[datensicherheit.de, 28.03.2025] Die Vorsitzende der Datenschutzkonferenz 2025, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, geht in ihrer Stellungnahme vom 27. März 2025 auf die jüngste Sitzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) ein: Demnach wurden unter dem Leitmotiv „Grundrechte wahren“ Forderungen an die künftige Bundesregierung beschlossen.

Abbildung: DSK

DSK: Forderungskatalog der 109. Sitzung

DSK-Engagement für eine freiheitliche und grundrechtsorientierte digitale Zukunft

Die DSK hat laut Kamp auf ihrer 109. Sitzung am 26. und 27. März 2025 in Berlin zentrale Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft beschlossen:

Die künftige Bundesregierung müsse die Digitalisierung in Europa voranbringen und eine „menschenzentrierte Datennutzung sicherstellen“, heißt es in dem neuen DSK-Papier.

Forderungen und Empfehlungen der DSK an die neue Bundesregierung:

1. Gesetzgebungsprojekte zur Novellierung des Bundesdatenschutzgesetzes und zum Beschäftigtendatenschutz finalisieren
   Für das Bundesdatenschutzgesetz fordert die Datenschutzkonferenz unter anderem eine zentrale Zuständigkeitsregelung bei bundesweiten Sachverhalten und die Institutionalisierung der DSK mit einer Geschäftsstelle. Wichtige Aspekte eines Beschäftigtendatenschutzgesetz seien Regelungen zum Einsatz von algorithmischen Systemen am Arbeitsplatz und zu den Grenzen der Verhaltens- und Leistungskontrolle.
2. Systematische Grundrechtechecks bei der Fortentwicklung der modernen Sicherheitsarchitektur durchführen
   Die zunehmende Nutzung von Gesichtserkennung, automatischen Datenanalysen und Künstlicher Intelligenz (KI) durch Sicherheitsbehörden erfordere eine grundrechtssensible und verfassungskonforme Gesetzgebung. Die nächste Bundesregierung müsse daher systematisch die Vereinbarkeit neuer Sicherheitsgesetze mit den Grundrechten prüfen und dabei die Rechtsprechung des Bundesverfassungsgerichts sowie die europäische Gesetzgebung beachten.
3. Bessere Abstimmung von EU-Digitalrechtsakten und DSGVO
   Die DSK sieht erheblichen Verbesserungsbedarf bei der Harmonisierung europäischer Digitalrechtsakte wie KI-Verordnung und Data Act mit der Datenschutz-Grundverordnung (DSGVO). Ein kohärenter Rechtsrahmen sei essenziell für die Rechtssicherheit und den effektiven Grundrechtsschutz.
4. Produktive Rahmenbedingungen für KI, Forschung und Innovation im Einklang mit dem Datenschutz gesetzgeberisch gestalten
   Viele innovative Vorhaben in Wirtschaft, Verwaltung und Politik könnten mithilfe von Daten und KI vorangebracht werden. Dabei müssten die Rechte derjenigen gewahrt bleiben, um deren Daten es geht. Die DSK fordert die Schaffung gesetzlicher Regelungen für Forschung und KI-Entwicklung sowie unabhängige Aufsichtsstrukturen und behördlich kontrollierte Reallabore.
5. DSK-Kriterien für Souveräne Clouds berücksichtigen und Datenschutzcockpit ausbauen
   Die DSK appelliert an die Bundesregierung, die von ihr aufgestellten Kriterien für sogenannte Souveräne Clouds zu berücksichtigen und das „Datenschutzcockpit“ zur Kontrolle und Transparenz der Datenverarbeitung weiter auszubauen. Eine moderne Verwaltung müsse Digitale Souveränität und Datenschutz gleichermaßen gewährleisten.

DSK fordert verpflichtenden Grundrechte-Check für Sicherheitsgesetze

Kamp betont: „Datenschutz ist ein zentrales Fundament der Demokratie und Basis für freie Meinungsäußerungen und politische Teilhabe. Datennutzung und Datenschutz müssen Hand in Hand gehen!“ Angesichts der Debatte in den Koalitionsverhandlungen um neue Befugnisse für die Sicherheitsbehörden zum Einsatz von Gesichtserkennung, anlassloser Vorratsdatenspeicherung und automatisierter Datenanalyse fordert die Datenschutzkonferenz eine klare Grenze:

• Mehr Befugnisse dürften nicht auf Kosten der Grundrechte gehen. Die künftige Bundesregierung sei daher dringend aufgefordert, bei der Erweiterung polizeilicher und nachrichtendienstlicher Befugnisse „grundrechtssensibel und verfassungskonform zu handeln“. Nur so ließen sich Sicherheit und Freiheit in einer digitalen Gesellschaft in Einklang bringen.

