Wie geht es unter Schwarz-Rot mit dem Datenschutz weiter? Diese Frage überschattete auch die Vorstellung des Jahresberichts der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) Louisa Specht-Riemenschneider am Donnerstag in Berlin. Anzeige Die Koalitionäre wollten die Zuständigkeit für Datenschutz in der Wirtschaft bündeln und die BfDI auch zur Datennutzungsbeauftragten erklären. Sie sei dazu bereit, sagte Specht-Riemenschneider. Aber im Koalitionsvertrag könne sie derzeit keine Absicht erkennen, ihre Kompetenzen jenseits datenschutzrechtlicher Aspekte auf die KI-Verordnung oder auf den Data Act zu erweitern. Langeweile besteht bei der in Bonn ansässigen Behörde unterdessen nicht: 8670 Beschwerden und Anfragen verzeichnet der Bericht der Bundesdatenschutzbeauftragten für das Jahr 2024. Stark zugenommen haben dabei die allgemeinen Beschwerden nach Artikel 77 Datenschutzgrundverordnung (DSGVO). Diese machten nach allgemeinen Anfragen mit 3313 Eingaben die größte Gruppe aus. Bußgelder verhängte die Behörde im Jahr 2024 keine. Sie wolle weiter einen Schwerpunkt auf Beratung legen, sagte Specht-Riemenschneider, das aber nicht falsch verstanden wissen: "Beratung funktioniert nur, wenn wir unseren Job als Aufsichtsbehörde, die Datenschutzrecht durchsetzt, auch ernst nehmen." Das gelte sowohl für private Akteure, wo die Aufsichtsbehörde als auch für die öffentlichen Stellen. "Beratung wird nur für die angeboten, die sich an Recht halten wollen." Debatte über Zuständigkeiten Bei der von Schwarz-Rot angedachten Erweiterung der Zuständigkeiten zeichnet sich derweil ein Streit innerhalb des Kreises der Datenschutzbeauftragten von Bund und Ländern ab. Derzeit ist die BfDI neben den Bundesbehörden auch für Post- und Telekommunikationsdienstleister zuständig, die früher in Bundeshand waren. Eine Erweiterung auf Wirtschaftszuständigkeit allgemein würde allerdings zulasten der gesetzlich zugewiesenen Kompetenzen der Landesbeauftragten gehen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Tobias Keber sieht großen Diskussionsbedarf: "Das ist der falsche Weg", sagte Keber auf Anfrage von heise online. "Eine lokale und bürokratiearme Beratung und Unterstützung kann nur vor Ort erfolgen." Richtig sei es, die Datenschutzkonferenz zu stärken, "um vor allem kleineren und mittleren Unternehmen kurze Wege zur Aufsichtsbehörde und niederschwellige Angebote zu erhalten." Auch die Berliner Landesdatenschutzbeauftragte sieht das Vorhaben skeptisch, die Wirtschaft vor Ort zu beraten und zu beaufsichtigen. "Ob und welche bundesweiten Themen, zum Beispiel infrastrukturelle Fragen, dann hingegen bei einer Bundesbehörde gebündelt werden sollten, muss man sich im Detail anschauen", sagte die Berliner Landesdatenschutzbeauftragte Meike Kamp auf Anfrage von heise online. "Da verstehe ich den Koalitionsvertrag als Auftrag, genau zu analysieren, wo eine Bündelung Sinn ergibt und wo nicht." Anzeige Nachrichtendienstkontrolle: Streit im Anmarsch Ein weiterer politischer Streitpunkt ist die Zuständigkeit für die datenschutzrechtliche Nachrichtendienstkontrolle. Die Prüfung der Einhaltung der für BND, BfV und MAD geltenden Datenschutzvorschriften wird bislang von der BfDI durchgeführt. Bereits in der vergangenen Legislaturperiode gab es aber Bestrebungen, diese Kontrolle an den sogenannten Unabhängigen Kontrollrat zu verlagern, eine infolge der NSA-Affäre eingerichtete Behörde. Hier schaue sie mit großer Sorge auf die Formulierungen des Koalitionsvertrages, sagte Specht-Riemenscheider. "Wir sind die einzige Stelle, die den Gesamtüberblick über die