BfDI: Datenschutzpolitische Agenda für die Bundestagswahl

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat ihre Agenda für die 21. Wahlperiode des Deutschen Bundestages vorgestellt und Vorschläge für die Wahlprogramme der Parteien gemacht. Dieser Artikel fasst die Kernaussagen der Agenda zusammen.

Datenschutzpolitische Ausrichtung der BfDI

Die Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, erklärt in ihrer datenschutzpolitischen Agenda, dass ihre Amtszeit im Zeichen einer vertrauenswürdigen digitalen Transformation stehen soll. Dabei stellt sie heraus, dass das Datenschutzrecht und die Datenschutzpolitik „grundrechtssensible Lösungen“ für die Digitalisierung in Deutschland und in Europa anbieten müssen.

Bereits in der Einleitung dieser Agenda werden vier Aspekte benannt, denen sie in ihrer Amtszeit besondere Relevanz beimisst:

• Es soll ein Digitalministerium geschaffen werden. Dieses soll als Koordinationsstelle für Digitalprojekte der Bundesregierung, Verwaltungsdigitalisierung, Informationsfreiheits- und Transparenzregelungen sowie als einheitlicher Ansprechpartner für die datenschutzrechtliche Beratung fungieren.
• Die digitale Souveränität Europas soll durch eigenständige Cloudumgebungen und Softwarelösungen ohne Drittlandsübermittlung erreicht werden.
• Es soll ein Forschungsdatengesetz angestoßen werden, um einerseits die Forschung mit Daten zu ermöglichen und andererseits die informationelle Selbstbestimmung zu gewährleisten.
• In Sachen Künstlicher Intelligenz, sowohl Training als auch Nutzung, soll vom Gesetzgeber regulatorisch mehr Rechtssicherheit geschaffen werden.

Bei Betrachtung dieser Aspekte wird klar: Hier werden hohe hohe Ziele gesteckt. Sie setzt dabei auf technologische Innovation und fordert ein Umdenken hinsichtlich bestehender datenschutzpolitischer Strukturen.

Die Vorschläge der Bundesdatenschutzbeauftragten im Detail

Im Folgenden werden die Aussagen der Bundesbeauftragten für Datenschutz zu verschiedenen Themenfeldern zusammengefasst.

Gesundheit

Die Agenda beginnt interessanterweise nicht mit den „offensichtlichen“ Themen des Datenschutzes, wie IT-Sicherheit oder datenschutzpolitischen Überlegungen, sondern mit einem Thema, was jedermann unmittelbar betrifft: der Gesundheit.

Ein unbedingtes Ziel soll sein, allen Menschen in Deutschland einen Zugang zur elektronischen Patientenakte zu gewähren, auch diesen, die keine digitalen Endgeräte nutzen.

Einen weiteren Schwerpunkt legt die BfDI überdies in die Gesundheitsforschung mit Daten. Sie unterstreicht, dass die Forschung mit Gesundheitsdaten für die Medizin essenziell ist. Ein verlässlicher Schutz von sensiblen personenbezogenen Daten ist jedoch ebenso signifikant. Ihre Forderung ist daher, Forschung nur mit anonymisierten Daten zu betreiben. Sicher pseudonymisierte Daten sollen ausschließlich verwendet werden, wenn sonst der Forschungszweck leerlaufen würde.

Künstliche Intelligenz (KI)

Schon der zweite Punkt der Agenda ist die aktuelle „Hot topic“ der Informationstechnologie – die Künstliche Intelligenz. KI ist mittlerweile in der Mitte unserer Gesellschaft angekommen. Nach dem Durchbruch von KI-Systemen wie OpenAI wird der Markt nahezu täglich mit neuen Tools geflutet. Der Einsatz dieser Systeme erfolgt jedoch derzeit noch durchaus unreguliert. Folgerichtig fordert die BfDI daher mehr Rechtssicherheit, nicht nur für die Nutzung von KI, sondern insbesondere für das Training von KI mit hochwertigen Daten. Es darf nicht allein den Nutzern überlassen werden, Risiken der KI-Anwendung durch Interessenabwägungen zu tragen. Stattdessen sollen gesetzliche Vorgaben regeln, welche Daten für das Training von KI verarbeitet werden dürfen.

Überdies sollten KI-Reallabore eingerichtet werden, in denen neu entwickelte KI-Systeme in einer geschützten Umgebung getestet werden können. Hier sieht die BfDI auch ihre eigene Behörde in der Verantwortung, mithilfe eines KI-Reallabors die Rechtskonformität von KI-Systemen mit der KI-Verordnung und dem Datenschutzrecht zu beurteilen.