„Unser Appell an die künftige Bundesregierung: Wir brauchen klare gesetzliche Vorgaben für den Datenschutz in der Arbeitswelt, eine bessere Abstimmung europäischer Digitalgesetze und einen verpflichtenden Grundrechte-Check für Sicherheitsgesetze!“ Die Förderung innovativer Technologien wie Künstlicher Intelligenz (KI) müsse im Einklang mit unseren Werten gestaltet werden. „Für die Modernisierung der Verwaltung braucht es Digitale Souveränität und Datenschutz gleichermaßen“, stellt Kamp klar.

Sonstige Ergebnisse der 109. DSK-Sitzung

• Die Landesdatenschutzaufsichtsbehörden, die formelle Verfahren gegen das hinter „ChatGPT“ stehende Unternehmen OpenAI eingeleitet hatten, hätten sich auf die Einstellung und Abgabe der Verfahren an die irische Datenschutzaufsicht festgelegt.
• Die umfangreichen Erkenntnisse aus dem Prüfverfahren, welche den Entwicklungsstand von „ChatGPT“ im Jahr 2023 adressierten, würden der irischen Data Protection Commission (DPC) für deren weitere Arbeit zur Verfügung gestellt.
• Die DSK habe sich außerdem verständigt, die Zusammenarbeit mit der Bundesnetzagentur im Rahmen der Durchsetzung des „Digital Services Act“ durch eine schlanke Kommunikationsstruktur zu unterstützen.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 26.03.2025
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 26. März 2025 / Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft

DSK DATENSCHUTZKONFERENZ, 11.05.2023
Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 11. Mai 2023 / Kriterien für Souveräne Clouds / Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 11. Mai 2023

Bundesministerium des Innern und für Heimat
Registermodernisierung / Datenschutzcockpit

datensicherheit.de, 08.01.2025
Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025 / Berliner Datenschutzbeauftragte sieht u.a. Anonymisierung und Pseudonymisierung als Schwerpunkte

[datensicherheit.de, 04.04.2022] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht nach eigenen Angaben wegen des „facebook“-Auftritts der Hamburger Behörden auf den Senat zu. Diese Nutzung durch eigene Auftritte, sog. „facebook“-Fanpages, stoße seit Jahren auf rechtliche Bedenken. Bereits 2018 hatte der EuGH demnach entschieden, dass eine gemeinsame datenschutzrechtliche Verantwortlichkeit von Anbietern dieser „facebook“-Fanpages und des Providers Facebook selbst besteht.

facebook-Fanpages mit problematischer Rechtslage

Verstöße von Facebook gegen das Europäische Datenschutzrecht seien daher auch den Seitenbetreibern zuzurechnen: Dies seien vor allem die Speicherung von und der Zugriff auf Daten in den Geräten der Nutzer ohne wirksame Rechtsgrundlage und fehlende Informationen.

„Anlässlich des Urteils des OVG Schleswig vom 25. November 2021, das einen jahrelangen Rechtsstreit abgeschlossen hatte, hat die Datenschutzkonferenz (DSK) ein Kurzgutachten zu der aktuellen Situation und der datenschutzrechtlichen Konformität des Betriebs von ,facebook‘-Fanpages erstellt, das die insofern problematische Rechtslage bestätigt.“

Hamburger Senatskanzlei über datenschutzrechtliche Problematik informiert

Die Datenschutzbeauftragten der Länder und des Bundes hätten beschlossen, die jeweiligen obersten Bundes- und Landesbehörden über das Kurzgutachten der DSK zu informieren, über die Rechtslage aufzuklären und auf eine Deaktivierung der Seiten durch die betroffenen Behörden hinzuwirken, „soweit Nachweise für die datenschutzrechtliche Konformität der Fanpage-Nutzung nicht gelingen“.

