Düsseldorfer Kreis am 28. Februar / 1. März 2018

Protokoll: Protokoll des Düsseldorfer Kreises am 28. Februar / 1. März 2018 in Düsseldorf

Inhaltsverzeichnis

  1. Organisatorisches/Tagesordnung
  2. Ergebnisniederschrift der letzten Sitzung
  3. CoC der Versicherungswirtschaft
  4. Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressentinnen
  5. Muster einer Belehrung über den Datenschutz
  6. Übermittlung von E-Mail-Adressen durch Onlineversandhändler an Postdienstleister
  7. DSB-Bestellpflicht aufgrund von Art. 37 Abs. 1 lit. c DS-GVO bei Arztpraxen, Apotheken und anderen Gesundheitsberufen
  8. Aufzeichnung von Telefongesprächen
  9. Gemeinsame Positionen
  10. Kontrollverfahren - Amazon Logistik Winsen GmbH
  11. Querschnittsprüfung nach der DS-GVO
  12. Einmeldung offener und unbestrittener Forderungen
  13. Stichproben-Prüfung der Autowerkstätten
  14. Verschiedenes
    1. Anfrage Forschungs-Interview des Fraunhofer-Instituts für System- und Innovationsforschung
    2. Interne Regelungen zur Informationspflicht nach Art. 13/14 DS-GVO
    3. Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DS-GVO außerhalb des Journalismus
    4. Nächster Termin

Verzeichnis der Anlagen

Anlage 1 Tagesordnung
Anlage 2 Teilnahmeliste
Anlage 3 Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft" (Stand: 28.02.2018)
Anlage 4 Orientierungshilfe "Einholung von Selbstauskünften bei Mietinteressentinnen" (Version 0.6., Stand: 30.01.2018)
Anlage 5 DSB-Bestellpflicht aufgrund von Art. 37 Abs. 1 lit. c DS-GVO bei Arztpraxen, Apotheken und anderen Gesundheitsberufen
Anlage 6 Aufzeichnung von Telefongesprächen
Anlage 7 Übersicht Sachstand Aktualisierung der gemeinsamen Positionen des Düsseldorfer Kreises (Stand: 27.02.2018)
Anlage 8 Mahnung durch Computeranruf
Anlage 9 Keine fortlaufenden Bonitätsauskünfte an den Versandhandel
Anlage 10 Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien
Anlage 11 Kontaktloses Bezahlen
Anlage 12 Einmeldung offener und unbestrittener Forderungen?

1 Organisatorisches/Tagesordnung

Die Tagesordnung wird in der Fassung der Anlage 1 beschlossen.

2 Ergebnisniederschrift der letzten Sitzung

Der Düsseldorfer Kreis genehmigt die Ergebnisniederschrift der Sitzung vom 12./13. Oktober 2017.

3 CoC der Versicherungswirtschaft

Berlin führt als zuständige Genehmigungsbehörde entsprechend der TOP-Anmeldung in den Sachstand zu den Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft (CoC Versicherungswirtschaft) ein. Der zur Beschlussfassung vorgelegte Entwurf enthält bislang keine Verfahrensregelungen zur Überwachung der Verhaltensregeln (Art. 40 Abs. 4 DS-GVO). Sofern diese ergänzt werden müssten, müsste der GDV vorab seine Gremien informieren. Die von einzelnen Aufsichtsbehörden geäußerte Kritik an dem zur Beschlussfassung vorgelegten CoC sei nicht nachvollziehbar, angesichts des erforderlichen und vertretbaren Kompromisses und der Tatsache, dass die Kritik erst nach Abschluss der intensiven Verhandlungen zwischen GDV, Bundesverband der Verbraucherzentralen und der AG Versicherungswirtschaft geäußert wurde.

Der Antrag auf Genehmigung des CoC Versicherungswirtschaft werde in Kürze erwartet.

