Düsseldorfer Kreis am 7. März 2017

Protokoll: Protokoll des Düsseldorfer Kreises am 7. März 2017 in Düsseldorf

Inhaltsverzeichnis

1         Begrüßung/Organisatorisches

2         Tagesordnung

3         Ergebnisniederschrift der letzten Sitzung

4         Vorläufiges Verständnis der DS-GVO

5         Entscheidung des Düsseldorfer Kreises über die geplanten   Verhaltensregeln des Verbands „Die Wirtschaftsauskunfteien (DW)“ zum Thema   Prüf- und Löschfristen (CoC Prüf- und Löschfristen)

6         Fragen zur künftigen Anwendbarkeit von Art. 10 DS-GVO bei Fraud-Pools

7         Gemeinsame Positionen

8         Information über und Koordination von Prüfungen

9         Meldung Datenschutzverletzungen nach Art. 33 DS-GVO

10      Meldung der Datenschutzbeauftragten nach Art. 37 Abs. 7 DS-GVO

11.     Verschiedenes

11.1  Nächster Termin

11.2  Bericht Gesetzgebungsverfahren zum Datenschutz-Anpassungs- und   Umsetzungsgesetz

11.3  Vorstellung Marktwächter Digitale Welt

11.4  „Prüfung“ nach DS-GVO zum 25. Mai 2017

11.5 Treffen der Subgroupvertreter am 23./24 März 2017 in Wiesbaden

11.6  Treffen ECE Projektmanagement GmbH & Co.KG

11.7  Nutzung E-Mail-Verteiler des Düsseldorfer Kreises

 

Verzeichnis der Anlagen

Anlage 1       Tagesordnung

Anlage 2       Ordnerstruktur BSCW

Anlage 3       Teilnahmeliste

1        Begrüßung/Organisatorisches

2        Tagesordnung

Die Tagesordnung wird in der Fassung der Anlage 1 beschlossen.

3        Ergebnisniederschrift der letzten Sitzung

Der Düsseldorfer Kreis genehmigt die Ergebnisniederschrift der Sitzung vom 13./14. September 2016.

 

4        Vorläufiges Verständnis der DS-GVO

Der mit der Anmeldung von Bayern vorgelegte Beschlussvorschlag, gemeinsame Kurzpapiere zu ausgewählten Themen zu erstellen, wird mehrheitlich begrüßt.

An der Erstellung der Papiere werden sich zunächst 7 Aufsichtsbehörden beteiligen. Weitere Behörden können auch später noch dazukommen.

Ziel sind vom Düsseldorfer Kreis insgesamt gebilligte Papiere; falls es keinen Konsens gibt, entscheidet jede Behörde selbst, wie sie mit den Papieren umgeht.

Niedersachsen wird die Frage, ob der Düsseldorfer Kreis oder die Datenschutzkonferenz die Papiere veröffentlicht, gegebenenfalls noch in der Datenschutzkonferenz thematisieren.

Ergebnis:      Der Düsseldorfer Kreis beschließt einstimmig mit einer Enthaltung (Rheinland-Pfalz):

Der Düsseldorfer Kreis verständigt sich darauf, gemeinsam Kurzpapiere zu ausgewählten Themen als vorläufiges Verständnis der DS-GVO zu erstellen und zu veröffentlichen. NRW und Bayern werden das Verfahren koordinieren.

5        Entscheidung des Düsseldorfer Kreises über die geplanten Verhaltensregeln des Verbands „Die Wirtschaftsauskunfteien (DW)“ zum Thema Prüf- und Löschfristen (CoC Prüf- und Löschfristen)

Allen Aufsichtsbehörden liegt die in der letzten Sitzung der AG Auskunfteien im Februar 2017 finalisierte Fassung eines CoC-Entwurfs (Stand: 28.02.2017) vor.

