ProtokollTreffenmitspezifischenAufsichtsbehrden_1iso-8859-1Q51020195FgeschwE4rzt2E

Dieses Dokument ist Teil der Anfrage „Protokolle zum Kontakt und Umgang mit spezifischen Datenschutzaufsichten

Vorsitz 2019 Landesbeauftragter für den Datenschutz und Informationsfreiheit Rheinland-Pfalz Mainz, 13.11.2019 Austausch mit den spezifischen Aufsichtsbehörden am 15.10.2019 in Mainz -Protokoll- TOP 01) Begrüßung Der Vorsitzende der Datenschutzkonferenz begrüßt die Teilnehmerinnen und Teilnehmer der spezifischen Aufsichtsbehörden sowie die Landesbeauftragten aus Sachsen, Niedersachsen, dem Saarland und Vertreter des Bundesbeauftragten. TOP 02) Aktuelles aus der Arbeit der Datenschutzkonferenz a) Ergebnisse der 3. Zwischenkonferenz 2019 Der Vorsitzende stellt die Ergebnisse der 3. Zwischenkonferenz 2019, die am 12.09.2019 in Mainz stattfand, vor. Im Einzelnen: -    Entschließung zur Digitalisierung der Verwaltung ohne Personenkennzeichen -    Beschluss zur verhaltensbasierten Werbung -    Beschluss über die Zuständigkeit bei E-Mail und anderen Over-the-Top-Diensten -    Beschluss zur Verantwortlichkeit in der Telematik-Infrastruktur b) Evaluierung der Datenschutz-Grundverordnung Der Vorsitzende stellt dar, dass das Thema am 9. und 10. Oktober 2019 im AK Grundsatz behandelt wurde. Hieran haben auch Teilnehmer der spezifischen Aufsichtsbehörden teilgenommen. Der Erfahrungsbericht zur Grundverordnung werde derzeit von den Kollegen des Bundes finalisiert und der 98. Datenschutzkonferenz, welche am 6. und 7. November tagt zur Annahme vorgelegt. c) Facebook-Fanpages Der Vorsitzende stellt dar, dass Schleswig-Holstein auf der zurückliegenden 3. Zwischenkonferenz über das Urteil des BVerwG vom 11.09. 2019 berichtete. Demnach seien Betreiber von Facebook Fanpages als Mit-Verantwortliche anzusehen. Die Reichweite der Verantwortlichkeit habe das Gericht jedoch offen gelassen. Facebook Fanpage-Betreiber seien aus Sicht des BVerwG „Türöffner für die Datenerhebung“. Eine Reduktion durch das Fashion-ID Urteil des EuGH sahen die Richter des BVerwG nicht. Eine Anordnung gegenüber Facebook Fanpage-Betreibern durch die zuständige Datenschutzaufsichtsbehörde sei laut BVerwG möglich und könne ein verhältnismäßiges Mittel darstellen.
Weiterhin berichtet der Vorsitzende über ein am 18.07.2019 in Hamburg stattgefundenes Gespräch mit Facebook. Entscheidende datenschutzrechtliche Fragestellungen konnten in dem Gespräch seitens Facebook jedoch nicht beantwortet werden, insbesondere sei mit Blick auf Art. 26 DS-GVO keine überarbeitete Fassung des derzeitigen „Addendums“ vorgelegt worden. Eine solche sei von Facebook für Oktober angekündigt worden. Zudem sei als Reaktion auf die aktuelle EuGH- Rechtsprechung ein separates Addendum für Social Plugins vorgesehen. NDR berichtet ebenfalls über ein mit Facebook im Februar dieses Jahres stattgefundenes Gespräch. Ziel sei es hierbei eine förmliche Vereinbarung in Bezug auf Fanpages zu erzielen. Der BfDI führt aus, dass die Ressorts seitens des BfDI angeschrieben wurden, was dazu führte, dass das Bundespresseamt in selbiger Angelegenheit mittels einer eigens hierfür angelegten Taskforce Gespräche mit Facebook führe. Es erfolgt ein Austausch über den Inhalt einer möglichen Vereinbarung mit Facebook d) Microsoft Windows 10 Der Vorsitzende stellt dar, dass der AK-Technik derzeit zwei Papiere bezüglich Windows 10 finalisiere. Ein Papier zur „datenschutzrechtlichen Bewertung von Microsoft Windows 10 Enterprise im Telemetrielevel Security“ sowie ein „Prüfschema zum datenschutzkonformen Einsatz von Windows 10“. Beide Papiere sollen zur 98. Datenschutzkonferenz vorgelegt werden. Weiterhin sei der AK-Grundsatz mit der Klärung der Frage beauftragt worden, welche Möglichkeiten der öffentlichen Positionierung zur Datenschutzkonformität kommerzieller Produkte, die von verantwortlichen Stellen eingesetzt und bei denen personenbezogene Daten durch den Hersteller verarbeitet werden, die Datenschutzkonferenz hat. Sachsen ergänzt, dass die Problematik