Was bedeutet Datenschutz in der digitalen Ära?

- Es gilt das gesprochene Wort -

Kernbotschaften:

1. Die BfDI sieht die datenschutzrechtlichen Schwerpunktthemen in der digitalen Ära in den Bereichen Gesundheit, KI und Sicherheit.
   a) Im Bereich Gesundheit liegt der Schwerpunkt auf der Opt-Out-ePA. Gemeinsam mit gematik und BSI konnte die BfDI hier signifikante Verbesserungen für Datenschutz und Datensicherheit erreichen.
   b) Im Bereich KI liegt der Schwerpunkt auf der Rechtmäßigkeit von KI-Training und einer Beantwortung der sog. Infektionsthese. Aus Sicht der BfDI ist auch bei rechtswidrigem KI-Training unter bestimmten Voraussetzungen eine rechtmäßige KI-Nutzung möglich.
   c) Im Bereich Sicherheit liegt der Schwerpunkt auf einer homogenen IT-Infrastruktur und einer Gewährleistung der unabhängigen Aufsichtskompetenz bei der BfDI.
2. Strategisch möchte die BfDI ihre Ziele mit ihrem Dialog- und Beratungsansatz unter Aufrechterhaltung eines hohen Kontrollniveaus erreichen. Gute Instrumente hierfür sind Strategic Foresights und KI-Reallabore.
3. Datenschutz muss in der digitalen Ära zum Standortvorteil werden und positiv kommuniziert werden.

 

Meine sehr geehrten Damen und Herren,
liebe Gäste des 26. Datenschutzkongresses,
ganz herzlichen Dank für Ihre Einladung. Es ist mir eine große Freude und Ehre, Ihnen mit meiner Keynote Einblicke darin geben zu dürfen, was für mich Datenschutz in der digitalen Ära bedeutet.

I. Einleitung

Das Thema des 26. Datenschutzkongresses ist vorzüglich gewählt: Managing Uncertainity.

Datenschutz und Datenrecht müssen in der digitalen Ära neu und – vor allem – zusammen gedacht werden.

Die aktuelle geopolitische Situation betrifft auch den digitalen Raum. Nie waren digitale Souveränität und klare Leitlinien für deutsche wie europäische Player wichtiger als heute.

Ich möchte Ihnen daher einen Einblick geben, welche Schwerpunkte im Datenschutz in der digitalen Ära aus meiner Sicht gesetzt werden müssen.

Diese Themen werden mich und meine Behörde die nächsten Jahre beschäftigen.  

Ich möchte dabei vom Kleinen ins Große gehen: Wir haben natürlich viele Einzelthemen, die uns beschäftigen. Über diese möchte ich Ihnen gerne einen Überblick geben.

Anschließend möchte ich Ihnen erläutern, wie ich an diese Themen strategisch herangehe. Beratung und Dialog sind hier die Stichworte. Schließen möchte ich mit dem Big Picture:

Welche Rolle kann und sollte Datenschutzrecht in unserer digitalen Ära mit einer zunehmend digitalen Wirtschaft und digitalen Gesellschaft spielen? Wohin sollten wir meines Erachtens digitalpolitisch steuern?  

II. Themenüberblick

Lassen Sie mich beginnen mit den Themen, die uns derzeit beschäftigen. Ich habe zu Beginn meiner Amtszeit drei Schwerpunktthemen gesetzt, die datenschutzpolitisch aus meiner Sicht die höchste Relevanz in der digitalen Ära haben: Gesundheit, KI und Sicherheit.

Tatsächlich sind dies auch die Bereiche für uns als Behördenleitung mit den derzeit wohl größten Herausforderungen. 

III. Gesundheit

Lassen Sie uns mit dem Gesundheitsbereich beginnen: Hier beschäftigt mich derzeit vor allem der bundesweite Rollout der elektronischen Patientenakte (ePA).

Nachdem der Chaos Computer Club (CCC) Ende Dezember eine Sicherheitslücke identifiziert hatte, hat sich die flächendeckende Einführung der Opt-out-ePA weiter hinausgezögert.

Seit genau zwei Wochen ist der bundesweite Rollout der ePA für alle nun gestartet. Spätestens ab Oktober soll die ePA bundesweit genutzt werden können.