NRW berichtet mit Bezug auf die Anmeldung des TOP zur Sitzung über das bisherige Verfahren und erläutert die Zielsetzung des CoC. Der CoC-Entwurf ist in der AG Auskunfteien mit dem Verband und den Wirtschaftsauskunfteien seit Mai 2016 intensiv beraten worden. NRW legt den Entwurf dem Düsseldorfer Kreis mit dem Ziel vor, nach entsprechender Vorlage durch den DW im Jahr 2018 die Genehmigung nach Art. 40 Abs.5 DS-GVO auf der Basis eines positiven Votums des Düsseldorfer Kreises zu erteilen.

Nach dem Ergebnis der Beratungen in der AG Auskunfteien wurde der CoC-Entwurf dort weit überwiegend als ein tragfähiger Kompromiss angesehen, der viele Vorteile bietet.

NRW weist darauf hin, dass eine Ablehnung des CoC zu Rechtsunsicherheit für Auskunfteien und Betroffene führen würde, insbesondere weil innerhalb Deutschlands keine Einheitlichkeit bestehen würde. Es wird auf die zur Beurteilung angemessener Prüffristen vorliegenden statistischen Auswertungen der Auskunfteienbranche hingewiesen. Zeitnahen Handlungsbedarf für die Aufsichtsbehörden hat die AG Auskunfteien angenommen, weil die Wirtschaftsauskunfteien bis zur Geltung der DS-GVO ab dem 25. Mai 2018 neue technisch-organisatorische Prozesse implementieren müssen – gegebenenfalls mit Probeläufen.

Die Inhalte des CoC-Entwurfes und Einzelheiten des Verfahrens werden kontrovers diskutiert.

Die Kritik an dem von der AG Auskunfteien vorgelegten Entwurf bezieht sich in erster Linie auf die unter Ziffer II.1. vorgesehene Regelung zu Prüf- und Speicher- bzw. Löschfristen für personenbezogene Daten zu fälligen, offenen und unbestrittenen Forderungen. Unterschiedliche Auffassungen bestehen sowohl hinsichtlich des Ereignisses, das den Fristbeginn bestimmen soll, als auch im Hinblick darauf, nach wie vielen Jahren die Erforderlichkeit einer weiteren Speicherung überprüft werden solle.

Meinungsverschiedenheiten bestehen auch in Bezug auf die unter II.4. vorgeschlagene Regelung zur Speicherung von Informationen zu „zweifelhaften und ungewöhnlichen Sachverhalten, die im Rahmen der Geldwäsche- und Betrugsprävention zu prüfen und zu überwachen sind“. Einige Aufsichtsbehörden halten die Speicherung dieser Daten für unzulässig, da die Speicherung nicht mit Art. 10 DSGVO vereinbar sei (siehe dazu auch TOP 6).

Zum Verfahren wird angeregt, der Verbraucherzentrale Bundesverband in die Beratungen einzubeziehen. Gemäß Erwägungsgrund 99 der DS-GVO sollten Verbände bei der Ausarbeitung von Verhaltensregeln die maßgeblichen Interessenvertreter konsultieren und die dabei erhaltenen Stellungnahmen berücksichtigen. Vor diesem Hintergrund befürwortet der Düsseldorfer Kreis mehrheitlich, dass NRW als genehmigende Aufsichtsbehörde dem Verband DW empfehlen solle, der Verbraucherzentrale Bundesverband bei der weiteren Ausarbeitung des CoC zu beteiligen.

Es wird darauf hingewiesen, dass vor dem Hintergrund der nach Art. 6 Abs. 1 lit. f DS-GVO vorzunehmenden Interessenabwägung sowie der in Art. 17 DS-GVO zu prüfenden Notwendigkeit einer fortgesetzten Speicherung, die Einbeziehung der Verbraucherzentrale Bundesverband sinnvoll wäre. Auch könnte die Beteiligung in der Weise erfolgen, dass mit Blick auf Geschäftsgeheimnisse nur Detailfragen aus dem CoC abstrakt zur Stellungnahme an den Bundesverbandes Verbraucherzentralen geleitet werden.

