Alexander Limbach - stock.adobe.
Datenschutz: Was Aufsicht vorschlägt und Wirtschaft fordert
Nicht nur Wirtschaftsverbände sehen Änderungsbedarf im Datenschutzrecht, auch die Aufsichtsbehörden haben Vorschläge. Doch die Vorstellungen gehen teils auseinander.
Datenschutz gehört ohne Zweifel zu den zentralen Themen in der Digitalisierung. Das sehen auch Vertreterinnen und Vertreter der Digitalwirtschaft so: Eine aktuelle Civey-Umfrage im Auftrag des BVDW (Bundesverband Digitale Wirtschaft) ergab, dass Datenschutz für Verbraucherinnen und Verbraucher zu den drei wichtigsten Faktoren bei der Auswahl digitaler Angebote zählt. Für ein Drittel (36 Prozent) der Befragten ist dieses Kriterium ausschlaggebend, direkt nach der Qualität des Angebots (42 Prozent) sowie dem Preis (47 Prozent). Der BVDW macht auch klar: Die DSGVO hat die Digitale Wirtschaft als regulatorischer Rahmen in Europa maßgeblich geprägt.
Die Datenschutzaufsichtsbehörden sehen diese Stellung des Datenschutzes ebenfalls: Die Bedeutung des Datenschutzes nimmt zu, sagt zum Beispiel der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Prof. Dr. Alexander Roßnagel. Immer mehr Bürgerinnen und Bürger suchen Unterstützung und Beratung beim HBDI. Die Zahl ihrer Beschwerden wegen Verletzungen ihres Datenschutz-Grundrechts ist im vergangenen Jahr von 3.839 auf 6.070, also um 58 Prozent angestiegen.
„Behörden und Unternehmen suchen nach Rechtssicherheit und wenden sich zunehmend mit Beratungsanfragen an mich“, erläuterte Roßnagel. Mit zunehmender Komplexität digitaler Geschäftsmodelle wächst aus Sicht des BVDW der Bedarf an praxistauglichen Datenschutzlösungen und größerer Rechtssicherheit. Für den Verband bleibt dabei entscheidend, Transparenz und Kontrolle über personenbezogene Daten für Nutzerinnen und Nutzer verständlich und alltagstauglich zu gestalten.
Digitalverbände sehen Änderungsbedarf im Datenschutz
Der Verband der Internetwirtschaft eco macht deutlich, dass die digitale Wirtschaft vor einer Vielzahl europäischer und nationaler Digitalrechtsakte, neuen Anforderungen durch KI-Regulierung, wachsenden Datenökosystemen und der angekündigten Reform der Datenschutzaufsicht steht. Für Unternehmen sei dabei vor allem eines zentral: klare Zuständigkeiten, kohärente Auslegung und praxistaugliche Entscheidungen.
„Deutschland braucht keine weitere Zersplitterung im Datenschutzrecht, sondern eine Aufsicht, die Grundrechte schützt und zugleich Datennutzung, Innovation und Wettbewerbsfähigkeit ermöglicht. Datenschutz darf nicht als regulatorisches Klein-Klein organisiert werden, sondern muss verlässlicher Rahmen für digitale Gestaltung sein“, so Oliver Süme, Vorstandsvorsitzender des eco Verbands.
Ähnlich sieht dies der Digitalverband Bitkom: Zehn Jahre nach dem Start der europäischen Datenschutz-Grundverordnung (DSGVO) ist der Datenschutz demnach in den Unternehmen fest verankert. Zugleich würden Aufwand, Komplexität und Rechtsunsicherheit von Jahr zu Jahr größer, so Bitkom. Ziel müsse sein, die Risiken der Datennutzung zu minimieren und gleichzeitig ihren Nutzen zu maximieren.
Beispiel: Datenschutz und Künstliche Intelligenz (KI)
Laut Bitkom warnen zwei Drittel (69 Prozent) der Unternehmen in Deutschland, der Datenschutz erschwere es, KI-Modelle mit genügend Daten zu trainieren. 63 Prozent sind demnach überzeugt, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibt.
„Die Realität ist: KI wird wegen unserer Datenschutzpraxis nicht in Europa entwickelt, die Modelle werden aber trotzdem hier eingesetzt. Für den Schutz der Daten europäischer Bürgerinnen und Bürger ist damit nichts gewonnen, für den Wirtschaftsstandort Europa aber viel verloren“, so Bitkom-Präsident Dr. Ralf Wintergerst. „Wir brauchen eine Reform, die den Datenschutz dort stark macht, wo echte Risiken für Menschen entstehen, und Unternehmen dort entlastet, wo formale Pflichten keinen zusätzlichen Schutz bringen. Das heißt konkret: konsequente Risikoorientierung der DSGVO und ein einheitliches Verständnis, dass Training und Betrieb von KI-Systemen auch in Europa möglich sein müssen“.