Schleswig-Holstein als Vorsitz der AG Versicherungswirtschaft schlägt vor, dass der zur Beschlussfassung vorgelegte Entwurf des CoC Versicherungswirtschaft in dessen Art. 4 Abs. 1 S. 2 um das Wort "angemessene" ergänzt wird ("Dabei werden angemessene Maßnahmen getroffen,…"). Diese Ergänzung verdeutlicht vor dem Hintergrund des Art. 32 DS-GVO die erforderliche Einzelfallabwägung.

Der Vorsitz des Düsseldorfer Kreises nimmt diesen TOP zum Anlass, um über den Sachstand der Bemühungen um einen Kompromiss der Aufsichtsbehörden mit dem Verband "Die Wirtschaftsauskunfteien e.V." (DW) zur Abfassung von Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien (CoC Prüf-/ Löschfristen) zu berichten. Dabei kündigt er an, dass ein überarbeiteter CoC-Entwurf der DSK in Kürze zur Abstimmung im Umlaufverfahren vorgelegt werde.

Baden-Württemberg erklärt, dem CoC Versicherungswirtschaft angesichts des Umstandes zustimmen zu können, dass der Bundesverband der Verbraucherzentralen keine Einwände gegen den Entwurf erhoben hat. Rheinland-Pfalz hingegen erklärt, sich bei der Abstimmung wegen der bereits im Vorfeld geäußerten grundlegenden Bedenken zu enthalten.

BfDI berichtet, dass der AK Grundsatz einstimmig beschlossen hat, dass ein Kontrollverfahren im Sinne von Art. 40 Abs. 4 DS-GVO vorgesehen werden muss, um einer Stelle nach Art. 41 Abs. 1 DS-GVO eine Überwachung der Verhaltensregeln zu ermöglichen; eine Verpflichtung zur Einrichtung einer Stelle nach Art. 41 Abs. 1 DS-GVO besteht nicht; die Entscheidung darüber, ob eine und ggf. welche akkreditierte Stelle eingerichtet wird, trifft insoweit der vorlegende Verband. Eine Vorlage dieses Beschlusses zur Befassung in der DSK sei nicht geplant.

Zu folgenden zwei Fragen wird ein Meinungsbild herbeigeführt:

1. Muss ein CoC Regelungen zum Überwachungsverfahren nach Art. 40 Abs. 4 DS-GVO entsprechend der Empfehlung des AK Grundsatzes enthalten?

Abstimmungsergebnis: 15 : 1 (BE) : 1 (MV)

2.Wie positionieren sich die Aufsichten zu dem Entwurf eines CoC Versicherungswirtschaft in der Fassung vom 28.2.2018?

Abstimmungsergebnis: 16 : 0 : 1 (RP)

Ergebnis

  1. Der Düsseldorfer Kreis stimmt dem Entwurf "Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft" (Stand: 28.02.2018) (Anlage 3) vorbehaltlich einer Ergänzung im Sinne der Ziffer 2 mehrheitlich zu.
  2. Der Düsseldorfer Kreis spricht sich mehrheitlich dafür aus, die Verhaltensregeln um Verfahrensvorgaben zur Überwachung (Art. 40 Absatz 4 DS-GVO) zu ergänzen, wobei eine Verpflichtung zur Einrichtung einer Stelle nach Art. 41 Absatz 1 DS-GVO nicht besteht. Die Entscheidung darüber, ob eine und gegebenenfalls welche akkreditierte Stelle eingerichtet wird, trifft insoweit der vorlegende Verband. Die Eckpunkte der inhaltlichen Ausgestaltung der Verfahrensvorgaben zur Überwachung werden durch Berlin, Schleswig-Holstein und Nordrhein-Westfalen formuliert.
  3. Der Vorsitz des Düsseldorfer Kreises wird den Entwurf inklusive der Eckpunkte der inhaltlichen Ausgestaltung der Verfahrensregelungen dem DSK-Vorsitz mit der Bitte um Abstimmung im Umlaufverfahren zuleiten.

