Düsseldorfer Kreis am 12./13. Oktober 2017

Protokoll: Protokoll des Düsseldorfer Kreises am 12./13. Oktober 2017 in Düsseldorf

Inhaltsverzeichnis

1          Organisatorisches/Tagesordnung 

2          Ergebnisniederschrift der letzten Sitzung 

3          Zuständigkeit ePrivacy-Verordnung 

4          Gemeinsame Kontrollen bei privaten Unternehmen zu unberechtigten Abrufen aus Melderegistern 

5          Identitätsdiebstahl

6          CoC Versicherungswirtschaft

7          Überarbeitung gemeinsame Positionen (Arbeitsauftrag Vorsitz-DSK)

8          Vorstellung Projekt Marktwächter Digitale Welt

9          Konkretisierung des Beschlusses Einwilligung 

10        Verschiedenes 

10.1     KMU-Sensibilisierung 

10.2     ¾-DS-GVO-Implementation 

10.3     Verpflichtung von Beschäftigten 

10.4     Prüfung der Verschlüsselung von Websites 

10.5     Verfahren für Online-Meldungen 

10.6     Nächste Termine 

Verzeichnis der Anlagen

Anlage 1      Tagesordnung

Anlage 2      Teilnahmeliste

1        Organisatorisches/Tagesordnung

Die Tagesordnung wird in der Fassung der Anlage 1 beschlossen.

 

2        Ergebnisniederschrift der letzten Sitzung

Der Düsseldorfer Kreis genehmigt die Ergebnisniederschrift der Sitzung vom 7. März 2017.

 

3        Zuständigkeit ePrivacy-Verordnung

Der Vertreter des BMI erläutert zunächst den allgemeinen Sachstand des europäischen Gesetzgebungsverfahrens: Der Entwurf für eine ePrivacy-Verordnung (ePrivacy-VO) wurde von der EU-Kommission Anfang 2017 vorgelegt. Er soll die bisherige Richtlinie 2002/58/EG ablösen (siehe auch Erwägungsgrund 173 der Datenschutz-Grundverordnung (DS-GVO)).

Konsens zeichne sich zu den beiden Leitgedanken des Entwurfs - Harmonisierung durch das Regelungsinstrument der Verordnung und Modernisierung durch die Einbeziehung der so genannten "Over-The-Top-Dienste" (OTT-Dienste) wie z. B. Messengerdienste und Voice-over-IP-Dienste - ab.

Zu den Details des komplexen und wichtigen Dossiers bestehe sowohl auf der Ebene des Rates (Ratsarbeitsgruppe "Telecommunications") als auch innerhalb der Bundesregierung weiterhin hoher Abstimmungsbedarf. Die Federführung für die ePrivacy-VO liege beim Bundesministerium für Wirtschaft und Energie; BMI und BMJV seien eng eingebunden.

Es bedürfe insbesondere einer Klärung des Verhältnisses zur DS-GVO. Der bislang stark auf die Einwilligung der Betroffenen zentrierte ePrivacy-VO sei strenger als die DS-GVO, die in Art. 6 Abs. 1 lit. f DS-GVO eine interessenbasierte Datenverarbeitung gleichrangig neben der Einwilligung anerkenne (vgl. auch § 15 Abs. 3 TMG). Auf Nachfrage teilt der Vertreter des BMI mit, dass die Frage, ob und wie Offline-Tracking von der ePrivacy-VO umfasst sein soll, weiterhin in der Ratsarbeitsgruppe diskutiert werde.

Die Stellungnahme des Europäischen Parlaments sei für die zweite Oktoberhälfte 2017 angekündigt (Anmerkung: Zwischenzeitlich hat das EP am 26. Oktober 2017 die Verhandlungsposition des Parlaments zur ePrivacy-VO beschlossen und ist der Beschlussempfehlung des zuständigen Ausschusses für Inneres und bürgerliche Freiheiten (LIBE) gefolgt. Mit dem Beschluss des Parlaments geht der Entwurf nun in den sogenannten Trilog zwischen den verschiedenen EU-Institutionen). Auf Ratsebene habe die estnische Ratspräsidentschaft kürzlich zwei Vorschläge vorgelegt. Der im ePrivacy-VO vorgesehene Geltungsbeginn am 25. Mai 2018 sei angesichts des momentanen Verhandlungsstandes und der notwendigen Anpassungen auf nationaler Ebene (v. a. für das TKG und das TMG) äußerst ambitioniert.  

