Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Bettina Gayk, geht davon aus, dass KI ein Thema wird, was sie im Jahr 2025 beschäftigen wird.
Anzeige
In einem Interview gab Gayk Ende 2024 einen Ausblick auf ihrer diesbezüglichen Erwartungen. Ich stelle die Informationen mal hier im Blog ein.
Rückblick auf 2024 aus Sicht der Datenschützerin
Gayk: Die Aufgabe bleibt spannend. Dominate Themen, die den Datenschutz betreffen, waren in diesem Jahr die technische Entwicklung beim Einsatz Künstlicher Intelligenz und die Digitalisierung und Vernetzung im Gesundheits- und Wissenschaftsbereich. In der Informationsfreiheit gibt es in NRW leider eine Stagnation.
Hier sollte die Landesregierung das Informationsfreiheitsgesetz in ein echtes Transparenzgesetz weiterentwickeln und festschreiben, dass wichtige veröffentlichungsfähige Informationen, über die die Verwaltung verfügt, aktiv über Informationsportale bereitgestellt werden. Das stelle ich mir unter einer transparenten Information über Verwaltungsarbeit vor. Nach wie vor meine ich, dass das ein gutes Mittel ist, um Fake-News entgegenzuwirken.
Anzeige
Was waren die Fälle, die die LDI NRW 2024 am intensivsten beschäftigt haben? Gibt es Trends?
Gayk: Passend zum Thema KI haben wir uns zwei große Anbieter von Large Language Modellen angesehen. Wir stoßen hier an Grenzen, wenn dabei personenbezogene Daten verwendet werden, weil es an einer Harmonisierung zwischen der Datenschutzgrundverordnung und der Verordnung über Künstliche Intelligenz fehlt. Insgesamt ein wichtiges Thema, bei dem die europäischen Datenschutzaufsichtsbehörden sich gut koordinieren müssen.
Der Einsatz einer Software zur Emotionserkennung bei Anrufen im Call Center beschäftigte uns sehr und tut dies noch. Ein unzulässiger Datenaustausch zwischen einer großen Zahl von Unternehmen in Deutschland und dem deutschsprachigen Ausland wurde uns gemeldet. Wir haben dazu eine konzertierte Prüfung mit den betroffenen Aufsichtsbehörden angestoßen und werden sicher im kommenden Jahr über das Ergebnis berichten können. Beide Fälle bearbeiten wir sehr konzentriert, weil von der Datenverarbeitung jeweils viele Personen betroffen sind.
Die Kontrolle über die Staatsanwaltschaften ist eine Dauerbaustelle, die es seit meiner Amtsübernahme gibt. Eine Staatsanwaltschaft in NRW hat aufgrund einer Änderung in der Strafprozessordnung den Standpunkt eingenommen, dass ich die Staatsanwaltschaften nicht mehr kontrollieren dürfe. Ich habe bereits mit zwei Justizministern darüber diskutiert.
Nachdem das Justizministerium inzwischen gegenüber dem Landtag geäußert hatte, dass ich für die Datenschutzkontrolle bei den Staatsanwaltschaften zuständig sei, wollten wir nun in diesem Jahr die verweigerte Kontrolle endlich durchführen. Wir sind aber wieder auf Ablehnung gestoßen. Zu meiner großen Überraschung hat das Justizministerium die Staatsanwaltschaft in dieser Position nun bestärkt. Die Rechtslage ist indessen sehr klar eine andere. Mir ist der Kontrollbereich sehr wichtig, weil es für Personen, die einer Straftat verdächtig waren, von großer Bedeutung ist, dass ihr Daten korrigiert werden, wenn sich der Verdacht nicht erhärtet hat. Da möchte ich schon ab und an prüfen, ob das gut läuft.
Deutet sich schon an, was 2025 auf Sie und damit auch auf die Bürgerinnen und Bürger zukommen wird?
Gayk: Auch hier wird uns das Thema KI weiter beschäftigen. Die Behörden, die die Marktaufsicht nach der KI-Verordnung führen sollen, müssen national bestimmt werden. Die bisherige Regierung will die Aufgabe bei der Bundesnetzagentur bündeln. Dazu sollen auch Aufgaben, die die KI-VO selbst bereits den Datenschutzaufsichtsbehörden übertragen hat, dem Vernehmen nach bei der Bundesnetzagentur verankert werden. Es geht da um den Einsatz von KI-Tools bei Polizei, in Schulen und der Wissenschaft – eigentlich alles Aufgabenstellungen der Länder. Ob dies europarechtlich und verfassungsrechtlich im föderalen Staat überhaupt zulässig durch eine Bundesbehörde beaufsichtigt werden kann, ist hier die zentrale Frage. Da zu Beginn des kommenden Jahres bekanntlich gewählt wird, ist aber hoffentlich noch nichts in Stein gemeißelt.
Dann wird die elektronische Patientenakte kommen. Wir haben dazu vor kurzem noch einmal über die Widerspruchsmöglichkeiten informiert, die Betroffene haben. Mir scheint das System noch einige Kinderkrankheiten zu haben, daher sollten die betroffenen gesetzlich Versicherten sich gut überlegen, ob sie gleich von Anfang an dabei sein wollen. Ein Widerspruch kann ja auch zu einem späteren Zeitpunkt zurückgezogen werden, wenn klarer ist, ob das System trägt.