Lassen Sie mich kurz erläutern, warum ich mich als BfDI nicht darauf ausruhe, zu sagen, man hätte das Projekt anders aufsetzen müssen oder uns früher beteiligen müssen. Warum ich mich nicht darauf ausruhe zu beklagen, dass man das Einvernehmen gestrichen hat, das bis 2023 mit der BfDI herstellen musste, wenn neue Regeln für die ePA erlassen muss. Seither muss man uns nur noch ins „Benehmen“ setzen. Natürlich ist das aus datenschutzrechtlicher Sicht unbefriedigend.

Aber umso mehr ist es jetzt an uns und an mir, noch besser zu erklären, was datenschutzrechtlich erforderlich ist. Wir als Aufsichtsbehörden müssen erklären, wie Datenschutzrecht eingehalten werden kann.

Und ja: Datenschutz und IT-Sicherheit dürfen Geld kosten. Der gewährleistete Grundrechtsschutz ist das wert.

Aber auch hier gilt: Bedeutung und Umsetzungsmöglichkeiten von Datenschutz müssen besser erläutert werden.

Ich möchte Lösungen anbieten. Umso mehr trifft es mich natürlich, wenn Kampagnen immer wieder herausstellen, Datenschutz würde die Heilungschancen von Menschen signifikant verschlechtern.

Es deprimiert mich, dass Gesundheitsschutz und Datenschutz pauschal gegeneinandergestellt werden.

Aber ich sehe natürlich, dass sich diese Wahrnehmung in großen Teilen der Öffentlichkeit manifestiert hat.

Mein Appell an den Gesetzgeber lautet daher: Gebt uns klarere und einheitlichere Regeln.

Ich bin gern bereit, die Rolle der Aufsicht im Gesundheitsbereich kritisch zu reflektieren aber ich kann uneinheitliche Landeskrankenhausgesetze, die den Umgang mit Patient:innendaten uneinheitlich regeln, nicht wegzaubern.

An die Akteure im Gesundheitsbereich ebenso wie an die Patientinnen und Patienten möchte ich sagen: Lasst uns miteinander sprechen.

Die DSGVO und das BDSG ermöglichen Datennutzbarkeit im Gesundheitsbereich explizit. Ich erkläre gern unter welchen Voraussetzungen.

Zurück zur Sicherheitslücke in der ePA, die Ende 2024 durch den CCC (ComputerChaosClub) aufgedeckt wurde.

Wir haben gemeinsam mit dem BSI erreicht, dass die Authentisierungsmittel der Leistungserbringer überprüft und verifiziert werden.

Zudem werden die Leistungserbringer für den sorgsamen Umgang mit ihren Authentisierungsmitteln künftig stärker sensibilisiert.

Auch wird die Krankenversicherungsnummer nun im Prüfnachweis verschlüsselt und weitere individuelle Merkmale zur Verifizierung einer elektronischen Gesundheitskarte verwendet werden.

So wird Angriffsszenarien für die Zukunft vorgebeugt. Es wird zudem ein System zur Anomalie-Erkennung eingesetzt und regelmäßige Marktsichtungen für Zweitmärkte von Telematikinfrastruktur-Komponenten durchgeführt.

Mit einem kleinen Augenzwinkern möchte ich darauf hinweisen, dass die wenigsten IT-Projekte in der freien Wirtschaft von vornherein perfekt sind. Wir brauchen das beständige Testen auf Schwachstellen, um sie sicherer zu machen. Wir brauchen den CCC.

Der zweite Vorfall wenige Tage nach dem bundesweiten Rollout betraf das Ersatzkartenverfahren einer Krankenkasse. Dieses Verfahren wurde unmittelbar nach dem Vorfall abgestellt.

Bereits vor meinem Amtsantritt hat die BfDI im Gesundheitsbereich zwei aufsichtsrechtliche Verfahren gegen die Krankenkassen eingeleitet, die aktuell eine enge Begleitung durch meine Person fordern.

In den Verfahren geht es darum, welche Anforderungen DSGVO und SGB V dazu aufstellen, wie feingranular Patientinnen und Patienten einstellen können müssen, wer in ihrer ePA auf welche Dokumente zugreifen kann.

Zudem geht es darum, welches Sicherheitsniveau zur Authentifizierung in der ePA vorausgesetzt wird und ob eine Authentifizierung mittels Face-ID diesen Anforderungen genügen kann.

Das wird uns wichtige Erkenntnisse liefern, um die ePA perspektivisch noch nutzerfreundlicher machen zu können. Davon wird die Nutzung und der Nutzen der ePA natürlich maßgeblich abhängen.