Angesichts der Meinungsverschiedenheiten ist die nach der Geschäftsordnung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (GO DSK) erforderliche Einstimmigkeit für einen Beschluss des Düsseldorfer Kreises zum CoC-Entwurf nicht gegeben.

Im Vorfeld der Befassung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), in der nach der GO DSK ein Mehrheitsbeschluss möglich wäre, wird eine „Probeabstimmung“ zu folgenden Fragen mit folgendem Ergebnis durchgeführt:

Wer würde dem CoC Prüf- und Löschfristen in der Fassung des Entwurfs vom 28.02.2017 zustimmen?

  

 Zustimmung: 8

  
  

Ablehnung: 6

  
  

Enthaltung: 3

  

 

Sollte Nordrhein-Westfalen als genehmigende Aufsichtsbehörde dem Verband DW empfehlen, den Bundesverband Verbraucherzentralen zum CoC zu beteiligen?

  

Zustimmung: 11

  
  

Ablehnung: 3

  
  

Enthaltung: 3

  

  

Wie ist das Meinungsbild zum Beschlussvorschlag des LfD Baden-Württemberg vom 22.02.2017, der im CoC Punkt II.1 (Prüf-/Löschfrist zu Forderungen) beide Tirets ersetzen möchte?

  

Zustimmung: 8

  
  

Ablehnung: 6

  
  

Enthaltung: 3

  

 

Angesichts dieses Ergebnisses wird die Frage der Vorlage des CoC-Entwurfes an die DSK erörtert.

Im Ergebnis wird das Thema, neben der bereits vorgesehenen Anmeldung durch die Vorsitzländer der AG Auskunfteien, auch von Baden-Württemberg zur DSK angemeldet werden.

Auch wenn sich im Falle einer Wiederholung des Abstimmungsverhaltens in der DSK keine ausreichende Mehrheit für einen Beschluss finden lassen dürfte, halten einige Aufsichtsbehörden die Befassung der DSK mit Blick auf zukünftige Abstimmungsnotwendigkeiten unter der Geltung der DS-GVO für sinnvoll.

Ergebnis:      Der von NRW mit der Anmeldung des TOP vorgelegte Beschlussvorschlag findet nicht die erforderliche einstimmige Zustimmung durch den Düsseldorfer Kreis.

Mehrheitlich befürwortet der Düsseldorfer Kreis, dass NRW als genehmigende Aufsichtsbehörde dem Verband DW empfehlen solle, den Bundesverband Verbraucherzentralen bei der weiteren Ausarbeitung des CoC zu beteiligen.

Das Thema wird der DSK zur nächsten Sitzung Ende März 2017 zur Beratung vorgelegt.

 

6        Fragen zur künftigen Anwendbarkeit von Art. 10 DS-GVO bei Fraud-Pools

Auf der Grundlage der TOP-Anmeldung von SH vom 26.01.2017 sowie des Beschlussvorschlags vom 23.02.2017 wird der Meinungsstand erörtert.

Ergebnis:      Der Düsseldorfer Kreis nimmt die unterschiedlichen Bewertungen der Datenschutzaufsichtsbehörden zur künftigen Anwendbarkeit von Art. 10 DS-GVO bei Fraud-Pools zur Kenntnis und bittet die AG Versicherungswirtschaft diese Bewertungen dem PKV e.V. mitzuteilen.

 

7        Gemeinsame Positionen

NRW berichtet über den Sachstand zur Umsetzung des Arbeitsauftrages des Vorsitzenden der Datenschutzkonferenz aus der Sonder-DSK am 31.05.2016 in Berlin (TOP 3.1). Bislang liegen keine Aktualisierungen vor.

Ergebnis:      Der Düsseldorfer Kreis nimmt den Bericht von NRW zur Kenntnis.

