Bundesdatenschutzbeauftragte will Fokus auf KI, Sicherheit und Gesundheit legen

Inhaltsverzeichnis

Mit der Übergabe der Ernennungsurkunde durch den Bundespräsidenten hat am Dienstag die neue Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Louisa Specht-Riemenschneider offiziell ihr Amt angetreten. In der Bundespressekonferenz in Berlin stand sie anschließend Rede und Antwort, wie sie das Amt ausführen will – und setzte dabei einige erste Ausrufezeichen. Sie strebe eine "grundrechtssensible Digitalisierung" an, sagte Specht-Riemenschneider. Sie wolle aber zugleich "nicht auf die Rolle der Nein-Sagerin beschränkt werden", sagte die neue Bundesdatenschutzbeauftragte. Es gehe darum, aufzuzeigen, wie Vorhaben möglich seien. Das Datenschutzrecht kenne aber rote Linien, die eingehalten werden müssten. Es gehe um Umsetzungsmöglichkeiten innerhalb des Datenschutzrechts.

Sie wolle ihre Amtszeit als Einladung zum Dialog für vertrauenswürdige Digitalisierung nutzen und dort, wo Diskussionen sich verhakt hätten, einen Neubeginn anbieten. Dafür sei aber auch die Kooperation der anderen Beteiligten nötig: Specht-Riemenschneider appellierte, eine frühzeitige Einbeziehung der BfDI sicherzustellen. Genau das hatte ihr Amtsvorgänger Ulrich Kelber wiederholt moniert. Obwohl vorgeschrieben, waren Gesetzentwürfe mit Datenschutzbezug der Behörde oft erst spät im Prozess zugegangen und dessen Anmerkungen ignoriert worden.

Specht-Riemenschneider setzt auf Dialog im Gesundheitsbereich

Specht-Riemenschneider will drei Bereiche besonders in den Fokus nehmen. Der erste ist der Gesundheitsbereich, in dem zuletzt im Zuge von Gesundheitsdatennutzungsgesetz und Digitalisierungsgesetz massive Veränderungen auf den Weg gebracht wurden. Im Gesundheitsbereich würden sensible Daten verarbeitet, was erfordere, den Datenschutz von vornherein mitzudenken, so Specht-Riemenschneider. "Gerade im Gesundheitsbereich werden Datenschutz und Digitalisierung viel zu sehr gegeneinander gedacht", was sie bedaure, so die Bundesdatenschutzbeauftragte.

Der Erfolg von Forschungsdatenzugang und elektronischer Patientenakte hänge aber von hohem Datenschutzstandard und der IT-Sicherheit ab. Es dürfe keine Zweifel am Schutzniveau geben, zugleich aber müssten Funktionalitäten gewährleistet werden. Hierfür wolle sie alle Beteiligten wie Ärztinnen und Ärzte, aber auch Patientinnen und Patienten, einbinden.

Forderung: KI-Aufsicht zu Datenschutzbehörden

Der zweite Schwerpunktbereich ihrer Amtszeit soll Künstliche Intelligenz sein. Die berge neben vielen Chancen auch erhebliche Datenschutzrisiken. Sie wolle "alles dafür tun, was uns als Aufsichtsbehörde möglich ist, um eine vertrauenswürdige und grundrechtsorientierte KI-Landschaft zu ermöglichen." Sie wolle sich aber auch mit Vehemenz gegen datenschutzwidrige KI einsetzen. KI-Reallabore seien wünschenswert, so Specht-Riemenschneider.

"Die KI-Aufsicht gehört nach meiner festen Überzeugung in die Hände der Datenschutzbehörden der Länder und des Bundes", so Specht-Riemenschneider. Das sei eine logische Konsequenz aus vorhandener Kompetenz und Unabhängigkeit, wie sie von der KI-Verordnung gefordert wird. Zudem sei das vergleichsweise kostengünstig. Derzeit wird auf Bundesebene beraten, welche deutsche Behörde die Aufsichtsstelle für die KI-Verordnung werden soll – Bundesdigitalminister Volker Wissing hatte sich im Mai bereits im Interview mit c't klar für die Bundesnetzagentur ausgesprochen.

