Tätigkeitsbericht Datenschutz 2023: Zukunft mit Datenschutz gestalten

Datenschutz-Aufsicht entwickelt sich zum Kompetenzzentrum Datenschutz und KI weiter

LfDI bietet Plattform zum interdisziplinären Austausch zu KI mit eigener Themenwoche, Diskussionsrunden, Schulungen und Start-up Beratung

Hilfestellung für Behörden und Unternehmen: LfDI liefert bundesweit erstes und viel beachtetes Diskussionspapier zu „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“. Rund 400 Teilnehmende bei Schulung zu Datenschutz und KI

Bildungszentrum für Datenschutz und Informationsfreiheit (BIDIB) verzeichnet Höchstwert bei Anmeldungen

Landesbeauftragter plant für das Jahr 2024 Prüfungen zu irreführenden Designs bei digitalen Anwendungen und dem Einsatz von KI im Beschäftigtenkontext

LfDI Prof. Dr. Tobias Keber: „Wir sind im Aufbruch begriffen und wollen als Datenschutz-Kompetenzzentrum im Bereich KI in Baden-Württemberg Impulse für Zukunftstechnologien setzen. Wir beraten die Landesregierung und fördern im Sinne eines gemeinwohlorientierten, gemeinschaftlichen und zukunftsausgerichteten Prozesses datenschutzkonforme Lösungen, die technischen Fortschritt und das Vertrauen der Menschen in diesen stärken. Zugleich bauen wir unser Beratungsangebot für Start-ups und Unternehmen aus.“

Tätigkeitbericht Datenschutz 2023 als pdf

Datenschutz schafft Vertrauen. Menschen nutzen digitale Anwendungen eher, wenn sie wissen, dass Datenschutz in Anwendungen mitgedacht wird. Der Landesbeauftragte hat im vergangenen Jahr Ministerien und weitere Behörden bei Digitalisierungsvorhaben unterstützt und Forschende aus dem Gesundheitssektor beraten. Er hat Digitalisierungsprojekte im Mobilitätsbereich und beim Einsatz von KI begleitet. Wo nötig, hat der Landesbeauftragte die Einhaltung des Datenschutzes durchgesetzt.

Im Sozial- und Bildungsbereich hat sich die Dienststelle des Landesbeauftragten in Gesetzgebungsverfahren mit datenschutzrechtlichen Stellungnahmen beteiligt. Zudem hat sie FAQ für Behindertenvertretungen herausgegeben, die ihre Arbeit unterstützen, und weitere FAQ zum Hinweisgeberschutzgesetz. Die Arbeit an einem Datentreuhandmodell für Mobilitätsdaten begleitet der LfDI ebenfalls. Ein datenschutzfreundliches Modell kann sehr nützlich sein, um sowohl die Nutzung von Daten und den Schutz von personenbezogenen Daten in ein ausgewogenes Verhältnis zu setzen.

Besonders erfreulich ist für den LfDI, dass der Austausch mit Städten und Gemeinden erfolgreich weiterentwickelt wird. Neben zahlreichen Schulungen für öffentliche Stellen nimmt der LfDI auch an Arbeitstreffen teil und kann so datenschutzrechtliche Hinweise adressieren und konkrete Fragen beantworten.

Ein großes Thema war auch der Umgang mit dem Internationalen Datentransfer in die USA. Der neue Angemessenheitsbeschluss vom Juli 2023 bietet Datenexporteuren mehr Rechtssicherheit. Der Landesbeauftragte hat im Lichte der aktuellen Entwicklungen seine Handreichung zum Internationalen Datentransfer aktualisiert, die demnächst auf seiner Homepage abrufbar ist. Um über die jüngsten Entwicklungen beim internationalen Datentransfer zu diskutieren, veranstaltet der Landesbeauftragte am 21. März 2024 einen Fachtag und hat dazu den Bürgerrechtler Max Schrems, Vertretungen von Unternehmen und eine Vertreterin der EU-Kommission eingeladen.