4 Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressentinnen

Schleswig-Holstein führt entsprechend der TOP-Anmeldung in den Sachstand ein.

Der in Anlage 4 beigefügte Entwurf der Orientierungshilfe "Einholung von Selbstauskünften bei Mietinteressentinnen" (Version 0.6., Stand: 30.01.2018) wurde in der Sitzung der Sonder-AG "OH Mietauskünfte" am 30.01.2018 unter den anwesenden Aufsichtsbehörden einstimmig angenommen und sodann dem Düsseldorfer Kreis zugeleitet.

Schleswig-Holstein als federführende Aufsichtsbehörde für die Überarbeitung dieser Orientierungshilfe entsprechend des DSK-Auftrags bedankt sich bei den Aufsichtsbehörden für ihre intensive Mitarbeit insbesondere im schriftlichen Vorverfahren.

Ergebnis

  1. Der Düsseldorfer Kreis beschließt die Orientierungshilfe zur "Einholung von Selbstauskünften bei Mietinteressentinnen" (Stand: 30.01.2018) gemäß Anlage 4.
  2. Der Vorsitz des Düsseldorfer Kreises wird die Orientierungshilfe dem DSK-Vorsitz mit der Bitte um Abstimmung im Umlaufverfahren zuleiten.

5 Muster einer Belehrung über den Datenschutz

In der Sitzung des Düsseldorfer Kreises am 12./13. Oktober 2017 (TOP 10.3) hatte LDA Bayern über ein geplantes Papier zur Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO informiert. Im Rahmen des BDSG 2018 wird die Regelung des § 5 BDSG zwar nicht fortgeführt, so dass eine Verpflichtung auf das Datengeheimnis nicht zwingend vorgeschrieben ist. Dennoch ist eine Verpflichtung mit Blick auf die DS-GVO zu empfehlen.

Es besteht Uneinigkeit, ob eine Notwendigkeit hierzu besteht und ob ein solches Dokument einheitlich sein muss. Mehrheitlich wird es als sinnvoll erachtet. Die Erstellung eines Musters für die Belehrung über den Datenschutz soll deshalb analog zum Verfahren über die Erstellung von Kurzpapieren der Datenschutzkonferenz erfolgen.

Ergebnis

  1. Der Düsseldorfer Kreis unterstützt den Vorschlag zur Entwicklung eines Musters für eine datenschutzrechtliche Belehrung von Mitarbeiterinnen und Mitarbeitern von Verantwortlichen (und gegebenenfalls von Externen) zur Erfüllung der Nachweispflichten nach Art. 5 Abs. 2 DS-GVO.
  2. Er bittet NRW und LDA Bayern die Erstellung eines Musters zu initiieren und der Datenschutzkonferenz entsprechend dem Kurzpapier-Verfahren vorzulegen.

6 Übermittlung von E-Mail-Adressen durch Onlineversandhändler an Postdienstleister

LDA Bayern führt entsprechend seiner TOP-Anmeldung in die Thematik ein.

Berlin und Hessen sehen keine Notwendigkeit dafür, die Übermittlung von E-Mail-Adressen durch Online-Händler an Postdienstleister nur bei Vorliegen einer Einwilligung des Kunden für zulässig zu erachten.

Die Abstimmung über den Beschlussvorschlag ergibt folgendes Ergebnis:

15 : 1 (HE) : 1 (BE).

Ergebnis

  1. Der Düsseldorfer Kreis beschließt mehrheitlich:
    Die Übermittlung von E-Mail-Adressen durch Onlinehändler an Postdienstleister ist nur bei Vorliegen einer Einwilligung der Kunden in eben diese Übermittlung rechtmäßig. Die Praxis hat gezeigt, dass es vielen Onlinehändlern möglich ist, die Zustellinformationen selbst an den Kunden weiterzugeben bzw. einen Link zur Sendungsverfolgung in die eigene Bestellbestätigung einzubinden. Dies stellt jedenfalls eine objektiv zumutbare Alternative dar. Aus dem gleichen Grund wird auch die Erforderlichkeit im Rahmen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f DS-GVO verneint.
  2. Der Vorsitz des Düsseldorfer Kreises wird den Beschluss dem DSK-Vorsitz mit der Bitte um Abstimmung im Umlaufverfahren zuleiten.

