Datenschutz : Wie mutig wird die neue Bundesregierung beim Datenschutz sein?

Unter dem Motto „Deutschland – Digital. Souverän. Ambitioniert“ hat der neue Koalitionsvertrag zwischen Union und SPD auch den Datenschutz adressiert (Tagesspiegel Background berichtete). Die wohl größte Aufmerksamkeit hat die Ankündigung erlangt, die Datenschutzaufsicht zu reformieren und bei der Bundesdatenschutzbeauftragten zu bündeln, die dann Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit werden soll. Ganz überraschend kommt die Maßnahme nicht, wurde sie doch schon seit Jahren diskutiert und von vielen als überfällig betrachtet (Tagesspiegel Background berichtete). Zusätzlich soll die Datenschutzkonferenz (DSK) im Bundesdatenschutzgesetz verankert werden und vorhandene Spielräume der DSGVO im Interesse von mehr Rechtssicherheit und vereinfachten Verfahren genutzt werden.

Entlastung von KMUs und Ehrenamt

Aufhorchen ließ allerdings auch die Ankündigung, die Bundesregierung werde sich auf europäischer Ebene dafür einsetzen, dass nicht kommerzielle Tätigkeiten (zum Beispiel in Vereinen), kleine und mittelständische Unternehmen und risikoarme Datenverarbeitungen (wie etwa Kundenlisten von Handwerkern) vom Anwendungsbereich der DSGVO ausgenommen werden. Damit folgt man einem wissenschaftlichen Diskussionsentwurf für eine „KI-Datenschutz-VO“, der von der Verfasserin dieses Beitrags erarbeitet und im Dezember 2024 bei einer Konferenz an der Universität Wien öffentlich vorgestellt worden ist. Dieser sieht neben Verschärfungen bei besonders schädlichen oder risikoreichen Datenverarbeitungen – insbesondere durch große Akteure – auch spürbare Entlastungen vor. Und er soll die DSGVO als solche nicht „aufschnüren“, sondern nur für bestimmte Datenverarbeitungen punktuell modifizieren.

Dass die regulatorische Belastung von KMUs durch die DSGVO ein Problem für die Wettbewerbsfähigkeit der EU darstellt, hat bereits der Draghi-Bericht betont. Der Diskussionsentwurf empfiehlt hier einen radikalen Schritt: Non-Profit-Organisationen und KMUs, die nur einen geringen Teil ihres Umsatzes durch spezifisch datenbezogene Aktivitäten erwirtschaften, sollen grundsätzlich nicht mehr der DSGVO unterfallen. Das kleine Hotel oder der Handwerksbetrieb, die Kundendaten nur zur Abwicklung ihrer gewöhnlichen Tätigkeiten verarbeiten, müssten sich damit über komplizierte Einwilligungsformulare und Dokumentationen keine Gedanken mehr machen. Der DSGVO würden sie nur dann und nur insoweit unterfallen als sie bestimmte „Hochrisiko-Datenverarbeitungen“ durchführen, wie etwa Profiling, oder Daten zu solchen Zwecken mit Dritten teilen.

Um nicht durch das Verhalten von Dritten unfreiwillig doch wieder in die DSGVO hineingezogen zu werden – etwa wenn der Betreiber des kleinen Hotels mit einer großen Buchungsplattform kooperiert – soll ein Recht gegenüber den eigenen Dienstleistern einführt werden, aus der DSGVO herausgehalten zu werden. Dass damit die Mehrzahl der Unternehmen nicht mehr der DSGVO unterfiele, würde keinesfalls dazu führen, dass betroffene Personen rechtlos gestellt werden. Vielmehr blieben die allgemeinen Rechtsvorschriften – etwa des Vertragsrechts oder Schadensersatzrechts – unberührt und können in Konformität mit Artikel 8 der Europäischen Grundrechtecharta (GRC) angewendet werden. Mit anderen Worten: wer sich künftig mit seiner Hausverwaltung darüber streitet, ob allen Mietern die Stromverbrauchszahlen der anderen hätten offenbart werden dürfen, soll dies bitte nicht mehr auf der Basis der DSGVO, sondern des normalen Zivilrechts tun.

Axel Voss und Max Schrems haben kürzlich den Gedanken eines dreistufigen DSGVO-Regimes ins Spiel gebracht, das ersichtlich vom Diskussionsentwurf inspiriert wurde (beide waren eingebunden). Allerdings würde dieses Regime immer noch eine Reihe zentraler Vorschriften der DSGVO bei den KMUs belassen und damit bei Weitem nicht das gleiche Maß an Entlastung schaffen (Tagesspiegel Background berichtete).