Der HmbBfDI habe bereits in der letzten Woche die Senatskanzlei der Freien und Hansestadt Hamburg dementsprechend informiert.

Weitere Informationen zum Thema:

DSK, Taskforce Facebook‐Fanpages, 18.03.2022
Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages

datensicherheit.de, 02.07.2018
facebook-Fanpages: Datenschutz-Mitverantwortung der Organisationen / Rechtsexperten des Forschungsverbunds „Forum Privatheit“ beleuchten langfristige Auswirkungen des EuGH-Urteils

datensicherheit.de, 01.11.2013
facebook-Fanpages: ULD legt Berufung gegen Urteil des Verwaltungsgerichtes Schleswig ein / Musterverfahren soll verbindliche Klärung der datenschutzrechtlichen Frage herbeiführen

[datensicherheit.de, 23.12.2021] In seiner aktuellen Mitteilung berichtet der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine neue Fassung der „Orientierungshilfe zu Telemedien“ veröffentlicht hat. Das Papier bietet demnach für Websites, Apps oder „Smarthome“-Anwendungen konkrete Hilfestellungen bei der Umsetzung der neuen Vorschriften des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). Zudem vermittele diese Orientierungshilfe betroffenen Bürgern ein besseres Bild der rechtlichen Rahmenbedingungen. Damit reagierten die Aufsichtsbehörden auf die veränderte Rechtslage – seit dem 1. Dezember 2021 regele das TTDSG unter anderem den Schutz der Privatsphäre bei der Nutzung von Telemedien.

In der Orientierungshilfe Kriterien für Fälle, in denen Speichern und Auslesen von Informationen unbedingt erforderlich sind

Prof. Dr. Dieter Kugelmann, LfDI RLP, sieht nach eigenen Angaben die erfolgten Rechtsänderungen als „überfällig“ an: „Eine angepasste gesetzliche Regelung war an der Zeit, um klare Verhältnisse zu schaffen. Aus ihr ergeben sich insbesondere Auswirkungen auf den Einsatz von Cookies und ähnlichen Technologien zur Erfassung des Nutzungsverhaltens. Mit dem TTDSG hat der Bundesgesetzgeber nach über einem Jahrzehnt Verzögerung nunmehr die Vorgaben der europäischen ,ePrivacy-Richtlinie‘ in nationales Recht umgesetzt.“
Das TTDSG fordere „grundsätzlich eine Einwilligung der Nutzerinnen und Nutzer, wenn Informationen auf deren Endeinrichtungen gespeichert werden oder auf solche Informationen zugegriffen wird“. Ausnahmen von diesem Einwilligungserfordernis seien begrenzt auf Fälle, „in denen das Speichern und Auslesen der Informationen unbedingt erforderlich ist, damit ein ausdrücklich gewünschter Telemediendienst zur Verfügung gestellt werden kann“. In der „Orientierungshilfe“ fänden sich dazu entsprechende Kriterien.

Hinweise in neuer Orientierungshilfe zur Weiterverarbeitung personenbezogener Daten gemäß DSGVO

„Bei der Prüfung, ob ausnahmsweise eine Einwilligung entbehrlich ist, ist allerdings zu beachten, dass die Voraussetzungen hierfür sich vom Kriterium des berechtigten Interesses nach der Datenschutz-Grundverordnung (DSGVO) unterscheiden,“ so Kugelmann. Eine Interessenabwägung alleine nach der DSGVO erfülle nicht automatisch die engen Voraussetzungen des TTDSG. Zur Umsetzung der neuen Rechtslage sei es daher beispielsweise nicht ausreichend, „wenn lediglich die Bezeichnungen der Rechtsgrundlagen in einer Datenschutzerklärung ausgetauscht werden“.
Seit dem 1. Dezember 2021 fänden für das Speichern und Auslesen von Informationen auf bzw. aus Endgeräten die strengeren Vorschriften des TTDSG nunmehr Anwendung. Für die anschließende Weiterverarbeitung der so erhobenen personenbezogenen Daten gälten weiterhin die Vorschriften der DSGVO. „Auch hierzu finden sich einige Hinweise in der neuen ,Orientierungshilfe‘.“

