Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Bettina Gayk, geht davon aus, dass KI ein Thema wird, was sie im Jahr 2025 beschäftigen wird.
Anzeige
In einem Interview gab Gayk Ende 2024 einen Ausblick auf ihrer diesbezüglichen Erwartungen. Ich stelle die Informationen mal hier im Blog ein.
Rückblick auf 2024 aus Sicht der Datenschützerin
Gayk: Die Aufgabe bleibt spannend. Dominate Themen, die den Datenschutz betreffen, waren in diesem Jahr die technische Entwicklung beim Einsatz Künstlicher Intelligenz und die Digitalisierung und Vernetzung im Gesundheits- und Wissenschaftsbereich. In der Informationsfreiheit gibt es in NRW leider eine Stagnation.
Hier sollte die Landesregierung das Informationsfreiheitsgesetz in ein echtes Transparenzgesetz weiterentwickeln und festschreiben, dass wichtige veröffentlichungsfähige Informationen, über die die Verwaltung verfügt, aktiv über Informationsportale bereitgestellt werden. Das stelle ich mir unter einer transparenten Information über Verwaltungsarbeit vor. Nach wie vor meine ich, dass das ein gutes Mittel ist, um Fake-News entgegenzuwirken.
Anzeige
Was waren die Fälle, die die LDI NRW 2024 am intensivsten beschäftigt haben? Gibt es Trends?
Gayk: Passend zum Thema KI haben wir uns zwei große Anbieter von Large Language Modellen angesehen. Wir stoßen hier an Grenzen, wenn dabei personenbezogene Daten verwendet werden, weil es an einer Harmonisierung zwischen der Datenschutzgrundverordnung und der Verordnung über Künstliche Intelligenz fehlt. Insgesamt ein wichtiges Thema, bei dem die europäischen Datenschutzaufsichtsbehörden sich gut koordinieren müssen.
Der Einsatz einer Software zur Emotionserkennung bei Anrufen im Call Center beschäftigte uns sehr und tut dies noch. Ein unzulässiger Datenaustausch zwischen einer großen Zahl von Unternehmen in Deutschland und dem deutschsprachigen Ausland wurde uns gemeldet. Wir haben dazu eine konzertierte Prüfung mit den betroffenen Aufsichtsbehörden angestoßen und werden sicher im kommenden Jahr über das Ergebnis berichten können. Beide Fälle bearbeiten wir sehr konzentriert, weil von der Datenverarbeitung jeweils viele Personen betroffen sind.
Die Kontrolle über die Staatsanwaltschaften ist eine Dauerbaustelle, die es seit meiner Amtsübernahme gibt. Eine Staatsanwaltschaft in NRW hat aufgrund einer Änderung in der Strafprozessordnung den Standpunkt eingenommen, dass ich die Staatsanwaltschaften nicht mehr kontrollieren dürfe. Ich habe bereits mit zwei Justizministern darüber diskutiert.
Nachdem das Justizministerium inzwischen gegenüber dem Landtag geäußert hatte, dass ich für die Datenschutzkontrolle bei den Staatsanwaltschaften zuständig sei, wollten wir nun in diesem Jahr die verweigerte Kontrolle endlich durchführen. Wir sind aber wieder auf Ablehnung gestoßen. Zu meiner großen Überraschung hat das Justizministerium die Staatsanwaltschaft in dieser Position nun bestärkt. Die Rechtslage ist indessen sehr klar eine andere. Mir ist der Kontrollbereich sehr wichtig, weil es für Personen, die einer Straftat verdächtig waren, von großer Bedeutung ist, dass ihr Daten korrigiert werden, wenn sich der Verdacht nicht erhärtet hat. Da möchte ich schon ab und an prüfen, ob das gut läuft.
Deutet sich schon an, was 2025 auf Sie und damit auch auf die Bürgerinnen und Bürger zukommen wird?
