Bundesdatenschutzbeauftragte: Europäische Werte nicht mit Füßen treten

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Louisa Specht-Riemenschneider, setzt auf frühzeitige Einbeziehung der Datenschutzbehörde in Gesetzgebungsverfahren. Sie sieht den Datenschutz als Standortvorteil für Deutschland und betonte unter anderem, dass Datenschutz nicht nur das "informationelle Selbstbestimmungsrecht" schütze, sondern auch "die Grundlage für die Ausübung ganz vieler weiterer Grundrechte [ist]".

Das sagte sie auf dem 26. Datenschutzkongress in Berlin in einer Keynote, in der sie über die bei ihrem Amtsantritt festgelegten Themenschwerpunkte Gesundheit, KI und Sicherheit sprach. Dabei ging die BfDI auch auf den Start der elektronischen Patientenakte (ePA) ein, der mit der Offenlegung verschiedener Sicherheitslücken begleitet wurde. Nachdem Sicherheitsforschende auf dem 38. Chaos Computer Club Ende 2024 schon länger bekannte Sicherheitslücken demonstriert hatten, habe sich die bundesweite Einführung der Opt-Out-ePA zwar verzögert, anschließend seien allerdings "signifikante Verbesserungen für Datenschutz und Datensicherheit" erreicht worden. Um das Vertrauen der Bevölkerung zurückzugewinnen, sei es wichtig, auftretende Mängel schnell zu beheben. Kürzlich forderte Specht-Riemenschneider in diesem Zusammenhang, dass sowohl BfDI als auch das Bundesamt für Sicherheit in der Informationstechnik das Veto-Recht zurückerlangen sollten.

Im Bereich Künstliche Intelligenz teilt die BfDI die Auffassung des Europäischen Datenschutzausschusses: Der EDSA hatte Ende 2024 klargestellt, dass das Training von KI-Modellen mit personenbezogenen Daten auf Grundlage des "berechtigten Interesses" möglich ist, sofern zuvor eine sorgfältige Interessenabwägung erfolgt ist. Erste Unternehmen wie Doctolib trainieren KI bereits mit Nutzerdaten, eBay plant dies. Allerdings ist diese Praxis datenschutzrechtlich umstritten, da unklar ist, ob die Voraussetzungen der DSGVO wirklich erfüllt sind.

"Sollte der Unionsgesetzgeber sich tatsächlich dazu entscheiden, die DSGVO zu öffnen, bietet sich die Einführung von handfesten Kriterien an, unter denen ein KI-Training mit personenbezogenen Daten zulässig ist", sagte Specht-Riemenschneider, die anschließend Vorschläge wie eine eigene KI-Datenschutzverordnung erwähnte.

KI-Aufsicht soll bei Datenschutzbehörden liegen

Laut Specht-Riemenschneider sind klare gesetzliche Kriterien für den Umgang mit personenbezogenen Daten erforderlich. Sie spricht sich bei KI-Modellen gegen eine "absolut gedachte Infektionsthese" aus, nach der rechtswidriges KI-Training automatisch auch die spätere Nutzung des KI-Modells rechtswidrig machen würde. "Wenn die Wahrscheinlichkeit in der späteren Verwendung so weit gesenkt werden kann, dass der Personenbezug praktisch ausgeschlossen werden kann und das KI-Modell dadurch anonym ist, hat das rechtswidrige Training keine Folgen für die spätere Verwendung mehr. Bis zu diesem Zeitpunkt müsste das System allerdings abgeschottet werden", fordert die BfDI. Wichtig sei zudem, dass die KI-Aufsicht in den Händen der Datenschutzbehörden liege. Die Ampel-Regierung hatte diese Aufgabe der Bundesnetzagentur zutragen wollen.

