Vorsitz 2019 Landesbeauftragter für den Datenschutz und Informationsfreiheit Rheinland-Pfalz Mainz, 20. Mai 2019 Mainz, 29.07.2019 Austausch mit den spezifischen Aufsichtsbehörden am 21.05.2019 in Mainz -Protokoll- TOP 01) Begrüßung Der Vorsitzende der Datenschutzkonferenz begrüßt die Teilnehmerinnen und Teilnehmer der spezifischen Aufsichtsbehörden sowie die Landesbeauftragten aus Hessen, Sachsen-Anhalt, dem Saarland und Vertreter des Bundesbeauftragten. Er erläutert den Beschluss der Datenschutzkonferenz, wonach künftig ein regelmäßiger Austausch                    zwischen den Landesbeauftragten und den spezifischen Aufsichtsbehörden stattfinden solle. Anlage 1: Teilnehmerliste TOP 02) Aktuelles aus der Arbeit der Datenschutzkonferenz Der Vorsitzende berichtet über die Ergebnisse der zurückliegenden 97. Datenschutzkonferenz Anfang April auf dem Hambacher Schloss. Im Einzelnen zu den Punkten: -    Evaluierung der DS-GVO -    Datenschutzrechtliche Anforderungen an KI-Lösungen -    Beschäftigtendatenschutz (Personalvertretung) -    Facebook-Fanpages -    Microsoft (Windows 10, Office 365) -    Benennung von Datenschutzbeauftragten nach Art. 37 DS-GVO (aktuelle Gesetzgebungsverfahren) -    Anwendbarkeit des TMG (OH für Anbieter von Telemedien), Sachstand ePrivacy-Verordnung Der Vorsitzende lädt die spezifischen Aufsichtsbehörden zudem dazu ein, sich aktiv an der Evaluierung der Datenschutz-Grundverordnung zu beteiligen. TOP 03) Aktuelles aus der Arbeit der spezifischen Aufsichtsbehörden vom Norddeutschen Rundfunk berichtet als aktueller Sprecher der Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten , dass die Akkreditierung von Journalisten bei Sportgroßereignissen und die damit einhergehenden Datenerhebungen vermehrt zu Beschwerden und Beratungsanfragen führen. Das Thema Facebook-Fanpages und der

Gesetzesentwurf zum neuen Datenaustauschverbesserungsgesetz führten zudem vermehrt zu Anfragen. Er stellt dar, dass vorgesehen sei, eine Konferenz der Rundfunkdatenschutzbeauftragten zu konstituieren. Auf Nachfrage des Vorsitzes nach bislang getroffenen Maßnahmen berichten die teilnehmenden Institutionen, dass zum derzeitigen Zeitpunkt kein abgeschlossenes Bußgeldverfahren existiere. Die Anzahl an Beschwerden, Beratungsanfragen und Datenpannen sei hingegen seit dem 25.05.2018 kontinuierlich bei allen anwesenden spezifischen Aufsichtsbehörden drastisch gestiegen. vom Südwestrundfunk berichtet, dass sich ein Großteil der Beschwerden auf den Beitragsservice beziehe und oftmals aus dem Umfeld von Reichsbürgern stamme. Insgesamt habe sich die Zahl der Beschwerden vervierfacht.          .       stellt zudem dar, dass die GEZ derzeit über etwa 220 Auftragsverarbeitungs-Verträge verfüge und ein Muster-AV Vertrag auf europäischer Ebene zur Entlastung vieler Stellen beitragen könne. (Datenschutzbeauftragter der meisten Landeskirchen der Evangelischen Kirche Deutschland) stellt dar, dass zunächst die Beratung im Fokus stehe und der neu zur Verfügung stehende Bußgeldrahmen in Höhe von 500.000 € die Sensibilität für den Datenschutz erkennbar erhöht habe, bislang jedoch noch nicht zum Einsatz gekommen sei. Der Vorsitz weist in diesem Zusammenhang darauf hin, dass im Arbeitskreis „Sanktionen“ der Datenschutzkonferenz ein Konzept für die Bemessung von Bußgeldern erarbeitet worden sei, dass im Juni mit der Taskforce „Fining“ des Europäischen Datenschutzausschusses abgestimmt werde. Seitens der Evangelischen Kirche gäbe es zudem Bestrebungen die datenschutzrechtliche Aufsicht, auch die der Landeskirchen, zu zentralisieren. Hierin hätten bereits 16 von insgesamt 20 Landeskirchen in der Bundesrepublik eingewilligt. Auf Ebene der einzelnen kirchlichen Einrichtungen solle es örtliche Datenschutzverantwortliche geben. der Bayerischen Landesmedienanstalt stellt dar, dass sich die Anzahl an