Sie merken: Es ist essentiell, die datenschutzrechtlichen Auswirkungen neu eingeführter Techniken von Anfang an mitzudenken.

IV. Künstliche Intelligenz (KI)

Kommen wir nun zum zweiten Schwerpunktbereich: Der Künstlichen Intelligenz (KI).

Im Bereich KI stellen sich meinem Haus derzeit noch viele offene Fragen, an deren Beantwortung meine Mitarbeiterinnen und Mitarbeiter tatkräftig arbeiten.

Für das KI-Training hat der Europäische Datenschutzausschuss (EDSA) in seinen Guidelines zuletzt klargestellt, dass das Training auf Grundlage berechtigter Interessen erfolgen kann.

Das ist eine erste wichtige Erkenntnis. Ich teile diese Auffassung und möchte gerne einen Schritt weiter gehen:

Sollte der Unionsgesetzgeber sich tatsächlich dazu entscheiden, die DSGVO zu ergänzen, bietet sich die Einführung von handfesten Kriterien an, unter denen ein KI-Training mit personenbezogenen Daten zulässig und unter welchen es unzulässig ist. In einem solch grundrechtssensiblen Bereich wie der Datennutzung durch KI brauchen wir diese gesetzgeberische Entscheidung. Sie kann und darf nicht allein Gerichten und Aufsichtsbehörden überlassen werden.

Dieses Thema wird uns noch lange begleiten. Christiane Wendehorst hat hierzu in ihrem Entwurf einer KI-Datenschutz-VO einen Erlaubnistatbestand vorgeschlagen, der die Rechtmäßigkeitskriterien für KI-Training gesetzlich statuiert.

Doch neben der Rechtmäßigkeit des KI-Trainings müssen wir uns auch der Rechtmäßigkeit der KI-Nutzung widmen:

Wir müssen insbesondere die Frage nach der sogenannten Infektionsthese beantworten. Das bedeutet, wir müssen klären, was passiert, wenn die KI rechtswidrig mit personenbezogenen Daten trainiert wurde.

Ist dann die KI abzustellen? Darf sie noch von irgendjemandem verwendet werden?

Meines Erachtens muss hier differenziert werden, und zwar aus dem Verantwortlichkeitsgedanken heraus: Wurde das Modell von einer anderen Person trainiert, als derjenigen, die sie nutzt, kann der Nutzer nicht automatisch mitverantwortlich sein für das rechtswidrige KI-Training.

Er kann das KI-System benutzen, ist dabei aber freilich für die Verarbeitung der Input- und Output-Daten verantwortlich. Diese Verarbeitungen können rechtmäßig erfolgen, auch und gerade auf Grundlage eines berechtigten Interesses.

Ein rechtswidriges KI-Training steht dem nicht pauschal entgegen. Für eine absolut gedachte Infektionsthese, eine sogenannte fruit-of-the-poisonous-KI Doktrin, um mit meiner Habilitandin Anna Bernzen zu sprechen, ist im Datenschutzrecht kein Raum.

Und auch wenn der Anbieter eines KI-Modells dieses Modell rechtswidrig trainiert hat und es anschließend selbst nutzen möchte, ist dies unter Umständen möglich.

Der Anbieter muss dann allerdings Mitigationsmaßnahmen ergreifen, die den Personenbezug aus dem Modell beseitigen oder die Wahrscheinlichkeit einer Extraktion der memorisierten personenbezogenen Trainingsdaten jedenfalls elementar verringern.

Wenn die Wahrscheinlichkeit in der späteren Verwendung so weit gesenkt werden kann, dass der Personenbezug praktisch ausgeschlossen werden kann und das KI-Modell dadurch anonym ist, hat das rechtswidrige Training keine Folgen für die spätere Verwendung mehr. Bis zu diesem Zeitpunkt müsste das System allerdings abgeschottet werden.

Es könnten damit keine aufsichtsrechtlichen Maßnahmen gegen den Betrieb des Modells ergriffen, z. B. kein Verbot erlassen werden. Gegen das rechtswidrige Training kann selbstverständlich aber weiterhin vorgegangen werden.

Lassen Sie mich nun zu meinem dritten Schwerpunktthema kommen, dem Sicherheitsbereich.

Auch dieser hat für uns besondere Relevanz, können im digitalen Bereich doch signifikante polizeiliche und nachrichtendienstliche Erkenntnisse erlangt werden.

Der Preis für unsere Sicherheit darf dennoch nach meiner festen Überzeugung nie unsere Freiheit sein.