Zeitnah soll auch englische Fassung der Orientierungshilfe zur Verfügung stehen

Stellen, welche Websites betreiben, oder Apps und andere Telemedien anbieten, sollten die Verwendung von sogenannten Cookies und anderen Technologien daher dringend überprüfen. „Insbesondere sind die genaue Ausgestaltung der Technologien und deren Notwendigkeit einer Revision zu unterziehen. Zeitpunkt, Art und Dauer der Speicherung sowie die nachgelagerte Datenverarbeitung müssen den rechtlichen Anforderungen entsprechen.“ Dazu solle die nun vorliegende „Orientierungshilfe“ eine Hilfestellung geben, so Professor Kugelmann.
Mit Blick auf entsprechende Angebote von außerhalb Deutschlands sei geplant, zeitnah auch eine englische Fassung dieser „Orientierungshilfe“ zur Verfügung zu stellen. Des Weiteren werde ein öffentliches Konsultationsverfahren zu der vorgelegten „Orientierungshilfe“ durchgeführt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2020
Datenschutzkonferenz: Digitale Souveränität der öffentlichen Verwaltung beeinträchtigt

DSK DATENSCHUTZKONFERENZ, 20.12.2021
Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021)

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz, 15.12.2021
Willkommen bei „Datenfunk“, dem Podcast des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz / Folge 014: Ein bunter Teller voller Plätzchen – Cookies, Banner und das neue TTDSG

[datensicherheit.de, 01.04.2021] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf die Debatte auf europäischer Ebene zum sogenannten Impfpass ein: „Es wird etwa diskutiert, ob und inwieweit der Besuch eines Restaurants oder eines Konzerts davon abhängig gemacht werden kann, dass die Besucherinnen und Besucher eine erfolgte Anti-,Corona‘-Impfung oder eine überstandene Infektion nachweisen.“ Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) habe hierzu nun eine Entschließung veröffentlicht – aus Sicht der Datenschützer sollte der Bund „ein auf die konkrete pandemische Lage bezogenes, zeitlich befristetes Bundesgesetz“ vorlegen.

Impfpass würde besonders sensible Informationen beinhalten

Der LfDI RLP, Prof. Dieter Kugelmann, stellt klar: „Ob Menschen geimpft worden sind oder ob sie schon eine ,Covid-19‘-Infektion überstanden haben, sind besonders sensible Informationen. Mit solchen Daten muss besonders sorgfältig umgegangen werden und es muss rechtlich gesichert sein, in welchen Zusammenhängen die Daten preisgegeben, verarbeitet und gespeichert werden dürfen.“
Die größte Klarheit besteht demnach, wenn auf Bundesebene ein entsprechendes Gesetz verabschiedet wird. So könnten eine Reihe aufwändiger und zeitraubender Einzelfallprüfungen im Hinblick auf das Vorliegen informierter Einwilligungen vermieden werden, so Professor Kugelmann.

Gesetz zum Impfpass müsste strengen Vorgaben des Artikels 9 Absatz 2 DSGVO genügen

In Beschluss der DSK heiße es daher: „Um dies zu vermeiden und für die Datenerhebung und -verarbeitung im privatwirtschaftlichen Bereich Rechtsklarheit, Rechtssicherheit und eine einheitliche Lösung zu erreichen, bedarf es nach Ansicht der DSK einer auf die konkrete pandemische Lage bezogenen, zeitlich befristeten gesetzlichen Regelung.“
Hierin sei klar und transparent zu regeln, „wer, von wem und unter welchen Voraussetzungen Impfdaten, Testergebnisse, Nachweise zu einer überstandenen Infektion und andere Gesundheitsdaten im privatwirtschaftlichen Kontext nutzen darf“. Dabei müsse das Gesetz den strengen Vorgaben des Artikels 9 Absatz 2 DSGVO genügen. Die DSK fordere den Gesetzgeber auf, „kurzfristig ein entsprechendes Gesetzgebungsverfahren in die Wege zu leiten“.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 29.03.2021
Entschließung: „Coronavirus: Impfnachweis, Nachweis negativen Testergebnisses und Genesungsnachweis in der Privatwirtschaft und im Beschäftigungsverhältnis gehören gesetzlich geregelt!“

[datensicherheit.de, 01.03.2021] Laut einer aktuellen Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) warnt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) „eindringlich vor der Verabschiedung des Registermodernisierungsgesetzes in der derzeitigen Fassung“. Dieses Gesetz sehe den Einsatz der Steuer-Identifikationsnummer (Steuer-ID) als zentrales Ordnungsmerkmal in der öffentlichen Verwaltung vor, um den Datenaustausch zwischen Behörden zu erleichtern. Nachdem schon der Bundestag Ende Januar 2021 das Gesetz angenommen habe, sei nun die abschließende Beratung im Bundesrat vorgesehen.