Sicherheit und Datenschutz

Als drittes äußert sich Frau Specht-Riemenschneider zum Thema Sicherheit und Datenschutz. Die Forderungen von Sicherheitsbehörden nach schärferen Gesetzen, um schneller auf Bedrohungen reagieren zu können, sollten nicht der Anstoß für die Verabschiedung dieser sein, sondern vielmehr zu einem Umdenken in der Sicherheitsinfrastruktur führen. Die BfDI mahnt hinsichtlich der Überwachungsgesamtlast und der zunehmenden Verschärfung der Gesetze in den letzten Jahren zur Vorsicht. Ein Sicherheits-Moratorium soll die Freiheiten des Einzelnen und der Gesellschaft schützen und die Effizienz bestehender Regelungen überprüfen.

Die Polizeibehörden sollen bei Datenschutzverstößen durch Erhebung von personenbezogenen Daten von Aufsichtsbehörden künftig durch wirksame Sanktionen oder Weisungen belegt werden können. Es erfolgt der Hinweis, dass europarechtliche Vorgaben der JI-Richtlinie, wie sie anderswo bereits umgesetzt werden, insbesondere noch nicht für die Bundespolizei gelten.

Weiter fordert sie, dass die Rechtsprechung von Bundesverfassungsgericht und Europäischem Gerichtshof von der Regierung umzusetzen sind. Dies gelte insbesondere für Rechtsgrundlagen für die Speicherung im polizeilichen Informationsverbund, Eingriffsschwellen für nachrichtendienstliche Befugnisse, die Umsetzung der JI-Richtlinie in das deutsche Polizeirecht und die restriktive Auslegung der PNR-Richtlinie.

Schließlich thematisiert die BfDI die Digitalisierung der Sicherheitsbehörden. Ihrer Meinung nach benötige man künftig „zukunftsfähige Rechtsgrundlagen für die Digitalisierung“ im Sicherheitsüberprüfungsgesetz (SÜG). Man könne dadurch Entlastung für einzelne Stellen und eine ganzheitliche und konforme Digitalisierung schaffen.

Forschung, Wirtschaft und Arbeit

Bereits in den einleitenden Worten der Agenda wird erwähnt, dass eines der Hauptanliegen die Schaffung eines Forschungsdatengesetzes ist. Dieses soll Forschung mit Daten ermöglichen und gleichzeitig Betroffenendaten mithilfe von state-of-the-art Technologie schützen.

Außerdem sollten nach Erläuterungen der BfDI die digitale Souveränität der Europäischen Union durch die Emanzipation von Dienstleistern aus Drittstaaten hin zu IT- und Cloudlösungen „Made in Europe“ und gänzlich ohne Drittlandsübermittlung gestärkt werden.

Frau Specht-Riemenschneider rückt den Fokus weiter auf den (sicheren) digitalen Euro. Bis jetzt waren Nutzer den Plattformanbietern bei Onlinetransaktionen in Sachen Tracking ausgeliefert. Mithilfe des digitalen Euros sollen Zahlungen anonym und damit ähnlich einer Barzahlung erfolgen.

Schließlich greift sie auch den Beschäftigtendatenschutz auf und spricht sich für konkretere Regelungen für das Beschäftigungsverhältnis und damit für ein Beschäftigtendatengesetz aus.

Digitale Plattformen: Messenger, soziale Medien sowie Kinder- und Jugendschutz

Soziale Medien sollen in der Amtszeit der BfDI noch sicherer und regulierter werden. So könnte ein Recht auf Verschlüsselung Sicherheit im Netz bieten – insbesondere für Minderjährige, denen die Gefahren im Internet noch nicht bewusst sind. Auch ein „Messenger Made in Europe“ ohne Dienstleister in Drittstaaten stößt sie an. Kinder- und Jugendliche sollen auf Online-Plattformen mithilfe von Altersüberprüfungen geschützt werden, ohne ihnen den Zugang zum Internet zu versagen.

Die zunehmende Praxis, Nutzer vor die Wahl zu stellen, entweder in Tracking einzuwilligen oder für werbefreie Angebote zu zahlen („Consent or pay“), widerspricht dem Grundgedanken der DSGVO. Die BfDI fordert, dass Datenschutz kein Luxus für zahlungskräftige Personen sein darf. Hier sind klare Regelungen notwendig, die auch Menschen mit geringeren finanziellen Mitteln schützen.