Beschwerden, Datenpannen und Beratungsanfragen auf ein kaum noch zu handhabendes Maß erhöht habe. Prüfungen hätten in wenigen Fällen stattgefunden, Sanktionsmaßnahmen seien noch nicht verhängt worden. Insgesamt zeigten die Verantwortlichen große Bereitschaft zur Verständigung. Katholischen Datenschutzzentrum stellt dar, dass sich die Anzahl von Beratungsanfragen, Beschwerden und Datenpannen stark erhöht habe. Ein Bußgeld sei bislang noch nicht verhängt worden, einige Verfahren befänden sich jedoch in Bearbeitung. Die Katholische Kirche habe eine eigene Datenschutzgerichtsbarkeit aufgebaut. Deutschen Presserat stellt dar, dass sich häufig die Frage stelle, ob eine Beschwerde einen Datenschutzverstoß betreffe oder nach dem Pressekodex zu bewerten sei. Insgesamt hätte die Zahl der Beschwerden in 2018 den bisher zweithöchsten Stand erreicht. Auf Nachfrage des Vorsitzes stellt sie dar, dass zu einer Überarbeitung des Pressekodex aktuell keine Überlegungen existierten. (LfDI Rheinland-Pfalz) weist darauf hin, dass nach dem rheinland-pfälzischen Landesmediengesetz bei Presseorganen, die sich nicht dem Kodex des Deutschen Presserats unterworfen haben, die Zuständigkeit des Landesbeauftragten gegeben sei. In diesen Fällen sei die DS-GVO nur sehr eingeschränkt anwendbar, zugleich greife aber auch der Pressekodex nicht. Im 2

Ergebnis unterlägen die betroffenen Stellen daher geringeren Datenschutzanforderungen als reguläre Presseorgane. In der Praxis läge eine solche Situation z.B. bei Bloggern vor. TOP 04) Begriff der Betroffenheit in § 18 BDSG Der Vorsitzende weist auf die weiterhin bestehenden unterschiedlichen Auffassungen zur Auslegung des Begriffs der spezifischen Betroffenheit hin.                         führt hierzu aus, dass der Datenschutzkonferenz kein Alleinvertretungsanspruch zukomme. Er äußert den dringenden Wunsch, Themen gemeinsamen Interesses im Vorfeld zu besprechen bzw. dabei einbezogen zu werden. (Der Rundfunktdatenschutzbeauftragte) betont, dass die hier vertretenen "spezifischen" Aufsichtsstellen rechtlich ebenso unabhängig seien wie die staatlichen. Aus dem Begriff "spezifisch" könne dabei nicht hergeleitet werden, dass eine Zusammenarbeit nur dann stattzufinden habe, wenn es um "spezifische" Fragen gehe; vielmehr müsse sich eine solche auf sämtliche Themen beziehen, mit denen sich parallel sowohl die staatlichen wie auch die "spezifischen" Aufsichtsstellen befassten. Insoweit gehe es nicht nur darum, divergierende aufsichtsrechtliche Bewertungen nach Möglichkeit zu vermeiden, sondern auch um einen wechselseitigen know-how-Transfer. Eine engere Zusammenarbeit ziele dabei aus seiner Sicht nicht notwendig von vornherein auf eine gemeinsame Beschlussfassung; mindestens müsse es aber die Möglichkeit geben, relevante Gesichtspunkte einzubringen. Der gegenseitige Austausch solle daher sukzessive ausgebaut werden. Die anwesenden spezifischen Aufsichtsbehörden tragen vor, dass sie sich aufgrund der aus ihrer Sicht bestehenden Betroffenheit eine Beteiligung am Entstehungsprozess von Beschlüssen, Entschließungen und weiteren Papieren der Datenschutzkonferenz wünschen. Der Vorsitzende bietet den spezifischen Aufsichtsbehörden deshalb an, sich an Arbeitskreisen der Konferenz mit einem Gaststatus zu beteiligen. Hierzu sollten die jeweiligen Vorsitze der Arbeitskreise angesprochen werden. Er verweist hierzu auf die entsprechende Übersicht                  auf der Webpräsenz der Datenschutzkonferenz (https://www.datenschutzkonferenz-online.de/ak.html). TOP 05) Aufforderung zur Bekundungen von Weltanschauungs- und Glaubensgemeinschaften zu Art. 91 DS-GVO Der BfDI stellt die vom AK-Grundsatz erarbeitete Aufforderung zur Bekundung von Weltanschauungs- und Glaubensgemeinschaften im Hinblick auf Art. 91 DS-GVO dar. Es handele sich hierbei um einen Aufforderungstext, der von dem