Erstellung umfassender Persönlichkeitsprofile: LfDI moniert Möglichkeiten des Missbrauchs

Die Datenschutzkonferenz habe bereits 2019 und 2020 erhebliche verfassungsrechtliche Bedenken geäußert. Durch die Schaffung eines solchen einheitlichen und verwaltungsübergreifenden Personenkennzeichens – auch in Verbindung mit einer entsprechenden Infrastruktur zum Datenaustausch – bestehe die „Gefahr einer missbräuchlichen Verknüpfung personenbezogener Daten und der Erstellung umfassender Persönlichkeitsprofile“.
Prof. Dieter Kugelmann, der LfDI, führt aus: „Wenn das Gesetz in der vorliegenden Form umgesetzt wird, könnten sich staatliche Stellen ein äußerst aufschlussreiches Persönlichkeitsprofil ihrer Bürgerinnen und Bürger schaffen. Dies eröffnet Möglichkeiten des Missbrauchs, etwa durch einzelne, externe Personen oder aufgrund von Hacker-Angriffen. In Zeiten der Pandemie und der rasch voranschreitenden Digitalisierung muss es aber darum gehen, Vertrauen zu schaffen und nicht Ängste zu schüren. Das zentrale Ziel muss sein, dass die Verwaltung schnell, effektiv und datenschutzgerecht funktioniert. Die Alternative sind bereichsspezifische Lösungen.“

Im Gesetzentwurf vorgesehenen technischen und organisatorischen Sicherungen genügen laut LfDI nicht

Das Bundesverfassungsgericht habe der Einführung von Personenkennzeichen enge Schranken auferlegt, welche in dem vorliegenden Gesetzentwurf missachtet würden. Der Blick auf den Anwendungsumfang der geplanten Regelung zeige das Potenzial der möglichen missbräuchlichen Verwendung. In über 50 Registern solle die Steuer-ID als zusätzliches Ordnungsmerkmal aufgenommen werden. Auf diese Weise könnten beispielsweise Daten aus dem Melderegister mit Daten aus dem Versichertenverzeichnis der Krankenkassen sowie dem Register für ergänzende Hilfe zum Lebensunterhalt abgeglichen und zu einem Persönlichkeitsprofil zusammengefasst werden.
Die im Gesetzentwurf vorgesehenen technischen und organisatorischen Sicherungen genügten nicht, um eine solche Profilbildung wirksam zu verhindern. Diese stellten zwar sicher, dass nur autorisierte Behörden die erforderlichen Daten Ende-zu-Ende-verschlüsselt übermittelten, allerdings böten sie keinen ausreichenden Schutz vor einer missbräuchlichen Zusammenführung der Daten zu einer Person aus unterschiedlichen Registern. Zudem verzichte das Gesetz für einen nicht unerheblichen Teil der Übermittlungen auch noch auf diese Sicherungen. Darüber hinaus sollten sich die Sicherheits- und Transparenzmaßnahmen des Gesetzesentwurfs auch auf den Steuerbereich erstrecken, in dem fortan ebenfalls das neue allgemeine Personenkennzeichen verwendet werde.

LfDI kritisiert ausgedehnte Verwendung der Steuer-ID als einheitliches Personenkennzeichen

Die ausgedehnte Verwendung der Steuer-ID als einheitliches Personenkennzeichen stehe zudem im Widerspruch zu ihrer ursprünglichen Funktion für rein steuerliche Sachverhalte: „Nur aufgrund dieser Zweckbestimmung konnte sie bislang als verfassungskonform angesehen werden.
Die Datenschutzkonferenz habe demgegenüber „sektorspezifische“ Personenkennziffern gefordert, die datenschutzgerecht und zugleich praxisgeeignet seien, weil sie einerseits einen einseitigen staatlichen Abgleich deutlich erschwerten und andererseits eine natürliche Person eindeutig identifizierten. Dieses Modell werde in Österreich seit vielen Jahren erfolgreich praktiziert und könnte auch in Deutschland mit vertretbarem Aufwand eingeführt werden, wie dies von mehreren Sachverständigen im Anhörungsverfahren des Bundestages am 14. Dezember 2020 dargelegt worden sei.