Zuletzt wirbt die Bundesdatenschutzbeauftragte für die Verabschiedung der ePrivacy-Verordnung und möchte die zukünftige Aufsicht über die Einhaltung der Verordnung in den Datenschutzaufsichtsbehörden sehen.

Öffentliche Verwaltung

Eine digitale Verwaltung ist rechenschaftspflichtig gegenüber den Bürgerinnen und Bürgern. Die BfDI fordert, dass die Verwaltung transparent arbeitet und sichere Datenverarbeitungen gewährleisten kann. Sie schlägt daher vor, die digitale Souveränität im Vergaberecht zu verankern.

Bei Modernisierung der Register und dem Once-Only-Prinzip kann der Verwaltungsaufwand für Bürgerinnen und Bürger sowie für Unternehmen ferner erleichtert werden, indem sie nur einmal Daten bei der Verwaltung einreichen. Überdies sollen zuerst bestehende Register genutzt werden, bevor neue aufgebaut werden. Sollten dann doch neue Register benötigt werden, sollte dies im Lichte des Persönlichkeitsschutzes geschehen.

Sicherheit personenbezogener Daten

Frau Specht-Riemenschneider unterstreicht die Relevanz einer sicheren IT-Landschaft. Dies gilt insbesondere auch für staatliche Stellen. Hier ist es an der neuen Regierung die vorhandenen Mängel auszumerzen und Sicherheitslücken nachhaltig zu schließen.

Weiter soll künftig die Ende-zu-Ende-Verschlüsselung gesetzlich geregelt werden und Bürgerinnen und Bürger die Möglichkeit zur Erstellung von S/MME-Zertifikaten geben werden, um die Kommunikation noch sicherer zu gestalten.

Schließlich sollen data protection by design und data protection by default ein integraler Bestandteil der Technologie werden. So soll es von Anfang an verpflichtend sein, state-of-the-art Sicherheitsmaßnahmen in Produkte und Dienstleistungen zu implementieren, um einen angemessenen Schutz der Betroffenen zu gewährleisten.

Datenschutzrecht und Aufsicht

Für die kommende Legislaturperiode hat besonders die Weiterverfolgung der Änderung des Bundesdatenschutzgesetzes (BDSG-E) Relevanz. Dabei soll die Datenschutzkonferenz institutionalisiert werden, eine einheitliche Vertretung Deutschlands auf Europaebene in datenschutzpolitischen Sachen geschaffen und auch ein ganzheitlicher Ansprechpartner für Unternehmen und Einrichtungen bestimmt werden. All diese Änderungen sollen die Aufsicht über den Datenschutz effektiver machen.

Daneben sollen künftig die neuen Rechtsakte der EU-Digitalstrategie eine Einheit mit der DSGVO bilden. Sie sollen nebeneinander und sich ergänzend anwendbar sein.

Informationsfreiheit

Entgegen aktueller Entwicklungen auf großen Online-Plattformen wirbt die BfDI für ein Transparenzgesetz mithilfe dessen Falschinformationen begegnet werden kann. Hierzu kann auch der vorgeschlagene „public interest test“ beitragen, der die Abwägung zwischen Veröffentlichung und Geheimhaltung vereinfachen soll. Zudem soll eine entsprechend informationsfreiheitsfreundliche Grundeinstellung in der Verwaltung vorherrschen.

Frau Specht-Riemenschneider unterstreicht mit ihren Forderungen die Relevanz der Informationsfreiheit für unsere Gesellschaft und fordert daher die Aufwertung der Informationsfreiheit auf Grundrechtebene.

Ausblick: Datenschutzrecht als konstruktiver Wegbereiter

Wie realistisch diese Vorschläge und Ziele innerhalb einer vierjährigen Legislaturperiode der Bundesregierung oder der fünfjährigen Amtszeit einer Bundesdatenschutzbeuftragten umsetzbar sind, bleibt abzuwarten. Ebenso wird sich zeigen, ob und in welchem Umfang die politischen Parteien diese Anregungen in ihre Wahlprogramme aufnehmen und später in konkrete Politik umsetzen.

Ambitioniert ist die Agenda allemal. Es ist sicherlich sinnvoll, das Datenschutzrecht als „konstruktiven Wegbereiter einer grundrechtssensiblen Digitalisierung“ zu verstehen. Gerade bei den weitreichenden Zielen, die die BfDI in den Bereichen Technologie und Innovation formuliert, ist es von zentraler Bedeutung, stets zur Würdigung der Grundrechte eines jeden Einzelnen zurückzukehren.

Die vorgezogene Bundestagswahl findet am 23. Februar 2025 statt.