Im Anschluss geht der Vertreter des BMI auf Fragen der Zuständigkeiten ein: Die Aufsicht sei in Art. 18 lit. e Privacy-VO insgesamt den Datenschutzaufsichtsbehörden zugewiesen, in Verbindung mit einer Kooperationspflicht mit den Regulierungsbehörden. Klärungsbedürftig nach Ansicht zahlreicher Mitgliedstaaten sei das zukünftige Verhältnis zwischen den Datenschutzaufsichtsbehörden und den Regulierungsbehörden in den Bereichen, in denen bislang die nationalen Regulierungsbehörden (in Deutschland: Bundesnetzagentur) Aufsichtszuständigkeiten haben (Rufnummernunterdrückung, unerlaubte Werbung nach UWG). Die ePrivacy-VO erfasse zudem auch nicht-personenbezogene Daten (einschließlich Daten juristischer Personen), bei denen die künftige Zuständigkeit zu klären sei.

Aspekte der förderalen Zuständigkeitsverteilung zwischen den Datenschutzaufsichtsbehörden des Bundes und der Länder spielten hingegen bei den Verhandlungen zur ePrivacy-VO keine Rolle. Die ePrivacy-VO erwähne in Erwägungsgrund 38 föderale Strukturen, verweise auf die DS-GVO und lasse im Rahmen der nationalen
Anpassungsgesetzgebung an die ePrivacy-VO alle Möglichkeiten, föderale Strukturen abzubilden. Auf Bundesebene gebe es bisher keine Bestrebungen, die Aufsichtsstruktur innerhalb Deutschlands zu ändern.

Die Teilnehmer des Düsseldorfer Kreises tauschen sich zu Erfahrungen in der Aufsicht im Bereich von TKG und TMG und möglichen Änderungswünschen aus.

Ergebnis:      Der Düsseldorfer Kreis dankt dem Vertreter des BMI für die fundierte Information über die Planungen der Bundesregierung bzw. des BMI, wie die Zuständigkeit der Datenschutzaufsicht für den Vollzug der ePrivacy-VO in Zukunft geregelt werden soll.

 

4        Gemeinsame Kontrollen bei privaten Unternehmen zu unberechtigten Abrufen aus Melderegistern

Die BfDI erläutert ihre Vorlage zur unberechtigten Verwendung von Meldedaten durch Unternehmen zur Werbezwecken.

In der anschließenden Diskussion betonen mehrere Datenschutzbehörden der Länder, dass nach dem Bundesmeldegesetz bei Indizien für den nicht sachgemäßen Umgang von Unternehmen mit Daten aus Melderegistern zunächst die Meldebehörden selbst eine Prüfungszuständigkeit und -verantwortung hätten, auch ggf. für die Einleitung von Ordnungswidrigkeitenverfahren. Ohne konkrete Hinweise sei es schwierig, datenschutzrechtliche Prüfungen vorzunehmen. Nachfragen bei einigen Innenministerien hätten ergeben, dass derartige Fälle dort nicht bekannt seien. Darüber hinaus sei - gemessen an der Zahl der erteilten einfachen Melderegisterauskünfte pro Jahr - die Zahl der Beschwerden in diesem Bereich sehr gering.

Darüber hinaus wird darauf hingewiesen, dass nach Kenntnis der Datenschutzaufsichtsbehörden Unternehmen zumeist auf andere Quellen zurückgreifen (Internet, Telefon- und Adressverzeichnisse u. a.).

Es besteht Einvernehmen darüber, dass derartige Fälle zunächst auf regionaler Ebene durch die Meldebehörden geklärt werden sollten.

Ergebnis:      Der Düsseldorfer Kreis kommt zu dem Ergebnis, dass zum einen die Meldebehörden in der Pflicht sind, zum andern mangels konkreter Anhaltspunkte kein Anlass für datenschutzrechtliche Prüfungen besteht.