LfDI: Recht auf Informationelle Selbstbestimmung muss verlässlich gewährleistet sein

Gerade in Zeiten einer weitreichenden Digitalisierung staatlicher Verarbeitungsprozesse komme es darauf an, diese auf Strukturen aufzusetzen, die sicherstellten, dass auch bei gegebenenfalls veränderten Rahmenbedingungen das Recht auf Informationelle Selbstbestimmung verlässlich gewährleistet werde.
Die Datenschutzkonferenz appelliert nach eigenen Angaben „erneut an den Gesetzgeber, auf die geplante Neukonzeption der Steuer-ID als registerübergreifendes Personenkennzeichen zu verzichten“.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 26.08.2020
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Registermodernisierung verfassungskonform umsetzen!

DSK DATENSCHUTZKONFERENZ, 12.09.2019
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Digitalisierung der Verwaltungdatenschutzkonform und bürgerfreundlich gestalten!

[datensicherheit.de, 20.07.2018] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat am 20. Juli 2018 gemeldet, dass die neue Website der Datenschutzkonferenz (DSK) online gestellt wurde. Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder – ihre Aufgabe ist es, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Aktuelle Entschließungen, Orientierungshilfen und Kurzpapiere der DSK

Die DSK-Website „datenschutzkonferenz-online.de“ ist seit dem 19. Juli 2018 online – somit ist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mit einer eigenen Präsentation im Internet vertreten.
Auf dieser zentralen Informationsplattform sollen aktuelle Entschließungen, Orientierungshilfen und Kurzpapiere der DSK abrufbar sein, des Weiteren Verweise zu den Datenschutzgesetzen des Bundes und der Länder sowie deren Internet-Angeboten. Neue Inhalte könnten über einen RSS-Feed bezogen werden.

Zentraler Zugang zu datenschutzrelevanten Informationen

„Die Umsetzung der Datenschutz-Grundverordnung führt erkennbar zu einer Vielzahl von Auslegungsfragen“, so der LfDI RLP Prof. Dr. Dieter Kugelmann.
Um der von der Grundverordnung vorgesehenen einheitlichen Anwendung Rechnung zu tragen und den Verantwortlichen Handlungssicherheit zu geben, sei es unverzichtbar, die Positionen der deutschen Aufsichtsbehörden sowie die Entscheidungen des Europäischen Datenschutzausschusses zu kommunizieren. Die DSK-Website ergänze insoweit die vorhandenen Informations-Angebote der Datenschutzaufsichtsbehörden und schaffe einen zentralen Zugang zu datenschutzrelevanten Informationen.

Weitere Informationen zum Thema:

DSK
Datenschutzkonferenz

datensicherheit.de, 26.05.2018
Datenschutz-Grundverordnung seit 25. Mai 2018 geltendes Recht

datensicherheit.de, 29.01.2018
Dieter Kugelmann: Plädoyer für Souveränität in der digitalen Welt

datensicherheit.de, 02.05.2017
Dieter Kugelmann kritisiert sicherheits- und datenschutzrechtlichen Rundumschlag mit Folgen

[datensicherheit.de, 26.05.2018] In seiner Stellungnahme zum endgültigen Inkrafttreten der DSGVO weist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) auf einen ambitionierten Anspruch hin: Zum einen sollen für über 500 Millionen EU-Bürger stärkere Datenschutzrechte durchgesetzt werden, auf der anderen Seite soll der freie Verkehr personenbezogener Daten in einer der größten Volkswirtschaft der Welt weder eingeschränkt noch verboten werden.

