Bundesdatenschützer: Industrie hat die DSGVO weitgehend verschlafen
Erst seien Wirtschaftsverbände schlecht auf die DSGVO vorbereitet gewesen, jetzt nutzten Firmen deren Vorteile nicht, moniert der Bundesdatenschutzbeauftragte.
Die seit fünf Jahren greifende Datenschutz-Grundverordnung (DSGVO) hat bei ihrem Start 2018 ein neues Rechtsgebiet erschlossen. Da könne nicht schon am ersten Tag alles mit Gerichtsurteilen und Richtlinien für Anwender geklärt sein, weiß der Bundesdatenschutzbeauftragte Ulrich Kelber. Die Wirtschaftsverbände seien aber "schlecht vorbereitet" gewesen auf den Start und hätten nicht rechtzeitig ausgelotet, wo die Mitgliedsunternehmen und die Aufsichtsbehörden stehen. So befänden sich derzeit viele Auseinandersetzungen etwa über das Recht auf Vergessenwerden oder zur geforderten informierten Einwilligung noch vor Gerichten. Wenn rechtlich Klarheit bestehe, passten die Unternehmen ihre Prozesse dann aber rasch an.
Anzeige
"Der europäische Weg – mit Gurtpflicht und Airbag"
Bundesdatenschutzbeauftragter Ulrich Kelber
(Bild: Stefan Krempl)
Trotzdem ist Kelber das teils noch zu hörende "große Gejammer der Industrie" leid. Als die Gurtpflicht kam, habe sich Mercedes-Benz nicht beschwert, dass das so gemein sei. Vielmehr habe der Autobauer "den Airbag zusätzlich auf den Markt gebracht", betonte der Kontrolleur am Donnerstag bei einer Fragerunde im Telefónica-Basecamp in Berlin. So sollte sich die Wirtschaft jetzt etwa fragen, "was ist der europäische Weg", dass Künstliche Intelligenz (KI) funktioniert. Sinnvoll wäre es auch, eine Messenger-Alternative zu WhatsApp & Co. auf den Markt zu bringen, "die europäische Werte erfüllt" und dem Hersteller über die DSGVO einen Wettbewerbsvorteil verschaffen könnte. Um einer solchen Anwendung zum Durchbruch zu verhelfen, wäre ihr flächendeckender Einsatz im Verwaltungsbereich denkbar, was hierzulande gleich zu 30 bis 40 Millionen Nutzern führen würde.
Im Bereich KI findet es der Informatiker "spannend, was jetzt in die Breite kommt". Die Technologie "wird auch Anpassungen bei uns beim Datenschutz mit sich bringen müssen". Dabei handle es sich aber nur um einen "ganz kleinen Teil" der Regulierung neben Aspekten wie Persönlichkeitsrechten, Copyright und Haftung. Zu klären sei aber etwa, "wer ist der Verantwortliche nach dem Datenschutzrecht?" Das Modell des Auftragsverarbeiters passe hier nicht mehr genau, da es "Stufen gemeinsamer Verantwortung" gebe. Zudem sei noch zu klären, ob DSGVO-Prinzipien wie Einwilligung, Zweckbindung und Datenminimierung schon beim Training von lernenden Systemen gälten. Eine referatsübergreifende Strategiegruppe der Bundesdatenschutzbehörde werde dazu 2024 erste Richtlinien herausbringen.
Künstliche Intelligenz und Vorratsdatenspeicherung
Durchgesetzt haben laut Kelber die "italienischen Kollegen" für ChatGPT bereits eine Vorgabe, wonach europäische Nutzer die Funktion abstellen können müssen, über die das System auch noch aus der Interaktion mit ihnen lernt: "Sensible Daten dürfen keine Auswirkungen haben." Bei der geplanten KI-Verordnung setzt der frühere Staatssekretär darauf, dass für die Datenschutzaufsicht eine Landes- oder die Bundesdatenschutzbehörde als "KI-Kompetenzstelle" zuständig ist und mit den anderen einschlägigen Kontrollstellen wie bei der DSGVO zusammenarbeitet. Für eine größere DSGVO-Reform wünscht er sich eine Entbürokratisierung etwa durch Erleichterungen bei den Informations- und Dokumentationspflichten, andererseits aber ein vorverlagertes, schärferes Verbot von Profilbildung etwa für automatisierte Entscheidungen.