7 DSB-Bestellpflicht aufgrund von Art. 37 Abs. 1 lit. c DS-GVO bei Arztpraxen, Apotheken und anderen Gesundheitsberufen

LDA Bayern führt entsprechend seiner TOP-Anmeldung in die Thematik ein.

Ärzte, Angehörige sonstiger Gesundheitsberufe und andere Berufsgeheimnisträger stellen derzeit vermehrt Anfragen zur Bestellpflicht von Datenschutzbeauftragten.

Maßgeblich bei der Frage der Benennungspflicht sind die in Art. 37 Abs. 1 lit. c DS-GVO aufgeführten Kriterien. Die DS-GVO definiert nicht wann eine "umfangreiche" Verarbeitung vorliegt. Anhaltspunkte ergeben sich aus EG 91 Satz 1. EG 91 Satz 4 stellt in Bezug auf einen einzelnen Angehörigen eines Gesundheitsberufs die Regelvermutung auf, dass keine umfangreiche Verarbeitung vorliegt, soweit Patientendaten in dem für die Berufsausübung erforderlichen Umfang verarbeitet werden.

Einigkeit besteht dahingehend, dass die Adressaten praxisgerechte Lösungen benötigen, um die Umsetzung der DS-GVO gewährleisten zu können. Uneinigkeit besteht über die entsprechende Konkretisierung.

Ziffer 2 der TOP Anmeldung Variante 2 vom 24.01.2018 geht davon aus, dass bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufes, die zu mehreren in einer Praxis zusammengeschlossen sind oder ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, selten von einer Pflicht zur Benennung eines Datenschutzbeauftragten auszugehen ist, wenn weniger als 10 Personen mit der Datenverarbeitung beschäftigt sind.

Als Ergebnis der Diskussion wir im Text "selten" durch "in der Regel nicht" ersetzt. Mehrheitlich wird es als hilfreich angesehen, weitere Kriterien zu benennen, um den Rechtsanwendern mehr Klarheit zu geben. Als weitere Kriterien kommen in Betracht: Definition von atypischen Fällen, Hinweis auf den Stand der Technik, Abstimmung etwa mit der Ärztekammer, Schwellenwerte über Fallzahlen zu einem durchschnittlichem Arzt-Patientenverhältnis.

Der AK Gesundheit wird gebeten, Kriterien im Sinne der Ziffer 2 des Beschlusses zu erstellen.

Eine Definition von "Gesundheitsberufen" geben weder die DS-GVO, noch das deutsche Recht vor. Allgemein werden darunter alle die Berufe zusammengefasst, die im weitesten Sinne Gesundheitsdienstleistungen erbringen. Im deutschen Recht wird der Kreis der Berufsgeheimnisträger durch § 203 Abs. 1 StGB definiert.

Ein entsprechender Vorschlag von NRW, die Regelvermutung der in EG 91 S. 4 explizit genannten Berufsgruppen auf alle in § 203 Abs. 1 StGB genannten Berufsgruppen zu erweitern und damit vor allem Notare, Steuerberater und Wirtschaftsprüfer als entsprechende Berufsgruppen in die Privilegierung mit einzubeziehen wurde nicht aufgegriffen.

Ergebnis

Vor diesem Hintergrund fasst der Düsseldorfer Kreis einstimmig den Beschluss "DSB-Bestellpflicht aufgrund von Art. 37 Abs. 1 lit. c DS-GVO bei Arztpraxen, Apotheken und anderen Gesundheitsberufen" gemäß Anlage 5.