Doch was sagen die Datenschutzaufsichtsbehörden eigentlich dazu? Sehen sie selbst auch Änderungsbedarf im Datenschutz?
Landesdatenschützer schlagen Veränderungen vor
Auch die Landesdatenschutzbeauftragten sprechen sich für eine Modernisierung der Datenschutzaufsicht und des Datenschutzrechts aus. Sie bringen sich damit aktiv in die Debatte um eine Reform des Datenschutzes ein und unterstützen eine Bundesratsinitiative der Freien und Hansestadt Hamburg (PDF), deren Ziel es ist, den Datenschutz für Unternehmen, Forschungseinrichtungen sowie Bürgerinnen und Bürger einheitlicher und effizienter zu gestalten.
Dazu Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Expertise und Erfahrung der Aufsichtsbehörden hat bisher in den Diskussionen um die Reform des Datenschutzes zu wenig Berücksichtigung gefunden“.
Mit den Stuttgarter Impulsen (PDF) wollen die Landesdatenschutzbehörden einen wichtigen Beitrag zu den realen Rahmenbedingungen vor Ort einbringen. Für eine moderne Aufsicht brauche es standardisierte Prüfverfahren, eine gesetzliche Stärkung der Datenschutzkonferenz und die Bündelung von Kompetenzen bei übergreifenden Themen.
Während Kompetenzen gebündelt werden sollten, sehen dies die Landesdatenschutzbehörden bei den Aufsichtsstrukturen aber anders als Wirtschaftsverbände, die sich viel von einer Zentralisierung der Datenschutzaufsicht versprechen. Bettin Gayk, Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, erklärte dazu: „Die Wirtschaft beklagt vor allem die Komplexität des Datenschutzrechts. Deswegen kann man die Neuorganisation der Datenschutzaufsicht nicht ohne Blick auf das materielle Datenschutzrecht denken. Eine Datenschutzreform, die sich allein auf Zentralisierung fokussiert richtet sogar Schaden an, wenn die vielen kleinen und mittelständischen Unternehmen die Unterstützung die Datenschutzaufsicht vor Ort verlieren, die sie zur Bewältigung der komplexen Vorgaben des Datenschutzrechts benötigen“.
Denis Lehmkemper, LfD Niedersachsen, bekräftigt dies: „Mit diesen Vorschlägen der Landesdatenschutzbeauftragten ließe sich die Datenschutzaufsicht in Deutschland effizienter gestalten – etwa durch eine Cluster-Bildung von Kompetenzen und eine Verbindlichkeit für alle Länder bei Beschlüssen der Datenschutzkonferenz. So kann der Datenschutz zukunftsfähig modernisiert werden, ohne die lokale Datenschutzkompetenz im Land Niedersachsen zu schwächen. Davon profitiert die regionale Wirtschaft, die in unserer Behörde einen verlässlichen Ansprechpartner für den Datenschutz hat.“
Datenschutz nicht gegen, sondern bei KI-Nutzung
Dabei geht es in den „Stuttgarter Impulse zur Modernisierung des Datenschutzes“ keineswegs nur um die Aufsichtsstrukturen. Auch der Bereich KI wird von den Landesdatenschützern in den Vorschlägen adressiert. So erklären die Landesaufsichtsbehörden für den Datenschutz: „Der Einsatz von KI braucht einen sicheren Rahmen. An die Seite der bereits diskutierten Vorgaben für ein angemessenes Training der KI mit personenbezogenen Daten muss die Sicherstellung einer effektiven Durchsetzung der Betroffenenrechte treten. Beim Einsatz von KI-Systemen ist durch technisch-organisatorische und rechtliche Vorkehrungen die effektive Wirksamkeit der grundlegenden Prinzipien des Datenschutzes sicherzustellen“.
Es geht den Aufsichtsbehörden also nicht um eine Blockade von KI, sondern um einen wirksamen Datenschutz bei Nutzung von KI. Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, stellte klar: „Auch die Datenschutzaufsichtsbehörden der Länder treten für einen modernen und zukunftsgewandten Datenschutz ein“. Zudem seien die Datenschutzaufsichtsbehörden für kluge Weiterentwicklungen des Datenschutzrechts und für den konstruktiven Dialog offen. Es gibt also keine verhärteten Fronten, sondern viel positive Bewegung im Datenschutz.