Sicherheitsvorhaben im Fokus

Der dritte Bereich, dem die neue BfDI Priorität einräumen will, ist die innere und äußere Sicherheit. "Der Preis für unsere Sicherheit darf nie unsere Freiheit sein", betonte Specht-Riemenschneider. Das Risikopotenzial eines falschen Verdachts steige mit jedem erhobenen Datensatz. "Wir brauchen ein Gleichgewicht zwischen Überwachungsmaßnahmen zur Gewährleistung der inneren und äußeren Sicherheit." Ohne unabhängige Kontrolle und Grundrechtsschutz sei das Vertrauen in die Sicherheitsbehörden aber gefährdet. Kritik äußerte Specht-Riemenschneider an Überlegungen, die Kontrolle vom BfDI zum Unabhängigen Kontrollrat für die Nachrichtendienste zu verlagern – zeigte sich aber offen für eine engere Kooperation mit diesem.

In der laufenden Debatte um eine erweiterte Nutzung von Gesichtserkennungsverfahren, wie sie derzeit vonseiten der Bundesregierung geplant wird, äußerte sich Specht-Riemenschneider vorsichtig. Sie verwies darauf, dass es bereits heute gesetzliche Möglichkeiten gebe, Gesichtserkennung in bestimmten Bereichen einzusetzen. Sollte es jedoch um Daten gehen, die im Internet frei verfügbar seien, gebe es Anforderungen, die zu beachten seien: "Da kann ich nicht einfach sagen: Gesichtserkennung kann zu jedweder Form von Strafverfolgung eingesetzt werden."

Gerade in diesem Bereich sei es wichtig, den Ausgleich der verschiedenen Grundrechte auch im Gesetz anzulegen. Allerdings sei ihrer Behörde bislang kein konkreter Gesetzentwurf zugegangen, über dessen mögliche Regelungen sie deshalb auch nicht spekulieren wolle. Zudem würde das Bundesverfassungsgericht Anfang Oktober wahrscheinlich erneut Hinweise geben, wenn es seinen Beschluss zum BKA-Gesetz verkünde.

Derzeit werde allerdings im Kreis der Landesdatenschützer und der Bundesdatenschutzbeauftragten unter dem Stichwort "Infektionsrisiko" über die Frage von Datenbanken diskutiert, die massenhaft ohne Erlaubnis und jenseits der Zweckbindung erhoben oder KI-Systeme, die rechtswidrig mit Daten trainiert wurden. Das gelte nicht nur für Gesichtserkennungsdienste wie PimEyes oder Clearview, so Specht-Riemenschneider, sondern sei auch ein Problem etwa bei Forschungsdaten, weshalb es insgesamt angegangen werden müsse. Wie mit den "Früchten des verbotenen Baumes" umgegangen werden könne, sei daher derzeit noch nicht abschließend zu sagen.

DSGVO: Goldstandard mit Lücken

Die DSGVO sei insgesamt ein Goldstandard, bei dem es aber oft noch an der Durchsetzung mangele. Das gelte insbesondere für den Bereich der Durchsetzung von Rechten Privater im Verhältnis zu großen Internetkonzernen. Die könnten ihre Ansprüche nur mit hohem Aufwand durchsetzen. Auch die behördliche Durchsetzung der DSGVO könne besser werden, etwa indem der Datenschutzkonferenz von Ländern und Bund qua Gesetz eine engere Zusammenarbeit ermöglicht wird. Sie bedauere es zudem mit Blick auf die europäischen Kolleginnen und Kollegen im EU-Ausland, dass man große Plattformen trotz großer datenschutzrechtlicher Defizite weiterhin gewähren ließe.

Zugleich sieht Specht-Riemenschneider den Gesetzgeber aber auch in der Pflicht, klarer darzulegen, welche Datenverarbeitungen gesellschaftlich gewünscht seien und entsprechende Regularien auch gesetzlich festzulegen. Sie hielte es für unfair, dass die gesamte Verantwortung für die Verarbeitung auf die Betroffenen und die Verarbeiter gelegt wird.

BfDI will Gerichtsverfahren weiter vorantreiben

Bei den Gerichtsverfahren, die ihre Behörde unter anderem gegen das Bundespresseamt führt, sieht Specht-Riemenschneider zudem derzeit keinen Änderungsbedarf: "Ich sehe überhaupt keine Veranlassung, hinter jedes Verfahren, das wir führen, ein Fragezeichen zu setzen." Rechtsklarheit könnten am Ende eben in unterschiedlichen Auslegungsfragen nur die Gerichte schaffen.

Specht-Riemenschneider war nach einer monatelangen Suche von FDP und Grünen auf formellen Vorschlag des Kabinetts im Mai vom Bundestag gewählt worden. Sie bedankte sich ausdrücklich noch einmal bei ihrem Amtsvorgänger Ulrich Kelber, der dem Thema Datenschutz viel Sichtbarkeit gegeben habe.

(olb)