Der Vorsitz des Düsseldorfer Kreises wird den Beschluss an den Arbeitskreis Gesundheit und Soziales weiterleiten, mit der Bitte um Erstellung und Konkretisierung von Kriterien im Sinne der Ziffer 2 des Beschlusses.

8 Aufzeichnung von Telefongesprächen

LDA Bayern führt entsprechend seiner TOP-Anmeldung in die Thematik ein.

Ergebnis

  1. Der Düsseldorfer Kreis beschließt einstimmig mit einer Enthaltung (Bremen) den Beschluss zur Zulässigkeit der Aufzeichnung von Telefongesprächen nach der Datenschutz-Grundverordnung (DS-GVO) Anlage 6.
  2. Der Vorsitz des Düsseldorfer Kreises wird den Beschluss dem DSK-Vorsitz mit der Bitte um Abstimmung im Umlaufverfahren zuleiten.

Der Düsseldorfer Kreis bittet den AK Beschäftigtendatenschutz um einen Vorschlag, welche Anforderungen in diesem Zusammenhang aus Sicht des Beschäftigtendatenschutzes zu stellen sind.

9 Gemeinsame Positionen

NRW berichtet auf der Grundlage der als Tischvorlage (Anlage 7) ausgehändigten Aktualisierung der Auftragsliste über den Sachstand der Umsetzung durch den Düsseldorfer Kreis. Die ersten überarbeiteten Positionen wurden von der AG Auskunfteien sowie der AG Kreditwirtschaft vorgelegt. Der Auftrag des damaligen DSK-Vorsitzenden zur Aktualisierung der gemeinsamen Positionen betrifft alle Arbeitsgremien der DSK. Die Aufsichtsbehörden werden gebeten, dies in ihren Häusern nochmals zu kommunizieren.

Der Düsseldorfer Kreis dankt der AG Auskunfteien sowie der AG Kreditwirtschaft für die vorgelegten aktualisierten Beschlüsse.

Ergebnis

  1. Der Düsseldorfer Kreis nimmt den Bericht von NRW zur Kenntnis.
  2. Er bittet die Vorsitzenden der Arbeitsgremien zur nächsten Sitzung über den Stand der gemäß dem Auftrag des DSK-Vorsitzenden aus der Sonder-DSK vom 31.05.2016 (TOP 3.1) erfolgten Aktualisierungen der Befassungen des Düsseldorfer Kreises zu berichten.
  3. Der Düsseldorfer Kreis fasst einstimmig die Beschlüsse
    • "9.1 "Mahnung durch Computeranruf" (Stand: 28.02.2018) - Anlage 8
    • "9.2 "Keine fortlaufenden Bonitätsauskünfte an den Versandhandel" (Stand: 28.02.2018) - Anlage 9
    • "9.3 "Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien" (Stand: 28.02.2018) - Anlage 10
    • "9.4 "Kontaktloses Bezahlen" (Stand: 28.02.2018) - Anlage 11
  4. Der Vorsitz des Düsseldorfer Kreises wird die unter Ziffer 3. genannten Beschlüsse dem DSK-Vorsitz mit der Bitte um Abstimmung im Umlaufverfahren zuleiten.

10 Kontrollverfahren - Amazon Logistik Winsen GmbH

Niedersachsen und NRW stellen den Sachstand zu den derzeitigen Prüfverfahren dar. An die rechtlich selbständigen Logistik-/Versandzentren in den beiden Ländern sind Auskunftsersuchen gerichtet worden; erste Stellungahmen liegen vor. Geantwortet hatte jeweils die Amazon Deutschland Service GmbH (Deutschland-Zentrale) für alle Logistik-/Versandzentren mit Sitz in München. Niedersachsen hat eine Ortsbesichtigung im Logistikzentrum in Winsen an der Luhe durchgeführt. Zentrale Prüfpunkte sind mögliche Leistungs- und Verhaltenskontrollen der Beschäftigten durch den Einsatz von Handscannern, Robotern und Kameras.