Gayk: Auch hier wird uns das Thema KI weiter beschäftigen. Die Behörden, die die Marktaufsicht nach der KI-Verordnung führen sollen, müssen national bestimmt werden. Die bisherige Regierung will die Aufgabe bei der Bundesnetzagentur bündeln. Dazu sollen auch Aufgaben, die die KI-VO selbst bereits den Datenschutzaufsichtsbehörden übertragen hat, dem Vernehmen nach bei der Bundesnetzagentur verankert werden. Es geht da um den Einsatz von KI-Tools bei Polizei, in Schulen und der Wissenschaft – eigentlich alles Aufgabenstellungen der Länder. Ob dies europarechtlich und verfassungsrechtlich im föderalen Staat überhaupt zulässig durch eine Bundesbehörde beaufsichtigt werden kann, ist hier die zentrale Frage. Da zu Beginn des kommenden Jahres bekanntlich gewählt wird, ist aber hoffentlich noch nichts in Stein gemeißelt.
Dann wird die elektronische Patientenakte kommen. Wir haben dazu vor kurzem noch einmal über die Widerspruchsmöglichkeiten informiert, die Betroffene haben. Mir scheint das System noch einige Kinderkrankheiten zu haben, daher sollten die betroffenen gesetzlich Versicherten sich gut überlegen, ob sie gleich von Anfang an dabei sein wollen. Ein Widerspruch kann ja auch zu einem späteren Zeitpunkt zurückgezogen werden, wenn klarer ist, ob das System trägt.
Was sind bei KI denn die größten Herausforderungen?
Gayk: Die Fragen vor denen nicht nur wir, sondern alle Datenschutzbehörden stehen, ist der Umgang mit Modellen, die außerhalb der EU trainiert wurden und unseren Datenschutzstandards widersprechen. Das ist nicht nur ein Datenschutzproblem, sondern tangiert auch die Konkurrenzfähigkeit europäischer Unternehmen.
Außerdem ist die Verwirklichung von Betroffenenrechten, die die DS-GVO garantiert, in Large Language Modellen ausgeschlossen. Hier treffen wir auf eine politische und seit der KI-VO auch gesetzliche Erwartung, solche Anwendungen dennoch zuzulassen. Es fehlt aber an einer Lösung, die für Betroffene einen alternativen und ausreichenden Schutz ihrer Belange gewährleistet. Dazu sind aus meiner Sicht weitere, europäisch einheitliche Lösungen notwendig.
Am 18. Februar werden wir dazu Experten zu einem Symposium einladen und setzen dabei den Schwerpunkt bei der Frage, ob und wie Verwaltung KI-Anwendungen einsetzen kann.
Welche Pläne haben Sie für Ihre Behörde in den nächsten Jahren?
Gayk: Ich bin jetzt ungefähr in der Mitte meiner Amtszeit. In den verbleibenden vier Jahren möchte ich erreichen, dass wir uns darin verbessern, unsere Befugnisse aus der DS-GVO gezielt und rechtssicher dort einzusetzen, wo dies zur Gewährleistung der Grundrechte der Betroffenen am wirkungsvollsten ist. Datenverarbeitung ist so allgegenwärtig, dass man sich leicht verzetteln kann, wenn man versucht, alle Probleme gleichzeitig zu lösen. Meine einzelnen Fachbereiche sind da im Moment in einem Prozess, entsprechende Projekte mit einem hohen Nutzen für die Betroffenen für das kommende Jahr zu identifizieren. Angesichts des jährlich sehr hohen Beschwerdeaufkommens bei meiner Behörde müssen wir gewichten. Das wird auch bedeuten, dass wir in den Einzelfällen, die wir erhalten und bei denen die Betroffenen sich eigentlich ganz gut selbst helfen können, nicht mehr so tief einsteigen, sondern nur noch Hinweise geben.
Wir werden auch den Blick dafür schärfen, wo bestimmte Verantwortliche immer wieder dieselben Verstöße begehen. Im Augenblick prüfen wir ein Unternehmen, das Auskunftsansprüche recht regelmäßig missachtet und immer wieder behauptet, Anfragen nicht erhalten zu haben. Teils ist das bewiesen falsch. Einen Nachweis über die Herkunft der vom Unternehmen bearbeiteten Daten bleibt es auch in schöner Regelmäßigkeit schuldig. Hier bündeln wir die Fälle. Das hat System, und solche systematischen Verstöße stellen wir nicht ab, wenn wir kleine Bußgelder in jedem Einzelfall verhängen. Wir haben dann die Möglichkeit, den sehr hohen Bußgeldrahmen der DS-GVO anders zu nutzen.