Bundesbeauftragten und den Landesbeauftragten auf deren jeweiliger Webpräsenz vorgehalten werden solle. Hierdurch sollen mögliche (weitere) Weltanschauungsgemeinschaften nach Art. 91 DS-GVO, die der DSK derzeit noch nicht bekannt seien, aufgefordert werden, sich bei der jeweils zuständigen Datenschutzaufsichtsbehörde zu melden; diese nehme anschließend eine Prüfung vor, ob die Anforderungen nach Art. 91 DS-GVO vorliegen. Sollten diese vorliegen, werde die jeweilige spezifische Aufsichtsbehörde künftig ebenfalls zu dem regelmäßigen Austausch eingeladen. Die Teilnehmer sind sich in diesem Zusammenhang einig, dass es sich bei Art. 91 DS-GVO um einen Bestandsschutz handelt, d.h. die betroffene Weltanschauungs- oder Glaubensgemeinschaft muss bereits vor dem 25.05.2016 ein Datenschutzrecht besessen haben. 3

weist in diesem Zusammenhang auf die Vereinigung Evangelischer Freikirchen hin. (LfDI Hessen) regt an, den dargestellten Text in der Homepage der Datenschutzkonferenz aufzunehmen. TOP 06) Sachstand          zu   regelmäßigen    Informationen   des   EDSA  an    die  spezifischen Aufsichtsbehörden Der BfDI berichtet darüber, dass seitens der Beauftragten von Bund und Ländern beraten wurde, ob und wie den spezifischen Aufsichtsbehörden vertrauliche und/oder nicht vertrauliche Dokumente des Europäischen Datenschutzausschusses (EDSA)zur Verfügung gestellt werden könnten. Das Sekretariat des EDSA sei in diesem Zusammenhang gebeten worden, ein entsprechendes Gutachten zu erstellen. Sobald hierzu ein Ergebnis vorliege, würden die spezifischen Aufsichtsbehörden unterrichtet. TOP 07) Formen der Zusammenarbeit vom Südwestrundfunk bemängelt, dass bislang vom BfDI keinerlei Informationen, Einladungen oder Papiere des EDSA an die Rundfunkdatenschutzbeauftragten weitergeleitet wurden. Der Hinweis auf die Homepage sei schon deshalb nicht ausreichend, da dort höchstens die Tagesordnung, aber keine Sitzungsunterlagen oder Papiere, die noch zu beraten sind, zu finden sind. Der Vorsitzende stellt die Überlegungen seitens des LfDI RLP und der DSK über eine mögliche Zusammenarbeit mit den spezifischen Aufsichtsbehörden dar. Diese umfassen insbesondere die nachfolgenden Möglichkeiten: -    Regelmäßiger Austausch -    Gegenseitige Information -    Teilnahme an Arbeitskreisen der DSK -    Listen: Expert Groups, Arbeitskreise der DSK -    Aufbau eines E-Mail-Verteilers Als Ergebnis des Treffens wird von dem LfDI Rheinland-Pfalz ein E-Mail Verteiler eingerichtet. Hierüber sollen den spezifischen Aufsichtsbehörden regelmäßig Informationen zugeleitet werden. Des Weiteren stellt der Vorsitz den Teilnehmern eine Übersicht der Expert Groups des EDSA einschließlich der dortigen deutschen Vertretungen sowie eine Übersicht der Arbeitskreise der Konferenz mit den Kontaktdaten der jeweiligen Vorsitze zur Verfügung. Eine Teilnahme an Sitzungen der Arbeitskreise der Datenschutzkonferenz soll jeweils bilateral mit dem jeweiligen Vorsitz abgestimmt werden.                     (LfD Sachsen-Anhalt) weist in diesem Zusammenhang darauf hin, dass die Struktur und Verfahrensweise der Arbeitskreise mit Blick auf die unterschiedlichen Sitzungsrhythmen der EDSA Expert Groups (monatlich) und DSK-Arbeitskreise (2 x jährlich) derzeit geprüft werde. 4

TOP 8) Sonstiges Der Vorsitzende schlägt als nächsten Termin für einen Austausch mit den spezifischen Aufsichtsbehörden den 15.10.2019 vor. Das Treffen soll erneut im Abgeordnetenhaus in Mainz stattfinden. Der Vorsitzende bittet                   Norddeutschen Rundfunk, die Datenschutzkonferenz zu benachrichtigen, sobald sich die Rundfunkdatenschutzkonferenz konstituiert hat. Mit Blick auf die Gegenseitigkeit des Austauschs gibt er der Erwartung         Ausdruck, dass die spezifischen Aufsichtsbehörden die Datenschutzkonferenzüber relevante Entwicklungen in Ihrem Bereich informieren. 5