 

5        Identitätsdiebstahl

Berlin führt in das Thema ein, verweist auf den von Berlin initiierten "Runden Tisch" zum Thema sowie die dortige Pressemitteilung vom 8. September 2017 mit acht Forderungen zur Behebung der in diesem Zusammenhang festgestellten strukturellen Mängel.

Der Düsseldorfer Kreis erörtert den Handlungsbedarf. Hierbei wird zunächst die Komplexität des Themas (Belange des Daten- und Verbraucherschutzes, zivil- und strafrechtliche Fragestellungen etc.) hervorgehoben.

In der weiteren Diskussion ergeben sich folgende Vorschläge für ein weiteres Vorgehen:

-        Initiierung eines weiteren "Runden Tisches" unter vertiefter Einbeziehung des Verbraucherschutzes, der Opferseite sowie ggf. von Strafverfolgungsbehörden,

-        eine gemeinsame Erstellung von Handlungsempfehlungen für Betroffene

-        Nutzung der Instrumente der DS-GVO wie

  • Forcierung von Verhaltensregeln,
  • Zertifizierung von Verfahren im Onlinehandel,
  • verpflichtende Datenschutzfolgeabschätzung für Onlinehandel wegen Risikoerhöhung (Aufnahme in sog. "Muss-Liste")

-        weitere Befassung der AG Auskunfteien mit dieser Thematik.

Ergebnis:      Nach Diskussion über die Zuordnung der komplexen Thematik zu bestehenden Gremien wird Berlin das Thema erneut zur AG Auskunfteien anmelden und zu einem zweiten "Runden Tisch" einladen.

Der Düsseldorfer Kreis bittet die AG Auskunfteien und Berlin, über den dortigen Sachstand sowie die Ergebnisse der Besprechungen zu informieren.

Im weiteren Verfahren zieht der Düsseldorfer Kreis auch gemeinsame Prüfungen zu diesem Problemfeld in Betracht.

 

6        CoC Versicherungswirtschaft

Schleswig-Holstein berichtet als Vorsitz der AG Versicherungswirtschaft über den Stand der Beratung zwischen der AG Versicherungswirtschaft und dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) zur Anpassung des Code of Conduct der Versicherungswirtschaft (CoC) vom 7. August 2012 an die DS-GVO. Bislang fanden zwei Treffen zwischen AG Versicherungswirtschaft und GDV im Juli und September 2017 statt. Die AG Versicherungswirtschaft hatte im Nachgang dem GDV eine Liste mit Änderungswünschen mitgeteilt.

Schleswig-Holstein trägt vier, wegen ihrer grundsätzlichen Bedeutung auch für andere Arbeitsgruppen und Arbeitskreise wesentliche Themen der Liste vor:

  • Art. 6 und Art. 9 DS-GVO sind kumulativ zu prüfen. Art. 6 DS-GVO enthält als Grundnorm die Grundsätze für die Rechtsgrundlage der Datenverarbeitung.
  • Die Regelungen zur Auftragsverarbeitung müssen anhand der Vorgaben des Art. 28 DS-GVO konkretisiert werden. Die Vorgaben zur Differenzierung zwischen Verantwortlichem und Auftragsverarbeitern gemäß WP 169 der Artikel-29-Gruppe haben nach wie vor Bestand.
  • Art. 26 DS-GVO schafft keine Privilegierung zugunsten des Verantwortlichen. Entsprechend der Ergebnisse des AK Grundsatz bedürfen Datenflüsse unter gemeinsam Verantwortlichen einer Rechtsgrundlage im Sinne der Art. 6 ff. DS-GVO.
  • Die im CoC aufgelisteten Beispiele, bei deren Vorliegen eine Datenschutzfolgenabschätzung (DSFA) vorzunehmen ist, müssen mit der zuständigen Arbeitsgruppe bzw. Unterarbeitsgruppe DSFA des AK Grundsatz abgestimmt werden.

Anfang November ist mit einem vom GDV aktualisierten Entwurf des anzupassenden CoC zu rechnen. Die weitere Abstimmung zwischen GDV und den Datenschutzaufsichtsbehörden soll durch einen Lenkungsausschuss erfolgen, an dem Schleswig-Holstein, Berlin, NRW und weitere interessierte Mitglieder der AG Versicherungswirtschaft teilnehmen. Für die finale Abstimmung werden sämtliche Mitglieder der AG Versicherungswirtschaft ggf. im Wege des schriftlichen Umlaufverfahrens beteiligt werden.