Als eine der größeren Datenschutzbehörden müssen wir natürlich auch bei wichtigen Themen eine Führungsrolle übernehmen. Wir haben aufgrund der Schwerpunktthemen, die wir innerhalb der Datenschutzkonferenz betreuen zum Beispiel eine hohe Expertise in Themen des Banken- und Finanzsektors und wir sind beim Thema Zertifizierung europaweit ziemlich weit vorn. Letzteres halte ich für sehr wichtig, weil über Zertifizierungen ein guter Datenschutz in die Fläche gebracht wird. Unternehmen mit zertifizierten Datenverarbeitungen können damit werben, dass sie den Datenschutz ihrer Kund*innen ernst nehmen.
Nicht vergessen will ich schließlich die Informationsfreiheit. Hier wünsche ich mir, dass das Informationsfreiheitsgesetz bis zum Ende meiner Amtszeit um Transparenzpflichten ergänzt wird. Ich formuliere das bewusst als Wunsch, denn ich weiß von den Vorbehalten der Verwaltung und einer daraus resultierenden Zurückhaltung bei einigen politischen Akteur*innen, die für eine Änderung des Gesetzes wichtig sind. Das liegt nicht in meiner Hand. Ich glaube aber, dass man kluge gesetzliche Lösungen formulieren kann, die mehr Transparenz erreichen. Davon profitieren nach meiner Vorstellung am Ende Bürger*innen und Verwaltung gleichermaßen.
Anzeige
Datenschutz hat sich in ein paar Jahren eh wieder erledigt. Wer aufmerksam zuschaut sieht ja bereits die Ansätze, das was man mühsam jahrelang erkämpft hat wieder einzuschränken und abzubauen. Mit KI ist Datenschutz eh nicht mehr möglich und auf KI will nun mal niemand verzichten. Die Masse versteht Datenschutz sowieso nur als Einschränkung, welche sie in Ihrer Bequemlichkeit hindert.
Den Rest erledigt die geopolitische Sachlage.
"Datenschutz hat sich in ein paar Jahren eh wieder erledigt. Wer aufmerksam zuschaut sieht ja bereits die Ansätze, das was man mühsam jahrelang erkämpft hat wieder einzuschränken und abzubauen."
Das bezweifle ich persönlich. Diejenigen, die Datenschutz als "Hindernis" erachten, haben Datenschutz noch nie verstanden und scheuen sich vor Veränderungen.
"Mit KI ist Datenschutz eh nicht mehr möglich und auf KI will nun mal niemand verzichten."
Deswegen die Zwangsbeglückung durch Microsoft, weil niemand darauf verzichten kann? Du scheinst in einer alternativen Realität zu leben…
"Die Masse versteht Datenschutz sowieso nur als Einschränkung, welche sie in Ihrer Bequemlichkeit hindert."
Dieser Aussage möchte ich klar widersprechen. Viele Bürgerinnen und Bürger wachen allmählich auf, weil sie die negativen Auswirkungen der Datensammlung spüren. Und das geht über die "personalisierte Werbung" weit hinaus. Sei es, dass man ihren Tagesablauf rekonstruieren kann, sei es, weil ihre Daten mit einer Vielzahl von Firmen (überwiegend im Ausland) geteilt werden und sie "keine Kontrolle" darüber haben.
Bereits Millionen gesetzlich Versicherte haben auch schon der elektronischen Patientenakte (ePA) widersprochen. Siehe hier: https://www.golem.de/news/elektronische-patientenakte-rund-jeder-30-widerspricht-der-epa-fuer-alle-2501-192410.html
Das größte Hindernis der KI ist nicht der Datenschutz, sondern es sind das Urheberrecht und die Frage der Monetarisierung. Bei vielen KI-Diensten stellt sich ohnehin die Frage des praktischen Mehrwerts.
******************
Deswegen die Zwangsbeglückung durch Microsoft, weil niemand darauf verzichten kann? Du scheinst in einer alternativen Realität zu leben…
*****************
weil sie an die Daten wollen… da geht es um Milliarden $Firmen springen doch vermehrt drauf an, kann man damit doch
Personal einsparen… Gewinnmaximierung ist nun mal fester Bestandteil unserer Marktwirtschaft und das geht am besten durch Personaleinsparungen. Privatpersonen dienen da als Datenlieferant, nicht Nutznießer, als Rohstoff den man ausbeuten kann… in typischer Raubbaumanier.
