Ein weiterer Schwerpunkt der Arbeit der DSK bestand im
Bereich der Digitalisierung des Gesundheitswesens. Die
Verarbeitung von Gesundheitsdaten ist mit besonderen
Risiken verbunden. Die DSK fordert demnach sicherzustellen, dass unabhängig von der Größe medizinischer
Einrichtungen Patientendaten nach dem Stand der
Technik geschützt würden. Insbesondere Gesundheitswebseiten und -Apps müssten die Erwartungen an die
Vertraulichkeit gewährleisten und bei der Weitergabe von
personenbezogenen Daten bestimmte Anforderungen
einhalten.
Akkreditierung von Überwachungsstellen für
Codes of Conduct
Nach Art. 57 Abs. 1 lit. p DSGVO muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet die Anforderungen an
die Akkreditierung einer Stelle für die Überwachung der
Einhaltung der Verhaltensregeln gemäß Art. 41 DSGVO,
sogenannte Codes of Conduct, abfassen und veröffentlichen. Codes of Conduct „präzisieren“ die Anwendung
der Datenschutz-Grundverordnung. Das Bedürfnis für
eine solche Präzisierung ergibt sich daraus, dass die
Verordnung an vielen Stellen unbestimmt ist und Generalklauseln enthält. Codes of Conduct können als Auslegungshilfen herangezogen werden und dienen daher
der Rechtssicherheit. Sie sind zwar keine Rechtsgrundlage
für die Verarbeitung personenbezogener Daten, aber ein
wichtiges Instrument, um – beispielsweise für bestimmte
Branchen – die praktische Umsetzung der zum Teil sehr
abstrakten Regelungen der DSGVO zu erleichtern.
Ich hatte bereits an der Erstellung der europäischen
„Leitlinien 1/2019 über Verhaltensregeln und Überwachungsstellen gemäß der Verordnung (EU) 2016/679“
mitgewirkt (s. 3.2). Diese Leitlinien sollen praktische
Hinweise und Auslegungshilfen zur Anwendung der
Artikel 40 und 41 der DSGVO geben. Sie sollen die Vorschriften und das Verfahren zur Einreichung, Genehmigung und Veröffentlichung von Codes of Conduct auf
nationaler und europäischer Ebene erläutern.
Die Leitlinien sehen unter anderem vor, dass ein Code of
Conduct (für den nicht-öffentlichen Bereich) eine akkreditierte Überwachungsstelle festlegt. Diese kontrolliert
(neben der zuständigen Datenschutzaufsichtsbehörde),
ob die Mitglieder, die sich dem Code of Conduct unterworfen haben, dessen Vorgaben einhalten.
Die deutschen Akkreditierungskriterien für
Überwachungsstellen eines Codes of Conduct wurden
dem Europäischen Datenschutzausschuss zur Billigung
im Kohärenzverfahren gemäß Art. 64 Absatz 1 Satz 2 lit. c
DSGVO übermittelt.
20
Tätigkeitsbericht zum Datenschutz für 2019
Weitere Themen
Zudem hat sich die DSK unter anderem mit einer datenschutzgerechten Nutzung von Windows 10 (s. 8.12) beschäftigt und einen Erfahrungsbericht über die Anwendung der DSGVO beschlossen. Mit Letzterem möchte die
DSK die Erfahrungen der deutschen Aufsichtsbehörden
aus der praktischen Anwendung seit Geltungsbeginn der
DSGVO in den Evaluierungsprozess nach Art. 97 DSGVO
einbringen. In diesem Prozess sollen auch Vorschläge
für Verbesserungen unterbreitet werden, um die Umsetzung der DSGVO praxistauglicher zu gestalten.
Die von der der DSK veröffentlichten Papiere sind abrufbar unter:
https://www.bfdi.bund.de/entschließungen
https://www.bfdi.bund.de/beschlüsse-positionspapiere
https://www.bfdi.bund.de/kurzpapiere
Arbeitskreise (AK) der DSK
AK Steuerverwaltung
Seit dem 25. Mai 2018 bin ich nicht nur für die Bundesfinanzbehörden zuständig, sondern auch für die
Finanzbehörden der Länder im Anwendungsbereich der
Abgabenordnung (AO). Deshalb bin ich nunmehr gemäß
§ 32h AO anstelle der Datenschutzaufsichtsbehörden der
Länder für alle Finanzämter Deutschlands zuständig,
soweit diese Aufgaben nach der AO wahrnehmen. Darüber hinaus bin ich für die kommunalen Steuerämter
zuständig, soweit diesen die Verwaltung der Grund- und
Gewerbesteuer übertragen worden ist.
Diesem Zuständigkeitswechsel folgt nun folgerichtig der
Wechsel im Vorsitz des AK Steuerverwaltung. Dieser ist
nach wie vor ein wichtiges Gremium, um Abstimmungsbedarfe zwischen mir und den Datenschutzaufsichtsbehörden der Länder zu klären.
AK Grundsatz
Der AK Grundsatz besteht unter meinem Vorsitz aus
Vertretern aller Landesdatenschutzbeauftragten und tagt
zweimal jährlich. Inhaltlich werden grundsätzliche Fragen des Datenschutzes aufbereitet sowie entsprechende
Positionen zur Vorlage bei der DSK ausgearbeitet.
In diesem Jahr hat sich der AK Grundsatz eingehend
mit den Erfahrungen bei der Anwendung der DSGVO
auseinandergesetzt. Der Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes
und der Länder zur Anwendung der DSGVO wurde in
einem eigens dafür eingerichteten Unterarbeitskreis
erstellt und durch den AK Grundsatz finalisiert (vgl.
4.1). Daneben wurde die Kooperation und Zusammenarbeit mit den nach Art. 85 und 91 DSGVO eingerichte-