Ergebnis:      Sobald die AG Versicherungswirtschaft die Arbeiten an dem CoC abgeschlossen hat, wird der Düsseldorfer Kreis sich erneut mit der finalen Fassung des CoC befassen und der DSK einen Beschlussvorschlag unterbreiten. Die Arbeiten sollten rechtzeitig vor dem 25. Mai 2018 abgeschlossen sein. Genehmigende Behörde ist Berlin.

 

7        Überarbeitung gemeinsame Positionen (Arbeitsauftrag Vorsitz-DSK)

NRW berichtet auf der Basis der im Vorfeld der Sitzung übersandten Liste über den Sachstand zur Umsetzung des Arbeitsauftrages des Vorsitzenden der Datenschutzkonferenz aus der Sonder-DSK vom 31. Mai 2016 in Berlin (TOP 3.1). Bei vielen Positionen wird kein Aktualisierungsbedarf gesehen. Konkrete Neufassungen (Aktualisierungen) liegen bisher nicht vor.

Ergebnis:      Der Düsseldorfer Kreis nimmt den Bericht von NRW zur Kenntnis.

Er bittet die Vorsitzenden der Arbeitsgremien zur nächsten Sitzung über den Stand der gemäß dem Auftrag des DSK-Vorsitzenden aus der Sonder-DSK vom 31. Mai 2016 (TOP 3.1) als erforderlich angesehenen Aktualisierungen der Befassungen des Düsseldorfer Kreises zu berichten.

NRW wird die Lesbarkeit der Liste durch eine Erläuterung der laufenden Nummern verbessern.

 

8        Vorstellung Projekt Marktwächter Digitale Welt

Das Projekt Marktwächter der Verbraucherzentralen stellt sich vor. Dazu erläutern Vertreterinnen und Vertreter der Verbraucherzentrale Bundesverband und der beteiligten Verbraucherzentralen Bayern, Brandenburg, Nordrhein-Westfalen, Rheinland-Pfalz und Schleswig-Holstein Gegenstand, Ablauf und Umsetzungsstand des Projekts (vgl. die im Nachgang versandte Präsentation).

Der Düsseldorfer Kreis tauscht sich mit den Vertreterinnen und Vertretern des Projekts über Möglichkeiten der Zusammenarbeit aus. Er begrüßt die Initiative der Verbraucherzentralen. Der Projektleiter bittet darum, den Erstkontakt für beabsichtigte Kooperationen im Bereich des Marktwächters über ihn laufen zu lassen.

Im Anschluss diskutiert der Düsseldorfer Kreis weiter die Möglichkeiten der Zusammenarbeit mit den Verbraucherzentralen. Grundsätzlich wird eine Kooperation positiv bewertet. Die denkbaren Formen der Zusammenarbeit reichen von der gegenseitigen Information über gemeinsame Projekte zu Einzelthemen bis zur geregelten Beteiligung an Verfahren nach dem Unterlassungsklagegesetz. Die örtliche Zuständigkeit der Verbraucherzentralen ist nicht deckungsgleich mit den Zuständigkeiten der Aufsichtsbehörden, so dass eine gegenseitige Information auch der Aufsichtsbehörden untereinander wichtig ist, wenn Kooperationen anstehen.

Ergebnis:      Der Düsseldorfer Kreis dankt den Vertreterinnen und Vertretern des Projekts Marktwächter Digitale Welt der Verbraucherzentralen für die Vorstellung des Projekts. Er begrüßt einen erneuten Austausch zu einem späteren Zeitpunkt.

 

9        Konkretisierung des Beschlusses Einwilligung

Die Teilnehmer diskutieren die von Schleswig-Holstein vorgeschlagene Konkretisierung des Beschlusses zur Fortgeltung von Einwilligungen des Düsseldorfer Kreises aus der Sitzung vom 13./14. September 2016. Dabei werden für die weitere Vorgehensweise Arbeiten der Artikel-29-Gruppe an Leitlinien zum Thema Einwilligung sowie die Möglichkeit zur Information in einem Kurzpapier der DSK zu Einwilligungen unter der DS-GVO berücksichtigt. Die Mehrheit der Teilnehmer ist dafür, den vorgeschlagenen Beschluss nicht zu fassen. Stattdessen sollen Formulierungen zur Fortgeltung von Einwilligungen in ein Kurzpapier der DSK zum Thema Einwilligung aufgenommen werden. Im Anschluss daran kann dann die weitere Vorgehensweise hinsichtlich des Beschlusses vom 13./14. September 2016 festgelegt werden.

