Interview mit der Datenschutzbeauftragten des Bundes: "Gefahr einer Super­da­ten­bank ist groß"

LTO: Frau Prof. Specht-Riemenschneider, seit wenigen Wochen sind Sie Deutschlands oberste Datenschützerin. Ihr Vorgänger, Ex-SPD-Abgeordneter Ulrich Kelber, hätte gerne noch eine weitere Amtszeit drangehängt. Allerdings war er wohl seiner eigenen Fraktion zu unbequem. Werden Sie bei Datenschutzproblemen eher "ein Auge zudrücken"?

Prof. Dr. Louisa Specht-Riemenschneider: Nein, mit Sicherheit nicht. Mit meinem Job geht es einher, unbequem zu sein. Als Aufsichtsbehörde sind wir dazu da, für die Durchsetzung des Datenschutzrechts zu sorgen. Wenn aus datenschutzrechtlicher Sicht etwas nicht geht, werde ich selbstverständlich den Finger in die Wunde legen. Datenschutzrecht lässt sich aber auf zwei Wegen realisieren: Durch nachträgliche Aufsichtsmaßnahmen und durch präventive Beratung. Ich halte es für wichtig, beide Instrumente gleichermaßen zu fokussieren.

Meine Aufgabe sehe ich daher in Zukunft vor allem auch darin, Handlungsoptionen aufzuzeigen. Die immer wieder zu hörende Ausrede, der Datenschutz verhindere digitale Vorhaben, lasse ich nicht gelten: Die DSGVO ist nie angetreten, um Datennutzbarkeit generell zu verhindern. Sie besteht nicht nur aus Stopp-Schildern, sondern ist eine Art Straßenverkehrsordnung. Manchmal gilt Tempo-30, manchmal ist das Tempolimit aufgehoben. Ich möchte aufzeigen, wo die roten Linien liegen, aber auch, wo Datenverarbeitungen möglich sind.

Ist die DSGVO zu unbestimmt?

Einer repräsentativen Umfrage des Branchenverbandes Bitkom zufolge beklagen 94 Prozent der Unternehmen einen zu hohen Aufwand durch Datenschutz. Sie fordern, die DSGVO "zu lockern". Der Umgang mit ihr sei außerdem geprägt von Rechtsunsicherheit und Auslegungsschwierigkeiten.

Richtig ist, dass die DSGVO viele unbestimmte Rechtsbegriffe und Abwägungsklauseln enthält, um Einzelfallgerechtigkeit zu schaffen.  

Bestes Beispiel ist die Abwägungsklausel des Art. 6 Abs.1 f. DSGVO, der Folgendes besagt: Wenn im privatrechtlichen Bereich Daten genutzt werden sollen, muss das Datenverarbeitungsinteresse mindestens gleichgewichtig mit dem Interesse an der Wahrung des Rechts auf informationelle Selbstbestimmung sein. Ist das der Fall, erlaubt die DSGVO die Datenverarbeitung unter bestimmten Voraussetzungen. Wenn nicht, dann nicht. Eigentlich eine total sinnvolle Regelung. Aber wenn wir über massenhafte Datenverarbeitung, etwa im KI-Bereich, sprechen, dann ist eine solche Abwägungsregelung wenig geeignet, um Rechtssicherheit zu schaffen. Hier kann ich den Wunsch der Unternehmen nach klareren Vorgaben absolut nachvollziehen.  

"Gesetzgeber bei massenhafter KI-Anwendung in der Pflicht"

Wie könnten die Vorgaben klarer gefasst werden, ohne die DSGVO zu ändern?

Wir Datenschutzaufsichtsbehörden sind regelmäßig damit beschäftigt, Orientierungshilfen zur DSGVO zu geben. So hat der Europäische Datenschutzausschuss (EDSA) erst kürzlich Leitlinien zur Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses verabschiedet. Da ging es darum, den unbestimmten Begriff "berechtigtes Interesse" klarer zu umreißen.

