Videokonferenzen durchzuführen. Im Hinblick auf die erforderliche Anpassung der Gremienstruktur auf die europäischen Gegebenheiten schlägt Berlin vor, dass sich die AG GeschO baldmöglichst trifft, um für eine zu gründende Projektgruppe „Organisation und Struktur“ den Handlungsrahmen festzulegen und Arbeitsaufträge an diese PG zu formulieren. Mit dieser Aufgabenverteilung wird eine hierarchische Struktur geschaffen, in der die AG GeschO steuert und die PG "Organisation und Struktur" die Zuarbeiten liefert. Dieses Modell wird mit großer Mehrheit befürwortet.

Die Einrichtung der PG "Organisation und Struktur" unter Federführung von Hessen wird sodann mehrheitlich beschlossen.

TOP 15   Veröffentlichungen der Vorsitze der Arbeitskreise und Arbeitsgruppen des Düsseldorfer Kreises

Die Konferenz stimmt der Veröffentlichung der Vorsitze der Arbeitskreise und Arbeitsgruppen des Düsseldorfer Kreises bei einer Gegenstimme zu.

Die Konferenz stellt fest, dass die Vereinbarung unter TOP 8 der Sonderkonferenz vom 28. Juli 2016 in Berlin zur Teilung des Vorsitzes des AK Medien zwischen Berlin und dem LDA Bayern verbindlich ist. Dies gilt bis neue Strukturen für die Arbeitskreise verabschiedet werden.

TOP 16  Corporate Design der Datenschutzkonferenz

Zu Beginn der Konferenz wurde eine Liste mit den bisher vorgeschlagenen Logos an die Konferenzteilnehmer als Tischvorlage bereitgestellt. Es sollten die drei Logos markiert werden, welche dem jeweiligen Teilnehmer am meisten zusagen.

Nach Auszählung am Tag 2 konnten die Logos 8, 10 und 11 die meisten Stimmen auf sich vereinen.

Über diese Logos wurde nochmals abgestimmt. Das Logo 11 (Anlage 5) wurde dann mit 11 Ja-Stimmen bei 6 Enthaltungen angenommen und dient somit künftig als Basis für das Corporate Design der Konferenz.

Der Vorsitzende wurde darum gebeten, die das Logo erläuternden Beschreibungen allen Teilnehmern zur Verfügung zu stellen.

TOP 17   Situation, Selbstverständnis und Strategien des Datenschutzes

Der Tagesordnungspunkt wird aus Zeitgründen nicht inhaltlich diskutiert.

TOP 18   Erhebung von WhatsApp-Nutzerdaten durch Facebook

Der Tagesordnungspunkt wird aus Zeitgründen nicht inhaltlich diskutiert. Hamburg hat im Nachgang zur Sitzung folgendes schriftlich berichtet:

„Hamburg hat ein Verfahren gegen die Facebook Ltd im Zusammenhang mit der Ankündigung von Whatsapp eröffnet, Daten zwischen Whatsapp- und Facebook- Nutzern abzugleichen. Im Anordnungsweg wird Facebook untersagt, Daten von Whatsapp zu erheben und zu verarbeiten, solange der entsprechende Facebook- Nutzer hierin nicht eingewilligt hat.

Facebook hat gegen den Sofortvollzug Antrag auf Wiederherstellung der aufschiebenden Wirkung beim VG Hamburg eingereicht. Eine gerichtliche Entscheidung ist bislang nicht erfolgt. In der Hauptsache hat Facebook Widerspruch eingelegt; dieser ist noch nicht beschieden worden.“

TOP 19  Einhaltung der gesetzmäßig festgelegten Zuständigkeitsverteilungen

Der Tagesordnungspunkt wird aus Zeitgründen nicht inhaltlich diskutiert. Der Bund wird im Nachgang zur Sitzung eine Protokollerklärung abgeben.

TOP 20  Berichte aus den Ländern

Der Tagesordnungspunkt wird aus Zeitgründen nicht inhaltlich diskutiert. Etwaige Berichte werden im Nachgang zur Sitzung schriftlich versandt.

TOP 21  Aktuelle Bundesgesetzgebung

Der Tagesordnungspunkt wird aus Zeitgründen nicht inhaltlich diskutiert. Der Bund wird im Nachgang zur Sitzung schriftlich berichten.