der Cloud-Dienste bei vielen weiteren Produkten von Microsoft bestehe. Seinem Kenntnisstand zufolge solle Exchange 2019 die letzte serverbasierte Lösung darstellen. Hiernach solle es nur noch cloudbasierte Dienste geben. Die Problematik sei deshalb auch bereits Thema im IT-Planungsrat. Dort untersuch man bereits Alternativen. Evangelischen Kirche Deutschland und                          Katholischen Datenschutzzentrum fügen hinzu, dass in der Praxis oftmals MS Office 365 und der hierdurch auf die Verantwortlichen entstehende wirtschaftliche Druck Probleme bereite. Cloud-basierte Lösungen seien im Regelfall deutlich günstiger. Die Evangelische Kirche habe deshalb eine Entschließung zu dem Thema verfasst. SWR ergänzt, dass eine ähnliche Problematik ebenfalls bei SAP vorliege. TOP 03) Austausch zum Konzept der Datenschutzkonferenz zur Bemessung von Bußgeldern Der Vorsitzende stellt dar, dass das Bußgeldkonzept der DSK am 14.10.2019 von den deutschen Vertretern neben Ideen aus anderen Mitgliedsstaaten in einer Untergruppe der EDSA-Taskforce „Fining“      thematisiert wird. Die Untergruppe soll aus verschiedenen Überlegungen der Mitgliedsstaaten einen Vorschlag zur weiteren Entwicklung von EDSA-Leitlinien für die Taskforce erarbeiten. Eine Veröffentlichung des deutschen Konzeptes sei für den 16.10.2019, dem Tag nach der Konferenz, vorgesehen. Sachsen ergänzt, dass es sich bei dem Konzept um ein Hilfsmittel der Aufsichtsbehörden gegenüber Gerichten und weiteren Instanzen handle. Dabei orientiere sich das Konzept an Regelungen des 2
Kartellrechts. Es handle sich jedoch lediglich um ein erstes vorläufiges Konzept und um kein endgültiges Schema. TOP 04) Aktuelles aus der Arbeit der spezifischen Aufsichtsbehörden NDR führt aus, dass die Themen Facebook Fanpages und Produkte von Microsoft ebenfalls die Rundfunkdatenschutzbeauftragten beschäftige. Weitere Themen mit denen sich die Rundfunkdatenschutzbeauftragten beschäftigen seien insbesondere: -    Verhängung von Bußgeldern -    Fragen der Anfertigung/Veröffentlichung von Bildaufnahmen -    Auskunftsansprüche und deren Umfang. Hierbei komme es oftmals im Bereich des Beitragseinzuges zu Pauschal-Auskunftsansprüchen -    Strukturen und Verfahren der Aufsicht im öffentlichen Rundfunk vangelischen Kirche erläutert, dass die Evangelische Kirche ähnliche Themen wie die der Datenschutzaufsichtsbehörden des Bundes und der Länder beschäftige. Zudem gäbe es eine weitere Konsolidierung der Aufsicht im Evangelischen Bereich. Es sei beabsichtigt, die Aufsicht über Kirchen und Diakonien weiter zu konsolidieren. So hätten bereits 16 der 20 Landeskirchen sowie 9 Diakonische Landesverbände ihre Aufsicht übertragen. Seitens der Evangelischen Kirche wurde ferner eine Hilfestellung für das Erstellen eines Verarbeitungsverzeichnisses veröffentlicht. Die darüber hinaus neu eingeführte Verpflichtung zur Meldung von Datenschutzverletzungen laufe gut an. In diesem Zusammenhang stellt                   dar, dass oftmals eine Meldung einer Datenschutzverletzung aufgrund des Verlustes von mobilen Endgeräten oder dem Versand von Faxschreiben an falsche Empfänger erfolge. Neben der Hilfestellung für das Erstellen eines Verarbeitungsverzeichnisses seien seitens der Evangelischen Kirche bereits etwa 40 weitere Hilfestellungen und Orientierungshilfen erstellt worden. Zudem befände sich derzeit ein Konzept zur effektiven Datenschutzkontrolle in der Erstellung. Aufgrund der Vielzahl der zu kontrollierenden Stellen (15.000 Kirchengemeinden, 20 Landeskirchen und 33.000 Diakonische Einrichtungen) handle es sich hierbei jedoch um eine enorme Herausforderung. Katholischen Datenschutzzentrum stellt dar, dass die Aufsichtsstruktur gleichgeblieben sei. So werde die Aufsicht über die 27 deutschen Bistümer von fünf Aufsichtsbehörden wahrgenommen. Er weist darauf hin, dass seitens der Katholischen Kirche erste Bußgelder verhängt wurden und stellt überdies dar, dass zum eigenen Datenschutzrecht auch ein eigenes Datenschutzgericht errichtet