In der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, arbeiten wir an einer Auslegungshilfe, die sich mit den datenschutzrechtlichen Aspekten von KI-Trainingsdaten befasst. In diesen Auslegungshilfen wollen wir Lösungskorridore aufzeigen.

Allerdings sind Auslegungshilfen nur ein Mittel, um für eine bessere Handhabbarkeit der DSGVO zu sorgen. Ich sehe in gesellschaftlich relevanten Bereichen – wie zum Beispiel bei Abwägungsfragen im Kontext massenhafter KI-Anwendung – vorrangig den Gesetzgeber in der Pflicht. Er muss die Verantwortung übernehmen und aufzeigen, welche Datenverarbeitung unter Einhaltung der DSGVO stattfinden darf und welche nicht.  

Ich frage mich: Warum ist beispielsweise Persönlichkeitsprofilbildung zu kommerziellen Zwecken von Gesetzes wegen weiterhin massenhaft möglich, während noch immer große Rechtsunsicherheit in der Forschungsdatennutzung zur Heilung tödlicher Krankheiten existiert? Dass der Gesetzgeber hier nicht klarer aufzeigt, was unter welchen Voraussetzungen zulässig sein soll und was nicht, ist mir unverständlich.  

Neue Gesprächsformate zum Datenschutz geplant

Wäre es nicht sinnvoll, wenn datenschutzrechtliche Planken bereits im Gesetzgebungsprozess mitgedacht werden und nicht erst, wenn das Kind schon in den Brunnen gefallen ist?

In der Tat sollten sich anbahnende datenschutzrechtliche Konflikte frühzeitig und präventiv erörtert werden. Das fordert von uns Datenschutzaufsichtsbehörden, stärker zu agieren, statt nur auf datenschutzrechtliche Vorfälle und ausgearbeitete Gesetzesentwürfe zu reagieren. Dass das Bundesverfassungsgericht immer wieder, wie zuletzt beim BKA-Gesetz, Vorschriften wegen datenschutzrechtlicher Verstöße für nichtig erklären muss, ist auch Folge eines mangelnden frühzeitigen Austausches.  

Ich möchte deshalb auf den unterschiedlichsten Ebenen Gesprächsformate zum Datenschutz schaffen: Austauschpanels mit Fachpolitikern, runde Tische mit Wirtschaftsverbänden oder Bürgerdialoge – und dies alles strategisch im Vorfeld von Gesetzgebungsaktivitäten und Digitalprojekten. Lösungen, die das informationelle Selbstbestimmungsrecht Betroffener mitdenken und trotzdem funktionieren, schaffen Vertrauen bei den Bürgerinnen und Bürgern und können daher auch wirtschaftlich erfolgreich sein. Ich will dazu beitragen, dass Datenschutz als dieser Positivfaktor wahrgenommen wird statt als Hemmschuh.

Nach dem Anschlag von Solingen hat der Gesetzgeber in Windeseile ein Sicherheitspaket auf den Weg gebracht und verabschiedet. Wie kann da eine frühzeitige Einbindung überhaupt funktionieren?

Natürlich kann man einen solchen Anschlag nicht vorausahnen, aber man könnte zukünftig daran denken, sich anlasslos frühzeitig zu bestimmten Themen zusammenzusetzen, um Handlungsbedarfe zu verstehen und den Akteuren frühzeitig zu erklären, was die datenschutzrechtlichen Leitplanken sind.  

Meine Behörde könnte dann eine Vorabpositionierung vornehmen, unabhängig von konkreten Sicherheitsvorfällen, die es ja leider immer wieder gibt. Auch wenn uns dies natürlich nicht davon entbindet, das spätere Gesetz zu kommentieren, so hätten wir damit immerhin schon frühzeitig eine datenschutzrechtliche Grundlage geschaffen.

"Gefahr von Verhaltensanpassungen durch das Gefühl der Überwachung"

Beim umstrittenen Sicherheitspaket gab es eine Anhörung im Bundestagsinnenausschuss, in der Sie massive datenschutzrechtliche Bedenken an der biometrischen Internetfahndung geäußert haben. Daraufhin hat die Koalition die Anti-Terrorregeln abgemildert. Sind Sie nun damit zufrieden?

