100. Datenschutzkonferenz tagte erfolgreich

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat sich am 25. und 26. November 2020 per Video zu ihrer 100. Sitzung seit ihrem Bestehen getroffen (siehe Pressemitteilung der DSK vom 19. November 2020).  

Die Jubiläumssitzung fand unter dem turnusgemäßen Vorsitz des Sächsischen Datenschutzbeauftragten Andreas Schurig statt. Die Konferenz befasste sich u. a. mit  der Frage des datenschutzkonformen Einsatzes von Windows 10 (Version „Enterprise“), mit der durch die deutsche EU-Ratspräsidentschaft ergriffenen Initiative zur Aufweichung von Ende-zu-Ende-Verschlüsselungen zugunsten von Sicherheitsbehörden und Nachrichtendiensten, mit der gesetzlichen Ausgestaltung der Telekommunikations-Bestandsdatenauskunft, mit Initiativen zur Zentralisierung der Datenschutz-Aufsicht sowie mit der in Deutschland noch immer ausstehenden Umsetzung der „ePrivacy“-Richtlinie (RL 2002/58/EG).

Andreas Schurig: „Auch die 100. DSK hat sich mit den Grundrechten und -freiheiten der betroffenen Menschen befasst. Seit Anfang der 1970er-Jahre unterstützen die deutschen Aufsichtsbehörden Bürgerinnen und Bürger gegenüber den öffentlichen und nicht-öffentlichen Stellen bei der Geltendmachung ihrer Rechte. Freiheit und Demokratie gedeihen nicht ohne gehörigen Freiraum des Einzelnen gegenüber dem Staat, den Sozialversicherungen, den Kommunen und allen anderen öffentlichen Stellen. Informationelle Selbstbestimmung ist aber auch gegenüber Unternehmen, 
insbesondere gegenüber den wirtschaftlich oft enorm überlegenen Unternehmen der Informationsindustrie, der oftmals kontroverse und entscheidende Punkt.“ 

Im Einzelnen:  

• Erneut befasste sich die Konferenz sowohl mit den Telemetriefunktionen von Microsoft Windows 10, Version „Enterprise“, als auch mit den durch Microsoft zu MS Office 365 angekündigten Verbesserungen des Datenschutzes. Zu den Telemetriefunktionen hatte eine DSK-Arbeitsgruppe in drei Testszenarien zuvor festgestellt, dass Verantwortliche beim Einsatz der Enterprise-Version die Telemetriestufe „Security“ nutzen und vertraglich, technisch oder organisatorisch sicherstellen müssen, dass keine Übermittlung personenbezogener Telemetrie-Daten an Microsoft stattfindet. Im Hinblick auf MS Office 365 wird die DSK weiter im Gespräch mit Microsoft bleiben. Bei beiden Gegenständen legt die DSK dabei Wert auf die Berücksichtigung des Urteils des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in unsichere Drittstaaten vom 16. Juli 2020 (C-311/18) („Schrems II“).  

• Klar lehnt die DSK Forderungen nach einem Zugriff der Sicherheitsbehörden und Geheimdienste auf die verschlüsselte Kommunikation in Messengerdiensten und der privaten Kommunikation ab. Sie weist in einer am 25. November 2020 beschlossenen Entschließung darauf hin, dass die Aushöhlung von Verschlüsselungslösungen, wie sie im Rat der Europäischen Union im Resolutionsentwurf Nr. 12143/1/20 vom 6. November 2020 „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ nahegelegt wird, kontraproduktiv wäre und durch Kriminelle und Terroristen leicht umgangen werden könnte. Eine sichere und vertrauenswürdige Verschlüsselung ist dagegen essentielle Voraussetzung für eine widerstandsfähige Digitalisierung in Wirtschaft und Verwaltung. Unternehmen müssen sich vor Wirtschaftsspionage schützen können. Bürgerinnen und Bürger müssen auf eine sichere und integre Nutzung digitaler Verwaltungsleistungen vertrauen können. Verschlüsselung ist ebenso ein zentrales Mittel für die Datenübermittlung in unsichere Drittländer. Das „Schrems II“-Urteil des Europäischen Gerichtshofs hat das erneut deutlich gemacht.

• Im Interesse der Rechtssicherheit appelliert die DSK mit einer weiteren Entschließung an den Bundesgesetzgeber, endlich die Vorgaben des Bundesverfassungsgerichts vom Mai 2020 zur Ausgestaltung des manuellen Bestandsdatenauskunftsverfahrens umzusetzen. Das Gericht hatte erkannt, dass sowohl die Übermittlung von Daten durch Telekommunikationsdiensteanbieter als auch der Abruf durch berechtigte Stellen (z. B. Staatsanwaltschaften) jeweils einer verhältnismäßigen und normenklaren Grundlage bedürfen („Doppeltürenmodell“). Die derzeitige Fassung des § 113 Telekommunikationsgesetz und die Abrufnormen auf Seiten der Empfängerkreise genügen diesen Anforderungen nicht. Die Konferenz fordert die Gesetzgeber in Bund und Ländern auf, das manuelle Auskunftsverfahren für Sicherheitsbehörden und Nachrichtendienste möglichst rasch verfassungskonform auszugestalten. 

• Die Konferenz fordert den Gesetzgeber des Weiteren auf, endlich die ePrivacy-Richtlinie der Europäischen Gemeinschaften aus dem Jahr 2002 (RL 2002/58/EG) vollständig und im Einklang mit der Datenschutz-Grundverordnung von 2018 in deutsches Recht umzusetzen. Nach Art. 5 Abs. 3 ePrivacy-Richtlinie bedarf es einer aktiven informierten Einwilligung des Nutzers insbesondere dann, wenn der Verantwortliche „Cookies“ setzt. Webseitenbetreiber und andere Akteure, die ihre Dienste unter anderem in Bezug auf „Cookies“ rechtmäßig gestalten müssen, brauchen Rechtsklarheit und -sicherheit.  

Deutlich wendet sich die DSK auch gegen Forderungen nach einer Zentralisierung der Datenschutzaufsicht im nicht-öffentlichen Bereich. Andreas Schurig: „Die Aufsichtsbehörden in Bund und Ländern genießen fachlich hohes Ansehen. Ihre Zentralisierung wäre ausgesprochen kontraproduktiv, denn Zentralisierung heißt auch, immer weiter weg von den Anliegen und konkreten Umständen der betroffenen Menschen zu sein. Statt unnötiger Zentralisierungsdebatten sollte dafür gesorgt werden, dass alle Aufsichtsbehörden personell und organisatorisch ihre gesetzlichen Aufga-
ben vollauf erfüllen können.“ 

Weitere Themen der 100. DSK waren u. a. die Verbesserung der Zusammenarbeit im Europäischen Datenschutzausschuss (EDSA) und die künftige Arbeitsweise der DSK.  

Die 101. DSK, die für April 2021 angesetzt ist, wird unter dem Vorsitz des Saarlandes stehen.  

Nachfragen, insbesondere zu den Entschließungstexten, bei Herrn Andreas Schneider, Pressesprecher des Sächsischen Datenschutzbeauftragten, 0351 – 85471-120; 
andreas.schneider@slt.sachsen.de