Seit Jahren werden doch die Rechte des Einzelnen wieder ausgehöhlt.
Unsere Politiker weren nicht müde uns gläsern zu machen , selbst ein einkassieren durch das Bundesverfassungsgericht bringt sie nicht davon ab.
ePA ach ne Millionen von über 90 Millionen… wie im Artikel erwähnt "nur jeder 30."… so kann man sich das natürlich auch schön reden.
Datenschutz interessiert die Masse einfach nicht!
Aber darüber diskutieren wir dann in ein paar Jahren nochmals.
So sieht es aus.
„ Mit KI ist Datenschutz eh nicht mehr möglich […]"
Warum? Man kann so eine KI auch selbst hosten und lernen lassen. Und genau das passiert auch in Behörden bzw. deren Dienstleistern. Da steht man noch sehr am Anfang, aber es wird in diese Richtung gehen.
Weil KI letztendlich ne Blackbox ist… und es spielt dabei doch keine wirkliche Rolle wer die hostet… gerade Behörden tun die ja dann mit unseren Persönlichen Daten anlernen… und wie gut Behörden ihre Systeme im Griff haben sieht man ja fast schon täglich ;-P
MS, Google, Meta & Co. sind sicher nicht die Guten wenn es um unsere Daten geht (und selbst die müssen ja zugeben das sie nicht mehr wissen was in einer KI abgeht)… aber die haben garantiert mehr Ahnung von KI als unsere Behörden!
Also eine Behörden KI mit den privatesten Daten der Bevölkerung… quasi ein Schlaraffenland für jeden Hacker.
Wie kommst Du auf den Gedanken, dass die Behörden KIs mit Daten der Bevölkerung gefüttert werden?
Gerade das passiert dort eben nicht! Die KIs werden als Unterstützung zum Schreiben von E-Mails, Briefen, Dokumenten usw. eingesetzt. Der Einsatzzweck ist da sehr klar und deutlich formuliert. Daten der Bürgerinnen und Bürger haben dort nichts verloren.
Und wozu braucht man für diese Schreibtätigkeiten eine KI?
Wie man behördliche Briefe formuliert, das ist Bestandteil der Ausbildung in den entsprechenden Ausbildungsberufen!
Oder will man die Ausbildung von Menschen abschaffen, denn das macht ja die KI?
Ich wüsste nicht, wie mich eine KI beim Schreiben von Emails, Briefen etc. unterstützen könnte.
Meine Theorie: Das Thema Briefe per KI schreiben ist der US-Erzählung Microsofts geschuldet. In den USA ist der Ausbildungsstand oft sehr schlecht und ich beobachte seit Jahrzehnten, wie Firmen wie Microsoft versuchen, mit Softwarelösungen das Erstellen von Texten zu verbessern. Man muss sich nur die Grammatik-Prüfung aus Office (speziell Word) ansehen, wo der Anspruch erhoben wurde, dass man "bessere Texte" erstellt. War teilweise hirnrissig, was da bei rum kam (hab das als MS Press-Autor vor 15 Jahren verfolgt, in Englisch funktionierte es noch irgendwie, in Deutsch war es nur grauselig). In Deutschland wurden häufig Textvorlagen in Firmenschreiben verwendet und dann individualisiert. Heute hat man halt die KI-Lösung, in die man Geld investiert hat, und die nun unter die Anwenderschaft geschoben werden soll.
Es mag Fälle geben, wo die KI-Unterstützung hilft. Wenn aber nur noch geschliffener Nonsense herauskommt, wird es schwierig. Gerade noch einen Artikel gelesen, dass der heutigen Jugend die Fähigkeit, sich schriftlich auszudrücken, verloren geht. In den USA wird das an Universitäten massiv beklagt. Die Hoffnung ist, dass KI das etwas kompensieren kann – wird der Gesellschaft aber in einigen Jahren vermutlich arg auf die Füße fallen.