Hier werden oft hochsensible Daten verarbeitet und das Risikopotenzial eines falschen Verdachts steigt mit jedem erhobenen Datum und jeder automatisierten Analyse.

Gleichzeitig ist es völlig klar, dass die Sicherheit der Bevölkerung und des Staates auch in der digitalen Ära gewährleistet sein muss.

Eine homogene IT-Landschaft, wie wir sie mit dem Projekt P20 verfolgen, ist hierfür aus meiner Sicht unerlässlich.

Wir brauchen ein Gleichgewicht zwischen der Gewährleistung der inneren und äußeren Sicherheit sowie dem Schutz der Freiheitsrechte der Bürgerinnen und Bürger.

Die bestehende unabhängige Kontrollarchitektur durch meine Behörde leistet hierzu einen wesentlichen Beitrag.

Mit der Aufsicht über die Bundespolizei und die Nachrichtendienste des Bundes haben wir den vollen Überblick.

Ich halte es daher für falsch, die behördliche Nachrichtendienstaufsicht auch in Bezug auf die Datenschutzkontrolle auf eine andere Behörde zu konzentrieren, wie es zumindest die letzte Regierung anstrebte.

Stattdessen sollte die rechtliche Grundlage dafür geschaffen werden, dass sich meine Behörde mit den übrigen Aufsichtsbehörden besser austauschen kann.

Das schafft weder Doppelkontrolle noch zusätzlichen Aufwand, sondern sichert schlichtweg die rechtsstaatlich erforderliche Aufsicht über die Nachrichtendienste.

V. Wie gehe ich meine Schwerpunktthemen an? 

Neben den skizzierten Themen gibt es natürlich noch viele weitere Aspekte, die mich und meine Behörde beschäftigen.

Ich möchte Ihnen jetzt ein wenig skizzieren, wie wir diese Themen strategisch bestmöglich begegnen wollen.

Es ist keinen Monat her, da habe ich das neue Leitbild für meine Behörde finalisiert. Darin heißt es: „Wir sind davon überzeugt, dass ein starker und konzeptionell breit aufgestellter Beratungsansatz zu mehr Akzeptanz des Datenschutzrechts führen wird.“

Ziel dieses Beratungsansatzes ist es, konkrete Lösungen anzubieten, die zu einem datenschutzkonformen Handeln des Verantwortlichen und des Gesetzgebers führen.

Wir verstehen uns als Wegbereiter einer grundrechtssensiblen digitalen Transformation.

Wir wollen zuhören und informieren, Lösungen anbieten und verstehen, wo die Probleme liegen, zu denen wir Lösungen anbieten wollen.

Ein zukunftsgerichteter Datenschutz braucht diesen Dialog, dieses gegenseitige Zuhören mehr als jemals zuvor.

Im Zentrum unserer Tätigkeit steht immer der Mensch, dessen Grundrechte wir schützen. Das ist mir ein ganz wichtiges Anliegen. Aber es schließt eben nicht aus, dass Innovation und Fortschritt möglich sind. Ich sehe uns als Aufsichtsbehörde in der Rolle zu erklären, wie das gehen kann.

Sie sehen also: Ich stelle die Behördentätigkeit neu auf. Dabei halte ich selbstredend auch das hohe Kontrollniveau unseres Hauses aufrecht. Jeden, der Datenschutzrecht einhalten möchte, möchte ich dazu befähigen. Wer das nicht möchte, sollte sich bewusst sein, dass ich sehr nachhaltig von meinen aufsichtsrechlichen Befugnissen Gebrauch machen werde.

Ich bin überzeugt davon, dass es nicht nur den einen Weg zur Einhaltung des Datenschutzrechts gibt, sondern dass Beratung und Information mindestens genauso wichtig sind wie Kontrolle und Sanktionen.

Je mehr Beratung ich anbieten kann, desto weniger Datenschutzverstöße wird es geben. Deswegen möchte ich die Beratung und die positive Kommunikation von Datenschutz in den Mittelpunkt meiner Tätigkeit stellen.

Ich möchte von Anfang an wissen, wo die datenschutzrechtlichen Herausforderungen von digitalen Produkten und Projekten liegen, um diese begleiten zu können.

Lassen Sie mich hierfür zwei Projekte vorstellen, die diesen Ansatz veranschaulichen: Unsere Strategic Foresights und unser KI-Reallabor.