Er bittet die Vorsitzenden der Arbeitsgremien zur Herbstsitzung über den Stand der gemäß dem Auftrag des DSK-Vorsitzenden aus der Sonder-DSK vom 31.05.2016 (TOP 3.1) erfolgten Aktualisierungen der Befassungen des Düsseldorfer Kreises zu berichten.

 

8        Information über und Koordination von Prüfungen

Die Aufsichtsbehörden sind darüber informiert, dass auf dem BSCW-Server eine Informationsplattform mit der Bezeichnung „Information über Prüfungen“ eingerichtet ist. Über die BfDI kann sich jede Aufsichtsbehörde dort anmelden und ihre anlasslosen Prüfungen bekannt geben. Alle Aufsichtsbehörden erhalten eine Übersicht der gegenwärtigen Ordnerstruktur auf dem BSCW-Server (Anlage 2).

Wenn eine Aufsichtsbehörde eine anlasslose Prüfinitiative plant, wird sie die anderen Aufsichtsbehörden informieren und zur Teilnahme einladen. Die Beteiligung an solchen Prüfaktionen steht jeder Aufsichtsbehörde offen – gegenwärtig unter Berücksichtigung der Ressourcenbindung insbesondere mit Blick auf die DS-GVO.

Ergebnis:      Die Aufsichtsbehörden bestätigen einstimmig ihre Absicht an Prüfkooperationen festzuhalten.

 

9        Meldung Datenschutzverletzungen nach Art. 33 DS-GVO

Der mit der Anmeldung von Bayern vorgelegte Beschlussvorschlag wird mehrheitlich begrüßt.

Ergebnis:      Der Düsseldorfer Kreis verständigt sich darauf, die Daten festzulegen, die von Verantwortlichen bei einer „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“ nach Art. 33 DS-GVO zu melden sind.

An einem Entwurf für die Festlegung werden sich 7 Aufsichtsbehörden beteiligen. Die Arbeiten der Technology Subgroup (vgl. Tagesordnung zur Sitzung am 08.03.2017) und des AK Technik (vgl. 13.1 des Protokolls der Sitzung vom 15./16.2.2017) werden dabei berücksichtigt.

10      Meldung der Datenschutzbeauftragten nach Art. 37 Abs. 7 DS-GVO

Der mit der Anmeldung von Bayern vorgelegte Beschlussvorschlag wird mehrheitlich begrüßt. NRW weist darauf hin, dass auch eher technische Anforderungen wie etwa zur Identifizierung und Authentifizierung ebenfalls einheitlich umgesetzt werden sollten. Hessen weist darauf hin, dass elektronische Verfahren zur Selbsteintragung, wie sie unter anderem Bayern anstrebt, in anderen Rechtsbereichen bereits Praxis sind und die dortige Technik nutzbar gemacht werden sollte.

Ergebnis:      Der Düsseldorfer Kreis verständigt sich darauf, die Daten festzulegen, die von Verantwortlichen bei einer „Mitteilung der Daten eines Datenschutzbeauftragten“ nach Art. 37 Abs.7 DS-GVO zu melden sind.

An einem Entwurf für die Abstimmung werden sich 7 Aufsichtsbehörden beteiligen. Arbeiten der Artikel-29-Gruppe werden dabei berücksichtigt.

 

11.     Verschiedenes

11.1   Nächster Termin

Die nächste Sitzung des Düsseldorfer Kreises findet am 12./13. Oktober 2017 statt.

 

11.2   Bericht Gesetzgebungsverfahren zum Datenschutz-Anpassungs- und Umsetzungsgesetz

Der Vertreter des BMI berichtet über das Gesetzgebungsverfahren zum Datenschutz-Anpassungs- und Umsetzungsgesetz:

09.03.2017: Erste Befassung des Bundestags (im verkürzten Verfahren nach Art. 76 GG)

22.03.2017: Gegenäußerung der Bundesregierung zu den Bundesratsänderungsanträgen; Innenausschuss des Bundestages

27.03.2017: Anhörung im Bundestag

29.03. oder 26.04.2017: Beschluss des Innenausschusses des Bundestages

Mai 2017: Bundesratsbefassung

Juni 2017: Beschluss des Gesetzes (unter der Annahme, dass der Vermittlungsausschuss nicht angerufen wird).