Zukunft mit Datenschutz gestalten

Der „digitale Wandel“ gehört zu den obersten Prioritäten der EU. Spürbar wird dies mit einer Vielzahl neuer Rechtssetzungsakte der EU, welche auch die datenschutzrechtlichen Aufsichtsbehörden beschäftigt und vor die große Herausforderung stellt, die Schnittstellen der neuen Regelungen mit dem Datenschutzrecht zu identifizieren. Dabei stellen sich Zuständigkeits- und Verfahrensfragen, insbesondere wenn die Umsetzung von Regelungen den EU-Mitgliedstaaten eigenverantwortlich auf nationaler Ebene obliegt. Aber auch inhaltlich bieten die Regelungen Schnittstellen zum Datenschutzrecht, die es von den Aufsichtsbehörden zu beachten gilt.

Insgesamt zeichnet sich ein völlig neues Aufgabenspektrum für den Landesbeauftragten ab: Die Einordnung der neuen Digital- und Rechtsakte war im Jahr 2023 und wird auch zukünftig eine umfassende Aufgabe sein für seine Dienststelle als beratende Aufsichtsbehörde. Der Landesbeauftragte hat sich intensiv mit den Daten- und Digitalakten der EU befasst, insbesondere mit der KI-Verordnung. Die Rechts- und Digitalakte gilt es im Kontext der Datenschutz-Grundverordnung zu verstehen und umgekehrt die DS-GVO in Bezug zur KI-Verordnung und weiteren entsprechenden Rechtsakten zu setzen.

In Baden-Württemberg planen Unternehmen und Behörden den Einsatz von KI oder nutzen KI-Anwendungen bereits. Verantwortliche Stellen und Menschen, die KI-Anwendungen nutzen oder nutzen wollen, haben jedoch bereits heute den Bedarf zu klären, wie sie rechtlich und ganz konkret KI nutzen können ohne dabei datenschutzrechtlich heikle Verarbeitungen von personenbezogenen Daten vorzunehmen.

Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von KI“

Um auf diese Anforderungen einzugehen, hat der Landesbeauftragte im vergangenen Jahr ein mittlerweile ins Englische übersetzte Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von KI“ veröffentlicht. Es ist bundesweit das erste Arbeitspapier in dieser Form, das Unternehmen und Behörden Hinweise liefert, wie KI datenschutzkonform eingesetzt werden kann.

Aktuell steht die KI-Verordnung der Europäischen Union vor dem Abschluss. Sollte sie im Mai 2024 verabschiedet werden, wird sie vermutlich nach einer Übergangzeit im Jahr 2026 anwendbar sein. Der Landesbeauftragte empfiehlt allen verantwortlichen Stelle, die KI nutzen wollen, nicht bis zur Anwendbarkeit der KI-Verordnung zu warten, um sich mit rechtlichen und technischen Aspekten des Datenschutzes beim Einsatz von KI zu befassen.

Der Landesbeauftragte Tobias Keber: „Datenschutz als Grundrecht der Menschen gilt im digitalen Zeitalter. Ich empfehle verantwortlichen Stellen bereits heute Datenschutz bei der Technikgestaltung und in die Designs der KI-Anwendungen zu implementieren. Ansonsten kann es böse Überraschungen für verantwortliche Stellen geben, weil sie möglicherweise zu einem späteren Zeitpunkt, wenn die Anwendung bereits läuft, zeitaufwändig viele Ressourcen einsetzen müssen, um den datenschutzkonformen Einsatz herzustellen. Wir bieten als Ansprechpartner vor Ort daher Beratung für Start-ups, Unternehmen und Behörden an, damit sie künftig rechtssicher und effizient digitale Anwendungen nutzen können.“