Die Regelungen, die von der Ampel im Rahmen des Gesetzes zur Verbesserung der Terrorismusbekämpfung am Freitag verabschiedet wurden [dann aber vom Bundesrat gestoppt wurden; Anm. d. Red.], müssen sowohl mit Verfassung als auch der europäischen KI-Verordnung in Einklang stehen. Schließlich ist der Einsatz von Gesichtserkennungssystemen ein sehr intensiver Eingriff in Grundrechte. Geschieht er zudem im öffentlichen Raum, werden auch Menschen erfasst, die keinerlei Anlass geben. Vor diesem Hintergrund hat der europäische Gesetzgeber in der KI-Verordnung bestimmte Anwendungen ausgeschlossen bzw. setzt hierfür enge Grenzen.

Man muss sich vor Augen führen: So lange jede Person potenziell Objekt derartiger Abgleichmaßnahmen werden kann, ist die Gefahr von Verhaltensanpassungen durch das Gefühl der Überwachung groß. Das ist verhaltenswissenschaftlich nachgewiesen und das können wir in einem Rechtsstaat und einer Demokratie eigentlich nicht wollen. Deshalb haben wir unter anderem darauf hingewiesen, dass Zeugen und andere Dritte von den Maßnahmen ausgeschlossen werden müssen. Das ist zum Teil auch korrigiert worden.    

Tatsächlich hat die Koalition unsere Kritik auch an anderen Stellen aufgegriffen. So wurde beispielsweise die Eingriffsschwelle des Abgleichs erhöht. Deswegen darf die biometrische Fahndung nur noch bei besonders schweren Straftaten angeordnet werden. Es gilt also der Maßstab nach § 100b und nicht wie zuvor nach § 100a Strafprozessordnung.  

Sicherheitspaket: "Leider muss uns nicht zugehört werden"

Gestärkt hat die Ampel im Gesetzgebungsverfahren Ihre Rolle beziehungsweise die ihrer Behörde: Sie sollen die Einhaltung Regeln in der Praxis kontrollieren und werden angehört. Auch bei einer Verordnung, die die technischen Verfahren der biometrischen Fahndung festlegen soll, hätten Sie künftig ein Wörtchen mitzureden.

Es ist schön, dass wir angehört werden. Es ist aber leider nicht geregelt worden, dass uns auch zugehört werden muss. Das bedeutet, dass unsere Kritik im Zweifel nicht aufgegriffen werden muss. An dieser Stelle hätte ich mir eine verbindliche Benehmensregelung gewünscht.  

Sie hatten in der Anhörung vor einer neuen Superdatenbank gewarnt, in der das BKA die Daten aus dem Internet zwecks Abgleichung einspeist.

Ich frage mich weiter, wie das BKA nach dem neuen § 16a BKAG künftig eine technisch saubere, mit der KI-Verordnung in Einklang stehende Lösung finden will. Die Gefahr einer "Superdatenbank" mit den biometrischen Daten aller im Internet verfügbaren Bilder halte ich weiterhin für groß.  

Das würde ja bedeuten, dass das von der Ampel so heiß ersehnte Anti-Terror-Instrument noch lange auf sich warten lässt?

Ich kann mir zumindest vorstellen, dass die Lösungsfindung auf technischer Seite noch sehr lange dauern wird.  

Herzlichen Dank für das Gespräch.

Prof. Dr. Louisa Specht-Riemenschneider ist seit 3. September 2024 Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. An der Universität Bonn leitet sie den Lehrstuhl für Bürgerliches Recht, Recht der Datenwirtschaft, des Datenschutzes, der Digitalisierung und der Künstlichen Intelligenz. Außerdem ist sie dort Direktorin am Institut für Handels- und Wirtschaftsrecht sowie Direktorin am Zentrum für Medizinische Datennutzbarkeit und Translation (ZMDT).