Anpassung an die Herausforderungen von KI

Weniger Klarheit bietet der Koalitionsvertrag, was mögliche Anpassungen des Datenschutzes an die Herausforderungen von Datenwirtschaft und KI betrifft. Es wird betont, dass für eine effektive technologische Souveränität Europas mehr Fokus auf Forschung, Innovation und Schlüsseltechnologien wie KI gelegt werden muss. In diesem Zusammenhang wird auch der Datenschutz erwähnt, dessen Ausgestaltung Digitalisierungsfortschritte sowie Forschung und Innovation ermöglichen müsse. Konkrete Maßnahmen werden in diesem Zusammenhang allerdings nicht genannt.

Auch hinsichtlich des friktionsreichen Verhältnisses zwischen DSGVO und anderen Digitalrechtsakten auf EU-Ebene hatte der Draghi-Bericht mahnende Worte gesprochen. Nicht nur die Grundsätze von Datenminimierung, Zweckbindung und Speicherbegrenzung stehen in einem Spannungsverhältnis zu den Bedürfnissen datengetriebener Technologien, sondern etwa auch das Erfordernis, selbst bei großen und heterogenen Trainings-Datensets hinsichtlich aller Daten eine sichere Rechtsgrundlage vorweisen zu können und die Anforderungen des Art. 9 DSGVO bei sensiblen Datenkategorien einzuhalten. Die Stellungnahme Nr. 28/2024 des Europäischen Datenschutzausschusses (EDSA) vom Dezember 2024 hat gezeigt, wie schwierig die Handhabung der DSGVO im Zusammenhang mit großen KI-Modellen sein kann (Tagesspiegel Background berichtete). Und dabei hat sich die Stellungnahme mit vielen Problemen – etwa rund um sensible Datenkategorien oder die Ausübung von Betroffenenrechten bei personenbezogenen Daten im Modell selbst – noch kaum befasst.

Auch diesbezüglich hat der Diskussionsentwurf für eine KI-Datenschutz-VO eine Reihe von Vorschlägen unterbreitet. So sollen flüchtige oder kurzfristige Datenverarbeitungen nicht mehr der DSGVO unterliegen, wenn sichergestellt ist, dass bis zur endgültigen Löschung oder Anonymisierung keine Verarbeitung zu personenbezogenen Zwecken erfolgt. Personenbezogene Daten, die nach der Rechtsprechung des EuGH wohl als „Artikel-9-Daten“ einzuordnen wären, weil man indirekt aus ihnen etwa auf Gesundheit oder Weltanschauung schließen könnte, sollen nur dann Art. 9 DSGVO unterfallen, wenn die Daten zu sensiblen Zwecken verarbeitet werden. Die Nutzung von sensiblen Daten für die Verhinderung von Bias und Diskriminierung soll generell erlaubt sein, und nicht nur im Anwendungsbereich von Art. 10 der KI-VO.

Für das Training von KI-Modellen mit großen und heterogenen Datenmengen soll eine sichere Rechtsgrundlage geschaffen werden. Und was die Ausübung von Betroffenenrechten bei personenbezogenen Daten im KI-Modell selbst betrifft, sollten die Betroffenenrechte einerseits durch das Verhältnismäßigkeitsprinzip beschränkt werden. Andererseits soll es aber auch neue Betroffenenrechte geben, etwa wenn ein KI-Modell in reproduzierbarer Weise den Namen eines Journalisten immer wieder im Zusammenhang mit Verbrechen nennt, über die selbiger Journalist berichtet hat, oder wenn es in wiedererkennbarer Weise den individuellen künstlerischen Stil einer Person imitiert.

Wie es jetzt weitergehen könnte

Die Europäische Kommission scheint zu sehr mutigen Schritten noch nicht ganz bereit zu sein. Noch im März hat der Justizkommissar verlauten lassen, dass man nur gewisse bürokratische Entlastungen für Unternehmen mit weniger als 500 Mitarbeitenden plane, so etwa eine Reduktion der Dokumentationspflichten. Ob das für KMUs wirklich zum „Game Changer“ wird, darf mit Fug und Recht bezweifelt werden. Völlig unklar ist derzeit auch, inwieweit bei den geplanten „Omnibus“-Rechtsakten, die der Vereinfachung und besseren Konsistenz mancher Rechtsmaterien dienen sollen, Friktionen zwischen DSGVO und KI-Entwicklung beseitigt werden.

Der Koalitionsvertrag lässt hoffen, dass die neue Bundesregierung sich hier in mehreren Punkten mutig einbringen wird – denn die europäische Wirtschaft steht unter Druck, die neue geopolitische Lage braucht eine starke EU und die Zeit für halbherzige Maßnahmen ist abgelaufen.

Christiane Wendehorst ist Professorin für Zivilrecht an der Universität Wien, stv. Vorständin des Instituts für Innovation und Digitalisierung im Recht und wissenschaftliche Direktorin des European Law Institute (ELI). Sie hat als Expertin u.a. für die Europäische Kommission, das Europäische Parlament, die deutsche Bundesregierung, das ELI und das American Law Institute (ALI) gearbeitet.