Bildungszentrum BIDIB

Das Bildungszentrum BIDIB hat sich im vergangenen Jahr sehr gut weiterentwickelt und etabliert, die Anmeldezahlen steigen konsequent. Es verzeichnete ein substanzielles Wachstum bei den Teilnehmendenzahlen. Insbesondere das Fortbildungsangebot „Schule digital“ wurde intensiv in Anspruch genommen. In 80 Veranstaltungen erreichte das Bildungszentrum rund 1.500 Interessierte an Schulen und am Schulleben Beteiligte. Der Bedarf an Wissensvermittlung zu Datenschutzthemen im Schulkontext bleibt hoch. Für die bis zum Jahresende 2024 befristete Fortbildungsreihe für Schulen bietet das Bildungszentrum bis Juli bereits 54 Veranstaltungen an, die Planung für das zweite Halbjahr wird voraussichtlich im Frühjahr abgeschlossen.

Das Jahr 2023 in Zahlen

Im Berichtszeitraum erreichten den Landesbeauftragten 3.817 Beschwerden (+21 im Vergleich zum Vorjahr). Dieser Wert entspricht etwa denen der Jahre kurz vor und kurz nach der Corona-Pandemie. Die Zahl der Kontrollen hat sich mehr als verdoppelt und liegt bei 71 (+38). Die Zahl der Datenpannenmeldungen lag bei 2.913 (+166). Mit 185 eingeleiteten Bußgeldverfahren liegt die Zahl um 28 unter dem Wert von 2022. Die Beratungen folgen dem Trend der vergangenen Jahre. Die Zahl der konkreten Einzelfallberatungen war im vergangenen Jahr rückläufig mit 1.682 (-253) – telefonische nicht mitgerechnet –, während die strukturelle Beratung durch unser Bildungszentrum BIDIB öfter in Anspruch genommen wurde. Sie erreichte mit 3.732 Anmeldungen einen neuen Bestwert (+477). Die Handreichungen des Landesbeauftragten wurden häufig in Anspruch genommen. Das Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von KI“, welches Mitte November 2023 veröffentlicht wurde, wurde 12.000 Mal aufgerufen. Rund 400 Teilnehmende verzeichnete allein die zugehörige BIDIB-Schulung im Januar 2024. Die FAQ zum Hinweisgeberschutzgesetz, fast zeitgleich veröffentlicht, wurde über 6.500 Mal aufgerufen. Die FAQ zu Cookies und Tracking sind ein Dauerbrenner und verzeichneten im vergangenen Jahr ebenfalls über 12.000 Aufrufe. Das Fachgespräch zur KI-Regulierung am 13. Juli 2023 war sehr gut besucht und wurde im Anschluss über 6.500 Mal aufgerufen. Die Vorträge der KI-Woche beim Landesbeauftragten wurden ebenfalls mehrere Tausend Mal aufgerufen.

Vom Jahr 2023 ins Jahr 2024

Der Landesbeauftragte führt seinen Beratungsansatz konsequent fort entwickelt seine Behörde weiter zu einem Kompetenzzentrum für Datenschutz und Künstliche Intelligenz. Er stärkt den interdisziplinären Austausch und setzt einen Schwerpunkt darauf, neue Digital- und Rechtsakte zügig für das Datenschutzrecht zu erschließen und das Wissen etwa der herausragenden baden-württembergischen Wissentschaftler_innen, die sich mit KI befassen, für seine beratungs- und aufsichtsrechtliche Praxis nutzbar zu machen.