Balance zwischen Schutz und Freiheit

Auch im Sicherheitsbereich sieht die BfDI große Herausforderungen. "Der Preis für unsere Sicherheit darf nie unsere Freiheit sein", sagte Specht-Riemenschneider. Sie plädiert für "eine homogene IT-Landschaft, wie wir sie mit dem Projekt P20 verfolgen", und eine starke, unabhängige Aufsicht durch ihre Behörde, um sowohl die Sicherheit der Bevölkerung als auch die Freiheitsrechte zu gewährleisten. Ansonsten drohe, dass das Risikopotenzial eines falschen Verdachts mit jedem erhobenen Datum und jeder automatisierten Analyse steigt.

Ein weiterer Streitpunkt ist derzeit die Zuständigkeit für die datenschutzrechtliche Kontrolle der Nachrichtendienste, gerade in Hinblick auf regelmäßig angestrebte erweiterte Sicherheitsbefugnisse. Mit der rechtsstaatlich erforderlichen "Aufsicht über die Bundespolizei und die Nachrichtendienste des Bundes" habe die BfDI "den vollen Überblick". Sie halte es daher für falsch, "die behördliche Nachrichtendienstaufsicht auch in Bezug auf die Datenschutzkontrolle auf eine andere Behörde zu konzentrieren". Stattdessen fordert sie eine rechtliche Grundlage für einen besseren Austausch mit den anderen Aufsichtsbehörden.

Bereits bei der Vorstellung ihres Jahresberichts hatte die BfDI kein Geheimnis daraus gemacht, dass ihr dazu die Formulierungen des Koalitionsvertrags Sorge bereiten. Eine unabhängige Kontrolle sei gerade mit Blick auf weitere geplante Ermittlungsbefugnisse im digitalen Raum wichtig. Immer wieder hatte es in der Vergangenheit Streit um die Kontrolle der Nachrichtendienste gegeben, etwa weil der Bundesnachrichtendienst Einsicht in Unterlagen verweigert hatte.

Akzeptanz für Datenschutz fördern

Bei allen Vorhaben setzt die BfDI auf Beratung und Dialog mit allen Beteiligten, um datenschutzkonformes Handeln zu fördern und die Akzeptanz für den Datenschutz zu stärken. Ein vorausschauender Ansatz, Handlungsempfehlungen und Projekte wie das in diesem Jahr eingerichtete KI-Reallabor "Regulab" sollen dazu beitragen, dass "KI-Systeme unter unserer aktiven Begleitung erprobt und anschließend datenschutzkonform in die reale Welt entlassen werden können".

Zudem rief sie dazu auf, dass der Datenschutz mehr in die öffentliche Wahrnehmung rückt, denn bisher blieben nur die Themen "Cookie-Banner" und "endlose Datenschutzerklärungen" hängen. Dabei warf sie auch die Frage auf, ob Behörden ihrem Informationsauftrag noch gerecht werden können, wenn sie sich aus sozialen Netzwerken heraushalten. Ein Auftritt dort sei auch datenschutzkonform möglich.

Europäische Werte hochhalten

Sie fordert zudem, digitale Souveränität ernstzunehmen und einen offenen, ehrlichen Umgang mit den Schwächen des Datenschutzrechts, um dieses weiterzuentwickeln. Bereits jetzt seien neue Beratungsformate etabliert worden, um Unternehmen und Gesellschaft stärker einzubinden. Specht-Riemenschneider wünscht sich eine konstruktivere Kommunikation über den Datenschutz und plädiert für Anreize für Unternehmen, die Datenschutz einhalten.

Der Datenschutz solle zum Standortvorteil in einer weiteren Digitalwirtschaftsordnung werden, "die anders als die der USA und Chinas weder auf vollständige Überwachung noch allein auf Kommerzialisierung setzt", sagte Specht-Riemenschneider. Von den neuen Ministern wünschte sich die BfDI daher "klare Vorgabe einer digitalpolitisch zeitgerechten Marschrichtung und – einen Digitalminister, der uns in eine digitale Zukunft führt, in der unsere europäischen Werte einen Platz haben und in der sie nicht mit Füßen getreten werden". Der neue Digitalminister, Karsten Wildberger, hatte kürzlich betont, dass Datenschutz keine Innovationsbremse sein dürfe.

(mack)