Ergebnis:      Der Düsseldorfer Kreis konkretisiert den Beschluss vom 13./14. September 2016 derzeit nicht. Nach Aufnahme von Informationen zur Fortgeltung von Einwilligungen in ein Kurzpapier der DSK und der Verabschiedung von Leitlinien der Artikel-29-Gruppe wird der Düsseldorfer Kreis bei Bedarf erneut zu dem Beschluss beraten.

 

 10     Verschiedenes

10.1   KMU-Sensibilisierung

Niedersachsen informiert über einen geplanten Informationstext für Kleinere und Mittlere Unternehmen (KMU). Auf Initiative von Niedersachsen beteiligen sich bisher Bremen, Hessen und NRW, weitere Behörden könnten dazukommen. Das Ergebnis kann von allen Behörden verwendet werden.

Ergebnis:      Der Düsseldorfer Kreis dankt Niedersachsen für das Angebot.

 

10.2   ¾-DS-GVO-Implementation

Bayern informiert über ein geplantes Online-Quiz, in dem spielerisch 28 Fragen zur DS-GVO-Umsetzung beantwortet werden können und bewertet werden. Das Quiz wird auf Deutsch, Englisch und Französisch angeboten und soll allen EU-Aufsichtsbehörden zur Verfügung gestellt werden.

Ergebnis:      Der Düsseldorfer Kreis dankt Bayern für das Angebot. Bayern bittet um Information, wer Interesse an dem Quiz hat. Die Fragen werden vorab zur Verfügung gestellt. Es besteht die Möglichkeit, technische Fragen für die Einbindung in Internetseiten zu klären.

 

10.3   Verpflichtung von Beschäftigten

Bayern informiert über ein geplantes Papier zur Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO. Im Rahmen des BDSG 2017 wird die Regelung des bisherigen § 5 BDSG zwar nicht fortgeführt, so dass eine Verpflichtung auf das Datengeheimnis nicht zwingend vorgeschrieben ist. Dennoch ist eine Verpflichtung mit Blick auf die DS-GVO zu empfehlen.

Ergebnis:      Der Düsseldorfer Kreis dankt Bayern für das Angebot. Bayern stellt das Papier im Rahmen der Datenschutzkonferenz zur Verfügung mit der Frage, wer sich daran beteiligen möchte.

 

10.4   Prüfung der Verschlüsselung von Websites

Bayern informiert über die dortige Pressemitteilung, in der eine Prüfung der Verschlüsselung von Websites angeboten wird. Das Software-Tool, mit dem die Prüfung durchgeführt wird, wird in den nächsten Monaten weiter entwickelt und dann anderen interessierten Aufsichtsbehörden für die eigene Anwendung zur Verfügung gestellt.

Ergebnis:      Bayern bietet an, dass Aufsichtsbehörden eine Liste mit URLs übersenden, die Bayern mit einem Software-Tool überprüft.

 

10.5   Verfahren für Online-Meldungen

Es findet ein Austausch über den Umsetzungsstand von einheitlichen Verfahren zu Meldungen nach Art. 33 und 37 Abs. 7 DS-GVO statt (Sitzung des Düsseldorfer Kreises vom 7. März 2017, TOP 9 und 10).

Ergebnis:      Bayern lädt zu einer Sitzung ein, in der Formulare für die folgenden Bereiche weiter entwickelt werden:

  • Meldung der Kontaktdaten von Datenschutzbeauftragten
  • Meldung von Verletzungen des Schutzes personenbezogener Daten
  • Beschwerden

 

10.6   Nächste Termine

Die nächsten Sitzungen des Düsseldorfer Kreises finden am 28. Februar/1. März 2018 und am 19./20. September 2018 statt.

 

Auswahl



Protokoll