Er bietet eine Plattform für Datenschutz und KI für den Austausch von Vertreter_innen der Politik, Verwaltung, Wissenschaft, Wirtschaft und Kultur. Seit dem Jahr 2022 organisiert er hierfür jährlich eine eigene KI-Woche, bietet in seinem Bildungszentrum regelmäßige Schulungen und Workshops, veranstaltet Diskussionen zu Künstlicher Intelligenz und veröffentlicht Orientierungshilfen und Diskussionspapiere. Ziel ist es, von Fachleuten neues Wissen über KI in die Dienststelle zu bringen, eigenes Wissen zur Verfügung zu stellen und mit verantwortlichen Stellen sowie der interessierten Bürgerschaft über die digitale Entwicklung ins Gespräch zu kommen. Die Dienststelle des Landesbeauftragten kann mit stets aktuellem Wissen über technische Entwicklungen, einem profunden Überblick über gesellschaftliche Debatten und der rechtlichen Einordnung der DS-GVO und weiterer Rechtsakte aktuelle Herausforderungen von verantwortlichen Stellen besser verstehen und sie wirksam bei ihren Digitalisierungsvorhaben beraten.

LfDI Tobias Keber: „Wir sind eine lernende Organisation, die Digitalisierung als einen permanenten Prozess versteht. Wir müssen immer auf dem aktuellen Stand der Forschung sein, die Entwicklungen im Bereich der Digitalisierung kennen und an der gesellschaftlichen Diskussion über Digitalisierung und KI aktiv mitwirken. Nur so können wir verantwortliche Stellen datenschutzrechtlich schnell und präzise beraten und Datenschutz als Grundrecht der Menschen im digitalen Zeitalter wirksam wahren.“

Datenschutz durch Technikgestaltung

Neben der konsequenten Beratung und datenschutzrechtlichen Hilfe wird sich der Landesbeauftragte intensiver mit der Einhaltung des Datenschutzes in der Praxis befassen. So wird er im Bereich des Beschäftigtendatenschutzes insbesondere genauer darauf blicken, ob Beschäftigte am Arbeitsplatz durch KI-basierte Emotionserkennung unter Druck gesetzt werden.

Ein inhaltlicher Schwerpunkt wird für den Landesbeauftragten Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25 DS-GVO) sein. Hierzu liefert eine Entscheidung der irischen Datenschutz-Aufsicht aus dem vergangenen Jahr eine Grundlage.

Die irische Datenschutz-Aufsichtsbehörde hatte im September 2023 gegen das Unternehmen TikTok Technology Limited (TikTok) ein Bußgeld in Höhe von 345 Millionen Euro erlassen. Grundlage für die Sanktion ist die Verletzung der Rechte Minderjähriger. Ein zentraler Aspekt dabei war, dass das Unternehmen durch „Deceptive design patterns“ junge Menschen zu einem Verhalten verleitet hat, das sie tendenziell von datenschutzfreundlichen Einstellungen auf der Plattform abhielt. „Deceptive design patterns“ sind irreführende Designs oder manipulative Oberflächen von digitalen Anwendungen, die Nutzende zu einem Verhalten verführen, das ihnen schaden kann.

Der Landesbeauftragte hatte gemeinsam mit seiner Berliner Kollegin im Rahmen der europäischen Zusammenarbeit im Europäischen Datenschutzausschuss (EDSA) darauf hingewirkt, dass dieser die irische Aufsicht auffordert, den Umgang mit „Deceptive design patterns“ auch unter dem Gesichtspunkt von Fairness und Treu und Glauben (Art. 5 Abs. 1 lit. a DS-GVO) besonders zu betrachten und gegenüber dem Unternehmen die Unterlassung anzuordnen. Dies ist erfolgt.

Das Verfahren hat die Auffassung des Landesbeauftragten bestätigt, dass irreführende Designs zu sanktionieren sind. Der Landesbeauftragte wird sich weiter mit „Deceptive design patterns“ befassen, Arbeitspapiere zum Thema „Datenschutz durch Technikgestaltung“ veröffentlichen, Schulungen anbieten und die Vorschrift soweit erforderlich auch durchsetzen.

Tätigkeitbericht Datenschutz 2023 als pdf

 

Bild: Jamillah Knowles & Reset.Tech Australia / Better Images of AI / People on phones (portrait) / Licenced by CC-BY 4.0

——

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.