Was sind bei KI denn die größten Herausforderungen?
Gayk: Die Fragen vor denen nicht nur wir, sondern alle Datenschutzbehörden stehen, ist der Umgang mit Modellen, die außerhalb der EU trainiert wurden und unseren Datenschutzstandards widersprechen. Das ist nicht nur ein Datenschutzproblem, sondern tangiert auch die Konkurrenzfähigkeit europäischer Unternehmen.
Außerdem ist die Verwirklichung von Betroffenenrechten, die die DS-GVO garantiert, in Large Language Modellen ausgeschlossen. Hier treffen wir auf eine politische und seit der KI-VO auch gesetzliche Erwartung, solche Anwendungen dennoch zuzulassen. Es fehlt aber an einer Lösung, die für Betroffene einen alternativen und ausreichenden Schutz ihrer Belange gewährleistet. Dazu sind aus meiner Sicht weitere, europäisch einheitliche Lösungen notwendig.
Am 18. Februar werden wir dazu Experten zu einem Symposium einladen und setzen dabei den Schwerpunkt bei der Frage, ob und wie Verwaltung KI-Anwendungen einsetzen kann.
Welche Pläne haben Sie für Ihre Behörde in den nächsten Jahren?
Gayk: Ich bin jetzt ungefähr in der Mitte meiner Amtszeit. In den verbleibenden vier Jahren möchte ich erreichen, dass wir uns darin verbessern, unsere Befugnisse aus der DS-GVO gezielt und rechtssicher dort einzusetzen, wo dies zur Gewährleistung der Grundrechte der Betroffenen am wirkungsvollsten ist. Datenverarbeitung ist so allgegenwärtig, dass man sich leicht verzetteln kann, wenn man versucht, alle Probleme gleichzeitig zu lösen. Meine einzelnen Fachbereiche sind da im Moment in einem Prozess, entsprechende Projekte mit einem hohen Nutzen für die Betroffenen für das kommende Jahr zu identifizieren. Angesichts des jährlich sehr hohen Beschwerdeaufkommens bei meiner Behörde müssen wir gewichten. Das wird auch bedeuten, dass wir in den Einzelfällen, die wir erhalten und bei denen die Betroffenen sich eigentlich ganz gut selbst helfen können, nicht mehr so tief einsteigen, sondern nur noch Hinweise geben.
Wir werden auch den Blick dafür schärfen, wo bestimmte Verantwortliche immer wieder dieselben Verstöße begehen. Im Augenblick prüfen wir ein Unternehmen, das Auskunftsansprüche recht regelmäßig missachtet und immer wieder behauptet, Anfragen nicht erhalten zu haben. Teils ist das bewiesen falsch. Einen Nachweis über die Herkunft der vom Unternehmen bearbeiteten Daten bleibt es auch in schöner Regelmäßigkeit schuldig. Hier bündeln wir die Fälle. Das hat System, und solche systematischen Verstöße stellen wir nicht ab, wenn wir kleine Bußgelder in jedem Einzelfall verhängen. Wir haben dann die Möglichkeit, den sehr hohen Bußgeldrahmen der DS-GVO anders zu nutzen.
Als eine der größeren Datenschutzbehörden müssen wir natürlich auch bei wichtigen Themen eine Führungsrolle übernehmen. Wir haben aufgrund der Schwerpunktthemen, die wir innerhalb der Datenschutzkonferenz betreuen zum Beispiel eine hohe Expertise in Themen des Banken- und Finanzsektors und wir sind beim Thema Zertifizierung europaweit ziemlich weit vorn. Letzteres halte ich für sehr wichtig, weil über Zertifizierungen ein guter Datenschutz in die Fläche gebracht wird. Unternehmen mit zertifizierten Datenverarbeitungen können damit werben, dass sie den Datenschutz ihrer Kund*innen ernst nehmen.
Nicht vergessen will ich schließlich die Informationsfreiheit. Hier wünsche ich mir, dass das Informationsfreiheitsgesetz bis zum Ende meiner Amtszeit um Transparenzpflichten ergänzt wird. Ich formuliere das bewusst als Wunsch, denn ich weiß von den Vorbehalten der Verwaltung und einer daraus resultierenden Zurückhaltung bei einigen politischen Akteur*innen, die für eine Änderung des Gesetzes wichtig sind. Das liegt nicht in meiner Hand. Ich glaube aber, dass man kluge gesetzliche Lösungen formulieren kann, die mehr Transparenz erreichen. Davon profitieren nach meiner Vorstellung am Ende Bürger*innen und Verwaltung gleichermaßen.
Anzeige
Datenschutz hat sich in ein paar Jahren eh wieder erledigt. Wer aufmerksam zuschaut sieht ja bereits die Ansätze, das was man mühsam jahrelang erkämpft hat wieder einzuschränken und abzubauen. Mit KI ist Datenschutz eh nicht mehr möglich und auf KI will nun mal niemand verzichten. Die Masse versteht Datenschutz sowieso nur als Einschränkung, welche sie in Ihrer Bequemlichkeit hindert.
Den Rest erledigt die geopolitische Sachlage.