Bewährungsprobe für die DSGVO

Die DSGVO müsse nunmehr beweisen, ob sie in diesem Spannungsverhältnis bestehen wird. Ein reformiertes Datenschutzrecht sei gerade in Zeiten von „Big Data“ und der Digitalisierung richtig und wichtig, um der Gefährdung der Freiheit der Menschen, über ihre Daten selbst zu bestimmen, entgegenzuwirken.
Im Rahmen der Verordnung müssten aber Vereine auch weiter ihre „unverzichtbaren gesellschaftlichen Aufgaben“ erfüllen und Unternehmen „wettbewerbsfähige Geschäftsmodelle der Zukunft“ entwickeln können.

Deutsches Datenschutzrecht weitgehend ersetzt

Die DSGVO ist nun „direkt anwendbares Recht und ersetzt damit weitgehend das deutsche Datenschutzrecht“. Nationale Regelungsspielräume bestünden nur noch in einem begrenzten Umfang. Das neue Bundesdatenschutzgesetz setze einzelne Regelungsaufträge der Verordnung um und schaffe ergänzende Vorschriften dort, wo Öffnungsklauseln der Verordnung es erlauben – es sei zeitgleich in Kraft getreten.
Die Verordnung erlaube es z.B., die Pflicht zur Benennung eines Datenschutzbeauftragte in nationalen Ausführungsgesetzen auf weitere Stellen auszudehnen. Der Bundesgesetzgeber habe diesen Regelungsspielraum im neuen Bundesdatenschutzgesetz genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragte dem in Deutschland bestehenden Status quo anzupassen.

Aufsichtsbehörden haben „Werkzeugkasten“ für Sanktionen

Im Vordergrund der Debatte stehen laut LDI NRW häufig die Befürchtungen, dass Verstöße gegen die Verordnung in Zukunft mit Geldbußen in Millionenhöhe geahndet werden können. Unerwähnt bleibe dabei oft, dass die Verordnung den Aufsichtsbehörden einen „Werkzeugkasten“ in die Hände gegeben habe, um jeden Einzelfall datenschutzrechtlicher Missstände angemessen zu beheben – Geldbußen seien darin nur eine von vielen Möglichkeiten. An erster Stelle steht die Beratung.
Auch von Sanktionen würden die Aufsichtsbehörden Gebrauch machen – jedoch mit Augenmaß. Für die konkrete Bestimmung der Höhe eines Bußgeldes werde eine Vielzahl von Aspekten einzubeziehen sein: „Art, Schwere und Dauer des Verstoßes, aber auch, ob und wie mit den Aufsichtsbehörden zusammengearbeitet wurde, um Verstößen abzuhelfen, und ob diese eigenständig mitgeteilt wurden.“

Europäischer Datenschutzausschuss und Datenschutzkonferenz

Die nationalen Datenschutzbehörden würden in einem neuen Format zusammenarbeiten: Der Europäische Datenschutzausschuss solle gewährleisten, dass die Rechtsauslegung europaweit vereinheitlicht wird. Im Einzelfall würden seine Entscheidungen verbindlich sein.
Die Datenschutzkonferenz werde in Deutschland auch in Zukunft schwerpunktmäßig praxisgerechte Auslegungs- und Anwendungsfragen zur Verordnung klären.

Die Vorsitzende der Datenschutzkonferenz, Helga Block (LDI NRW): „Die Forderungen an die Aufsichtsbehörden, Klarheit in strittige Auslegungs- und Anwendungsfragen der Datenschutz-Grundverordnung zu bringen, sind berechtigt. Diese Auslegungen stehen jedoch unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses.“

ePrivacy-Verordnung soll DSGVO präzisieren

Die DSGVO spreche viele Themen an, ohne sie explizit zu regeln. Insbesondere im Hinblick auf die elektronische Kommunikation solle die ePrivacy-Verordnung die Datenschutz-Grundverordnung präzisieren und ergänzen. Sie werde das deutsche Telekommunikationsgesetz und Telemediengesetz in der bisherigen Form teilweise ersetzen, bzw. werde auch hier eine Anpassung des deutschen Gesetzgebers notwendig sein.
Mit dem Inkrafttreten im Jahr 2018 sei jedoch nicht mehr zu rechnen. Die derzeit herrschenden Unklarheiten müssten schnell mit klaren Gesetzen beseitigt werden.

Weitere Informationen zum Thema:

LDI NRW
Entschließungen der Datenschutzkonferenz

LDI NRW
Kurzpapiere: EU-Datenschutzreform

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018