Niedersachsen bzw. NRW haben an die Amazon Deutschland Service GmbH ergänzende Fragen zu den genannten technischen Systemen, Zuständigkeiten im Amazon Konzern sowie Datenübermittlungen in Länder außerhalb der EU/des EWR (Drittländer) gerichtet. Die Antworten stehen noch aus.

In der anschließenden Diskussion zur Frage der Zuständigkeit werden folgende Aspekte angesprochen:

  • LDA Bayern zweifelt an der grenzüberschreitenden Verarbeitung von Daten und betont, dass zu klären sei, wo die Amazon-Hauptniederlassung sei und wo die Entscheidungen für die Zwecke und Mittel der Datenverarbeitung gemäß Art. 4 Abs. 7 DS-GVO getroffen würden; hieraus ergebe sich die Behördenzuständigkeit.
  • Zur grenzüberschreitenden Verarbeitung von Daten weist NRW darauf hin, dass laut Amazon Datenspeicherungen in Irland erfolgen.
  • BfDI weist darauf hin, dass bei Entscheidungen in Luxemburg mit Auswirkungen auf die Datenverarbeitung in Deutschland ein grenzüberschreitender Datenverkehr stattfinde und somit das Abstimmungsverfahren nach Art. 60 DS-GVO durchzuführen sei.
  • Im Ergebnis wird zu klären sein, welche Stellen bei Amazon (Hauptsitz in Seattle/USA, Europazentrale in Luxemburg) als datenschutzrechtlich Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen sind, d. h. wo welche Entscheidungen über Zwecke und Mittel der Datenverarbeitung getroffen werden, wo die Hauptniederlassung im Geltungsbereich der DS-GVO nach § 40 Abs. 2 BDSG 2018 i. V. m. Art. 4 Nr. 16 DS-GVO liegt.
  • Denkbar ist, dass für jede einzelne Datenschutzfrage gesondert zu prüfen sein wird, wer jeweils Verantwortlicher im Sinne Art. 4 Nr. 7 DS-GVO ist; z. B. könnte über Videokameraeinstellungen vor Ort in Niedersachsen der Nordrhein-Westfalen entschieden werden, über Grundsatzangelegenheiten hingegen am Deutschlandsitz in München oder in der möglichen Hauptniederlassung Luxemburg.

LDA Bayern wirft zudem die Frage auf, ob gemäß § 40 Abs. 2 Satz 3 BDSG-neu i. V. m. § 3 Abs. 3 und 4 VwVfG bei Änderungen der die Zuständigkeit begründenden Umstände im Lauf des Verwaltungsverfahrens, die Zuständigkeit auf eine andere Behörde übergehen solle. Einige der sich zu dieser Frage äußernden Aufsichtsbehörden vertreten die Auffassung, dass in laufenden Fällen die bislang zuständigen Behörden auch weiterhin zuständig bleiben sollen.

Ergebnis

Der Düsseldorfer Kreis nimmt die Berichte von Niedersachsen und NRW zur Kenntnis.

11 Querschnittsprüfung nach der DS-GVO

Niedersachsen informiert über seine Planung, zeitnah nach Anwendung der DS-GVO im Mai 2018 eine Querschnittsprüfung bei ca. 40 bis 60 Unternehmen durchführen zu wollen.

Bayern plant noch vor dem 25. Mai 2018 eine "Drei-Viertel-Sensibilisierung". Ziel ist die Unternehmen kurz vor Anwendung der DS-GVO zum verstärkten Umsetzungshandeln anzuhalten. Es werden ca. 150 Unternehmen mit ca. 10 Fragen kontaktiert (5 technisch-organisatorische Fragen, 5 rechtliche Fragen).

Berlin hat intern eine Projektgruppe zur Durchführung von Prüfungen nach der DS-GVO gebildet. Diese berät darüber, ob und wie Berlin seine Prüfungskonzepte modernisieren wird. Eine umfassende Überprüfung einzelner Unternehmen habe sich dort als weniger praktikabel erwiesen, so dass zukünftig punktuelle Prüfungen ohne längere anschließende Schriftwechsel mit den geprüften Unternehmen avisiert seien.