Sicherheitsbehörden haben." Das drohe verloren zu gehen – außerdem sei nur die BfDI im Sinne des Europarechts eine unabhängige Stelle. Gerade jetzt, wo die Koalition plane, weitere Eingriffe mit Sicherheitsbefugnissen vorzunehmen, sei eine unabhängige Kontrolle zwingend nötig. Sicherheitsgesetzgebung bereitet Sorgen Der Wert der informationellen Selbstbestimmung müsse auch bei der Sicherheitsgesetzgebung berücksichtigt werden, sagte die Datenschützerin. "Datenschutz ist eine Grundvoraussetzung dafür, dass wir uns nicht überwacht fühlen, dass wir uns frei verhalten können." Es könne nicht Sinn und Zweck eines Rechtstaates sein, dass eine Bevölkerung unabhängig von eigener konkreter Betroffenheit ihr Verhalten präventiv anpasse. Bei der von CDU, CSU und SPD geplanten dreimonatigen Speicherpflicht für IP-Adressen, sieht Specht-Riemenschneider großen Diskussionsbedarf vor einer möglichen Wiedereinführung. Der Europäische Gerichtshof habe mit seinem Urteil vom April 2024 in einem sehr speziellen Fall einer Urheberrechtsverletzung eine Speicherung erlaubt. Die öffentliche Diskussion zu diesem Urteil sei in Teilen "Unfug", sagte Specht-Riemenschneider wörtlich. "Es ist mitnichten alles möglich, die IP-Adressspeicherung ist ein sehr sensibler Bereich." Elektronische Patientenakte: Dank an CCC Bei der für einen flächendeckenden Einsatz noch 2025 vorgesehenen elektronischen Patientenakte (ePA) kündigte die Bundesdatenschutzbeauftragte an, auch in Zukunft dafür sorgen zu wollen, dass die Versicherten über ihre Daten entscheiden könnten und würden. "Entscheiden Sie informiert und entscheiden Sie selbst", appellierte sie an die Versicherten. Ihre Aufsichtsbehörde habe seit einer Gesetzesänderung 2023 nur noch beschränkte Möglichkeiten zu intervenieren, sagte Specht-Riemenschneider. "Ob die ePA sicher ist, das beurteilt nicht in erster Linie die Bundesdatenschutzbeauftragte, sondern das BSI". Sie dankte ausdrücklich dem Chaos Computer Club für dessen Aufdeckung von Sicherheitslücken bei der elektronischen Patientenakte. KI-Verordnung und Datenschutz? Die KI-Verordnung solle gewährleisten, dass Innovation und Grundrechtsschutz miteinander in Einklang gebracht würden, sagte die BfDI. Sie sei zufrieden, dass ein Straftaten-Wahrscheinlichkeits-Scoring verhindert wurde. Es müsse aber klargestellt werden, wie Datenschutzrecht und KI-Recht zueinander stehen würden. Rechtsunsicherheit sei ein entscheidender Aspekt, warum Unternehmen sich vor dem KI-Einsatz scheuen würden. "Grundrechtskonformes KI-Training muss auch in Europa möglich sein", forderte Specht-Riemenschneider. Das Datenschutzrecht stehe dem nicht entgegen. Glücklicherweise stehe im Koalitionsvertragsentwurf nicht mehr, dass das Informationsfreiheitsgesetz abgeschafft werden solle, sagte Specht-Riemenschneider. Das IFG sei eine wesentliche Voraussetzung für den Rechtstaat, sie hoffe weiter auf ein echtes Transparenzgesetz, das Auskunftsrechte weiter stärke statt sie abzubauen. "Es ist ein ganz wesentlicher Punkt zur Gewährleistung von Rechtsstaatlichkeit und Vertrauen in die Demokratie", betonte die BfDI. DSGVO-Reform Forderungen nach einer teilweisen Reform der Datenschutzgrundverordnung begegnet Specht-Riemenschneider trotz Bedenken offen. Es sei ein Problem, wenn in der Öffentlichkeit das Datenschutzrecht als Cookiebanner und überlange Datenschutzerklärungen wahrgenommen würde. Der Kernbereich des Datenschutzrechts dürfe aber bei einer möglichen Reform nicht angetastet werden, sagte die BfDI, dies müsse bereits zu Beginn einer solchen Diskussion klargestellt werden. (vbr)