wurde. Dort seien bereits die ersten Verfahren durchgeführt worden. Bayerischen Landeszentrale für neue Medien stellt dar, dass derzeit eine größere technische Untersuchung zu HBTV vorbereitet werde. Weiterhin werde derzeit eine Orientierungshilfe für Anbieter von Telemedien erstellt. In der Praxis komme es zudem oftmals zu Fragen über die Auswirkungen des Brexit sowie der Reichweite des Medienprivilegs. TOP 05) Sachstand         zu   regelmäßigen    Informationen    des   EDSA   an    die   spezifischen Aufsichtsbehörden Der BfDI stellt dar, dass Die Europäische Kommission im Plenum ausgeführt habe, dass die spezifischen Aufsichtsbehörden sämtliche Kriterien der Art. 51 ff. DS -GVO erfüllen müssen und der Informationstausch bei entsprechender Bejahung problemlos erfolgen könne, ihr über die staatlichen Aufsichtsbehörden von Bund und Ländern jedoch keine weiteren Aufsichtsbehörden in Deutschland bekannt bzw. entsprechende Vorschriften von Deutschland nicht notifiziert worden 3
seien. Der BfDI habe diesbezüglich Kontakt unter Hinweis auf die Liste der aufgrund der DS-GVO bei der KOM notifizierten Vorschriften mit dem BMI aufgenommen und um Klärung gegenüber der KOM gebeten. Landesanstalt für Medien NRW trägt vor, dass sie durch diesen Sachverhalt unmittelbar betroffen sei und bittet künftig um rechtzeitige Beteiligung – mindestens jedoch um Unterrichtung. Der Vorsitzende dankt dem BfDI. TOP 06) Formen der Zusammenarbeit zwischen der Datenschutzkonferenz und den spezifischen Aufsichtsbehörden Der Vorsitzende dankt dem Teilnehmerkreis für das Interesse an Arbeitskreisen der DSK mitzuwirken. Einige der anwesenden Teilnehmer seien dem Angebot der DSK gefolgt. So habe am AK Grundsatz teilgenommen. Die Teilnahme an weiteren Arbeitskreisen sei jederzeit möglich. Über eine Teilnahme entscheide der jeweilige Vorsitz. Die anwesenden Rundfunkdatenschutzbeauftragten danken noch einmal für die Bereitschaft zur Öffnung der Arbeitskreise auch für Mitglieder der RDSK. Unabhängig davon, dass dies zumindest derzeit nur im Rahmen eines Gaststatus geschehe, sei jedoch eine inhaltliche Befassung mit den in einem AK erörterten Themen nur dann sinnvoll möglich, wenn rechtzeitig vorher die Tagesordnung bekannt sei und – zumindest für alle unmittelbar relevanten Tagesordnungspunkte, gegebenenfalls auf Anforderung – die Beratungsunterlagen vorab zur Verfügung gestellt würden. Hierzu bittet der Vorsitzende, dies bei Bedarf direkt mit den jeweiligen AK-Vorsitzen zu klären. TOP 07) Zwischenstand zur Rückmeldung der Religionsgemeinschaften auf die Aufforderung der Datenschutzkonferenz Der Vorsitzende erläutert, dass bislang keine Meldungen eingegangen sein. Das Saarland stellt in diesem Zusammenhang dar, dass am Tag der Konferenz eine Rückmeldung einer Religionsgemeinschaft eingegangen sei und derzeit geprüft werde, ob die sich meldende Stelle als spezifische Aufsichtsbehörde qualifiziert werden könne. TOP 08) Bericht über den aktuellen Stand der Überlegungen zur Adaption des SDM im kirchlichen Betrieb Evangelischen Kirche stellt dar, dass derzeit geprüft werde, ob das Standard- Datenschutzmodell ebenfalls für die Kirche adaptiert werden könne. Der Vorsitzende weist in diesem Zusammenhang darauf hin, dass derzeit an Version 2.0 des Standard- Datenschutzmodells gearbeitet werde. TOP 09) Datenschutz-Folgenabschätzung – Überlegungen zur Unterstützung der Verantwortlichen atholischen Datenschutzzentrum möchte in Erfahrung bringen, ob es seitens der Landesbeauftragten Hilfestellungen zu dem neu geschaffenen Instrument der Datenschutz- Folgenabschätzung gibt. Sachsen fügt hierzu an, dass es das Standard-Datenschutzmodell und das Webtool des LDA Bayern gäbe. Der Vorsitzende weist darauf hin, dass für die anstehende Sitzung der Datenschutzkonferenz        eine     Übersicht      der     Publikationen      der    Unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder erstellt werde. Diese werde man den spezifischen Aufsichtsbehörden gerne zukommen lassen. 4
TOP 10) Sonstiges ./. 5