Bei den Strategic Foresights treffen wir uns im Rahmen mehrstufiger wissenschaftlicher Prozesse regelmäßig mit internen wie externen Expertinnen und Experten.

Gemeinsam beschäftigen wir uns mit relevanten Themen der Zukunft, um frühzeitig datenschutzrechtliche Positionen zu diesen Themen zu erarbeiten. Der erste Strategic Foresight wird diesen Herbst zum Thema Gesundheit stattfinden.

Ich bin der festen Überzeugung, dass wir mit den hieraus gewonnenen Erkenntnissen hilfreiche Leitlinien und Handlungsempfehlungen erarbeiten können, die bei zukunftsweisenden Themen frühzeitig für mehr Rechtssicherheit sorgen.

Wir richten derzeit unser KI-Reallabor mit dem Namen „ReguLab“ ein, damit KI-Systeme unter unserer aktiven Begleitung erprobt und anschließend datenschutzkonform in die reale Welt entlassen werden können.

Gleichzeitig haben wir in der vergangenen Woche ein Pilotprojekt für ein KI-Reallabor unter der KI-VO gemeinsam mit dem Hessischen Digitalministerium und der BNetzA gestartet. 

VI. Welche Rolle kann und sollte Datenschutzrecht in einer zunehmend digitalen Wirtschaft und Gesellschaft spielen? Wohin sollten wir digitalpolitisch steuern?

Lassen Sie mich abschließend meine Gedanken dazu teilen, welche Rolle der Datenschutz in der digitalen Ära spielen kann und spielen sollte sowie wohin die digitalpolitische Reise aus meiner Sicht gehen sollte.

Es ist meine feste Überzeugung, dass ein positiv gedachter Datenschutz, der auf Beratung und Dialog setzt, ein wichtiges Instrument zur Gewährleistung europäischer Grundwerte ist.

Datenschutz schützt nicht nur das informationelle Selbstbestimmungsrecht, sondern ist Grundlage für die Ausübung ganz vieler weiterer Grundrechte.

Datenschutz ist eine großartige Idee gewesen, von der leider in der öffentlichen Wahrnehmung nicht viel mehr übriggeblieben ist als Cookie-Banner und endlose Datenschutzerklärungen.

Das müssen wir ändern. Datenschutz kann und sollte zum Standortvorteil werden. Zum Standortvorteil in einer dritten Digitalwirtschaftsordnung, die anders als die der USA und Chinas weder auf vollständige Kommerzialisierung noch auf Überwachung setzt, sondern die unsere europäischen Werte in eine digitale Zukunft trägt.

Dafür ist es jetzt an der Zeit – nie standen die geopolitischen Sterne eindeutiger.

Doch dafür ist es auch erforderlich, ehrlich anzusprechen, was im Datenschutzrecht nicht funktioniert und es zu ändern. Dazu bin ich bereit. Und dazu haben wir in einem ersten Schritt bereits eine Reihe von Beratungsformaten etabliert.

Ich wünsche mir von Unternehmensseite, dass dieser Ansatz, der viel Zeit und Kraft kostet, wertgeschätzt wird.

Ich wünsche mir, dass auch und gerade unternehmensseitig die Kommunikation über Datenschutz wieder positiver wird, oder zumindest nicht von den eigentlichen Problemen abgelenkt wird.

Dazu ist es digitalpolitisch aber auch erforderlich, Anreize für diejenigen Unternehmen zu setzen, die Datenschutzrecht einhalten wollen. Statt „buy european“ setze ich mich für „buy value-driven“ ein. Datenschutzkonformität als Vorteil bei vergaberechtlichen Entscheidungen oder auch als Voraussetzung einer Kfz-Zulassung – das würde ich mir wünschen.

Meine Damen und Herren, ich habe es schon verschiedentlich gesagt, ich erhoffe mir von der Bundesregierung und den frisch gewählten Ministern:

1.    Erstens die klare Vorgabe einer digitalpolitisch zeitgerechten Marschrichtung

2.    Den unmittelbaren Start von Digitalisierungsprojekten statt wieder nur darüber zu sprechen und

3.   einen Digitalminister, lieber Herr Wildberger, der uns in eine digitale Zukunft führt, in der unsere europäischen Werte einen Platz haben und in der sie nicht mit Füßen getreten werden.

Ich wünsche mir eine digitale Zukunft, in der wir als Europa nicht nur überleben, sondern gut leben können, weil wir heute klug gehandelt haben.