Noch schlimmer war das Ergebnis einer Umfrage in Großbritannien, von der ich kürzlich gelesen habe.
Danach gaben 21% der Gen-Z an, das sie für den Wechsel einer Glühbirne einen Handwerker rufen würden!
Wenn man nicht einmal das hinbekommt, dann sehe ich sehr schwarz für die Zukunft.
Die Menschheit verblödet immer mehr und "KI" soll es dann richten.
Was die GRammtikprüfung in Office angeht: Ja, die ist gruselig. Die habe ich grundsätzlich abgeschaltet.
Und auch die Rechtschreibprüfung hat öfter mal Probleme z.B. mit der Deklination von Wörtern.
Man driftet leider mal wieder ins Land der Fantasien ab.
Hat hier eigentlich irgendjemand Erfahrungen aus erster Hand wie in Behörden mit KI gearbeitet wird/werden soll?
Es wird so sein, dass die KI gewiss nicht zur Entscheidungsfindung für ein Antrag genutzt wird, ob dieser nun bewilligt wird oder nicht. Die KI wird ein Tool zur Unterstützung werden, die bei der Bearbeitung von Standardfällen unterstützt und so zeitliche Ressourcen frei räumt, um sich den Nicht-Standardfällen zu widmen. Dabei wird es sowohl technische Maßnahmen geben, z.B. dass das Hosting der KI durch ein eigenen Dienstleister passiert, als auch organisatorische Maßnahmen geben, wie z.B. das Ausgaben einer KI überprüft werden müssen und die Verantwortung bei dem Mitarbeiter verbleibt.
Wie man die Einführung einer KI damit gleichsetzen kann, dass die Ausbildung dann ja abgeschafft werden kann entzieht sich mir vollständig. Das ist völliger Unsinn. Die meisten Ausbildungen enthalten einen kleinen Teil wie man Geschäftsbriefe formuliert und schreibt. Aber das wird in keiner Ausbildung den essenziellen Teil ausmachen – auch nicht bei einer Ausbildung zum Verwaltungsfachangestellten, dort lernt man wie man Gesetze, Kommentierungen und alles was dazugehört liest und anwendet, welche Abläufe für eine Bundestagswahl wichtig sind, wie sich ein Gemeinderat zusammensetzt, was die rechtlichen Rahmenbedingungen sind, etc. pp.
Man wird um das Thema KI nicht herumkommen. Wenn man am Markt bleiben will, dann muss man sich damit auseinandersetzen. Das werden früher oder später vielleicht auch die Ewiggestrigen erkennen.
Für was sonst braucht man ein Behörden KI? Um die Daten der Bürger auszuwerten. Behörden verarbeiten Bürgerdaten! Soll die KI da bei der Arbeit helfen ist es unumgänglich das die KI Zugriff auf diese Daten bekommt.
Da unterstützt dann die KI zum Beispiel zu entscheiden ob dein Antrag XYZ2138 bewilligt wird oder nicht oder ob du nicht zuerst noch Formular ID10T vorlegen musst.
Mit was sollen sie auch sonst füttern? Die Tägliche BILDzeitung? Hilft wohl kaum im Behördenalltag.
Ki ist ganz lustig, im Detail finde ich es aber bisher recht schwach.
Gut, man kann Arbeiten auf Low Performer Niveau erledigen.
Nicht jeder Kommentar kommt durch ;-) so ist das im Leben.
Nun tut sich die NRW Landesdatenschutzperson in besseres Licht setzen:
https://www.heise.de/news/Versicherer-sollen-Gesundheitsdaten-von-Kunden-per-Mail-ausgetauscht-haben-10252424.html
Mein damaliges Auskunftsersuchen bei einem NRW-KV-Unternehmen ging in die Richtung … vielleicht gibts ja noch Post. Nur wie ist die Überwachungsbehörde denn nun den Versicherungen auf den Trichter gekommen?
Nu jo …
Ist im
Blog thematisiert
ich war erster :-) nur: Wie ist das LDI NRW dem Kartell auf die Schliche gekommen? Einfache E-Mails ohne Verschlüsselung? tststs
Viele Grüße an die Kollegen in den betroffenen Versicherungen. Wird schon nicht so schlimm werden.