Saarland plant eine Querschnittsprüfung zu einem späteren Zeitpunkt (frühestens im Oktober 2018) bei ca. 30 - 40 Unternehmen.

Ergebnis

Der Düsseldorfer Kreis nimmt die Berichte zur Kenntnis.

12 Einmeldung offener und unbestrittener Forderungen

NRW führt entsprechend seiner TOP-Anmeldung in die Thematik ein.

Der Beschlussvorschlag "Einmeldung offener und unbestrittener Forderungen in eine Wirtschaftsauskunftei unter Geltung der DS-GVO" wurde unter den anwesenden Aufsichtsbehörden in der AG Auskunfteien (Sitzung vom 29.01.2018) erarbeitet, dort einstimmig angenommen und sodann dem Düsseldorfer Kreis zugeleitet.

Ergebnis

  1. Der Düsseldorfer Kreis fasst mit einer Enthaltung (Baden-Württemberg) den Beschluss "Einmeldung offener und unbestrittener Forderungen in eine Wirtschaftsauskunftei unter Geltung der DS-GVO" (Stand 28.02.2018) - Anlage 12.
  2. Der Vorsitz des Düsseldorfer Kreises wird den Beschluss dem DSK-Vorsitz mit der Bitte um Abstimmung im Umlaufverfahren zuleiten.

13 Stichproben-Prüfung der Autowerkstätten

Hessen erläutert den mit seiner TOP-Anmeldung vorgelegten Bericht. NRW und Niedersachsen erklären, dass über die Prüfung der Kfz-Vertragshändler die Hersteller zu mehr Transparenz angehalten werden sollen. Mit dieser Werkstattprüfung sowie den seit ca. drei Jahren laufenden Gesprächen mit den Autoherstellern und dem Verband der Automobilindustrie (VdA) sollen die Hersteller weiter zur Beachtung datenschutzrechtlicher Anforderungen in und bei dem Gebrauch von Fahrzeugen angehalten werden.

Ergebnis

  1. Der Düsseldorfer Kreis nimmt den Bericht von Hessen zur Kenntnis.
  2. Er befürwortet, dass in einem weiteren Schritt der Vorsitzende des AK Verkehr an den Zentralverband Deutsches Kraftfahrzeuggewerbe e. V. (ZDK) und den Bundesverband Freier Kfz-Händler e. V. (BVfK) herantreten und die von der Stichprobenprüfung betroffenen Autohersteller zur Datenübermittlung befragen wird.
  3. Der Düsseldorfer Kreis empfiehlt der Datenschutzkonferenz, die Prüfergebnisse im Rahmen einer abgestimmten Pressearbeit zu veröffentlichen.

14 Verschiedenes

14.1 Anfrage Forschungs-Interview des Fraunhofer-Instituts für System- und Innovationsforschung

Das Fraunhofer-Institut für System- und Innovationsforschung hat mehrere Aufsichtsbehörden zu einem Forschungs-Interview zum Thema "Governance nach der DSGVO" angefragt. Mehrheitlich besteht derzeit kein Interesse an der Teilnahme an dem Interview.

Ergebnis

Der Düsseldorfer Kreis bittet den Vorsitz dem Fraunhofer Institut zu antworten.

14.2 Interne Regelungen zur Informationspflicht nach Art. 13/14 DS-GVO

Auf Nachfrage Hamburgs berichtet BfDI über die Erarbeitung eines entsprechenden Papiers durch die Datenschutzbeauftragten der Bundesministerien.

14.3 Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DS-GVO außerhalb des Journalismus

Auf Nachfrage Hamburgs erfolgt ein Meinungsaustausch zur Umsetzung der Informationspflichten nach der DS-GVO.

14.4 Nächster Termin

Die nächste Sitzung ist für den 19./20. September 2018 vorgesehen.

Auswahl



Protokoll