Zu den Änderungsanträgen des Bundesrats (Drucksache 110/1/17) teilt der Vertreter des BMI die Einschätzungen mit, es sei positiv zur Kenntnis genommen worden, dass es keine Änderungsanträge zu Zweckänderungsregelungen gab. Schwerpunkt der Änderungsanträge sei der Regelungsbereich der DS-GVO, insbesondere die Betroffenenrechte. Einige Änderungsanträge könnten möglicherweise unproblematisch angenommen werden.

Das Gesetzgebungsverfahren zum „Omnibusgesetz“, mit dem bereichsspezifisches Bundesrecht geändert werden soll, werde voraussichtlich in der laufenden Legislaturperiode eingeleitet, aber nicht abgeschlossen.

Der Vertreter der IMK weist besonders auf folgende Regelungsbereiche hin:

- Kontrolle bei Berufsgeheimnisträgern: Hier enthält die Bundesratsempfehlung eine Prüfbitte (Empfehlung 43). Die Neuregelung von § 203 StGB sollte kompatibel sein (vgl. Bundesratsdrucksache 163/17).

- Zuständigkeitsregelung in § 19 BDSG-neu: Hier werden weitere Regelungen empfohlen. Hinweise zur Praktikabilität sind willkommen.

Das Videoüberwachungsverbesserungsgesetz sei in Kürze final im Bundestag und gehe in der 11. Kalenderwoche in den Bundesrat.

 

11.3   Vorstellung Marktwächter Digitale Welt

NRW teilt das Meinungsbild zur Vorstellung des Projekts Marktwächter Digitale Welt der Verbraucherzentralen im Düsseldorfer Kreis mit (E-Mail vom 17.01.201): Eine Vorstellung wird einheitlich positiv gesehen und mehrheitlich im Rahmen der Herbstsitzung des Düsseldorfer Kreises bevorzugt.

Ergebnis:      Vorsitz wird die Vertreterinnen und Vertreter des Projekts Marktwächter Digitale Welt der Verbraucherzentralen zur Herbstsitzung des Düsseldorfer Kreises einladen.

 

11.4   „Prüfung“ nach DS-GVO zum 25. Mai 2017

Der Vorschlag Bayerns, ein Jahr vor Geltung der DS-GVO eine gemeinsame Sensibilisierungsaktion durchzuführen – etwa mit einer gemeinsamen Presseerklärung –, wird begrüßt. Der Vorschlag, dazu einen Prüffragebogen zu versenden, wird mehrheitlich kritisch gesehen.

Ergebnis:      Vorsitz wird eine gemeinsame Presseerklärung entwerfen und mit den Aufsichtsbehörden weiter abstimmen, einschließlich Hinweisen zur Implementierung der DS-GVO.

 

11.5 Treffen der Subgroupvertreter am 23./24 März 2017 in Wiesbaden       

Dem Meinungsbild des Düsseldorfer Kreises entsprechend wird Vorsitz für den Düsseldorfer Kreis teilnehmen.

 

11.6   Treffen ECE Projektmanagement GmbH & Co.KG

Hamburg informiert über eine Besprechung mit ECE Projektmanagement GmbH & Co.KG am 22.03.2017 in Hamburg zum Thema Videoüberwachung.

 

11.7   Nutzung E-Mail-Verteiler des Düsseldorfer Kreises

Vorsitz bittet die E-Mail-Verteiler des Düsseldorfer Kreises ausschließlich für die Vor- und Nachbereitung der Sitzungen sowie für Umlaufverfahren zu nutzen.

 

Auswahl



Protokoll