TOP 22  Sonstiges

TOP 22.1  Mittelbereitstellung für die Beauftragung eines Gutachtens zur „Einschätzung des aus der DS-GVO resultierenden Aufwands für die Datenschutzbehörden der Länder“

Berlin informiert die Teilnehmer darüber, dass Herr Prof. Dr. Roßnagel ausgewählt wurde, das Gutachten zu erstellen.

Nach einigen Diskussionen über die Finanzierung des Gutachtens, einigen sich die Konferenzteilnehmer auf folgenden Finanzierungsmodus: Diejenigen, die das Gutachten finanziell unterstützen wollen, teilen Berlin mit, welchen Betrag sie bereitstellen wollen.

TOP 22.2   Darstellung der Probleme um Web of Trust (WOT)

Der Tagesordnungspunkt wird aus Zeitgründen nicht inhaltlich diskutiert. Hamburg hat im Nachgang zur Sitzung folgendes schriftlich berichtet:

„Durch Medienberichte wurde bekannt, dass die verbreitete Browsererweiterung WOT („Web of Trust“) nahezu das vollständige Surfverhalten der Nutzer erfasst und die erhobenen Profildaten Dritten zur Nutzung anbietet. Das verantwortliche Unternehmen hat seinen Sitz in Finnland. Hamburg hat daher Kontakt zum finnischen Datenschutzbeauftragten aufgenommen, um ihn auf das Problem hinzuweisen und eine Prüfung anzuregen.

Die finnischen Kollegen haben umgehend reagiert und aufgrund der Schwere der Verstöße die Staatsanwaltschaft eingeschaltet, die ein Verfahren eröffnet hat. Es wurde zugesagt, über das Ergebnis der Ermittlung zu informieren.“

TOP 23  Videoüberwachung – Änderung des Bundesdatenschutzgesetzes

Die Mitglieder diskutieren den Entwurf einer Entschließung zum Entwurf des Videoüberwachungs-Verbesserungsgesetzes. Die Mitglieder nehmen die Entschließung in der Fassung der Anlage 6 bei Enthaltung des Bundes an.

TOP 24   Autonome Systeme mit Videografie

Hamburg führt aus, dass es in deren Zuständigkeitsbereich einen Lieferdienst gibt, welcher sich Roboter bedient. Diese benutzen die Fußgängerwege öffentlicher Straßen und orientieren sich u. a. mittels Videokameras.

Ob die rechtliche Zuständigkeit beim Bund oder bei Hamburg liegt, wird noch zwischen diesen beiden Behörden geklärt werden. Grundsätzlich geht es darum, ob dieser Dienst als Postdienstleistung anzusehen ist oder nicht. Auf Anfrage Hamburgs hat die Bundesnetzagentur die Auslieferung durch die Roboter als Postdienstleistung eingestuft.

Unabhängig davon erteilt die Konferenz der AG Videoüberwachung unter Einbeziehung des AK Technik den Auftrag, zu ermitteln, wie die Aufnahmen durch die Drohnen, Lieferroboter und sonstige autonome Systeme rechtlich einzuschätzen sind.

TOP 25  Aktuelle internationale Entwicklungen 

Der Tagesordnungspunkt wird aus Zeitgründen nicht inhaltlich diskutiert. Der Bund wird im Nachgang zur Sitzung schriftlich berichten.

Termin und Ort der 93. Konferenz 

Die 93. DSK wird vom 28./30. März 2017 in Göttingen stattfinden.

 

 

Schwerin, den 28. Dezember 2016

Anlagen

1 Tagesordnung (zu TOP 2)

2 Teilnehmerliste

3 Das Standard-Datenschutzmodell - Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele, Version 1.0 (zu TOP 10)

4 Entschließung „Gemeinsame Prüfung der Falldatei Rauschgift deckt gravierende Mängel auf - Konsequenzen für polizeiliche Datenverarbeitung notwendig“ (zu TOP 12)

5 Logo der Datenschutzkonferenz (zu TOP 16)

6 Entschließung „Videoüberwachungsverbesserungsgesetz“ zurückziehen!“ (zu TOP 23)

Auswahl



Protokoll