Sehr geehrte Damen und Herren, liebe Leserinnen und Leser,
die vergangenen Wochen waren von wichtigen Aussagen zu Künstlicher Intelligenz seitens der Datenschutzkonferenz sowie der europäischen Datenschutzaufsicht geprägt. Zudem bleiben die erfolgreichen Veranstaltungen in Erinnerung, die wir vor großem Publikum selbst organisierten oder zu denen wir mit Vorträgen und Diskussionsteilnahmen beitrugen. Neben den nachfolgend näher vorgestellten Formaten habe ich auch bei Veranstaltungen unter anderem in Mainz, Trier, Ludwigshafen, Frankfurt, Berlin, Erfurt, Brüssel, Fribourg und Zürich zum allgegenwärtigen Thema KI, zur Digitalisierung des Gesundheitswesens und anderen aktuellen Arbeitsschwerpunkten gesprochen. An vielen Stellen kommen wir nur im gemeinsamen Diskurs weiter. Der folgende Abriss zeigt Ihnen die Breite der Themen, die uns gerade beschäftigen.
Ihr
Prof. Dr. Dieter Kugelmann
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Inhalt:
II. Künstliche Intelligenz und Datenschutz
I. Veranstaltungen
Mit der Rekordteilnahmezahl von rund 200 Teilnehmerinnen und Teilnehmern ging am 19. April 2024 das 13. Speyerer Forum zur digitalen Lebenswelt zu Ende. Zwei Tage lang hatten Expertinnen und Experten beleuchtet, wie Künstliche Intelligenz die Digitalisierung der Verwaltung beeinflussen kann – aktuell und zukünftig. Juristische Überlegungen, insbesondere zur KI-Verordnung, spielten dabei ebenso eine Rolle wie technische und gesellschaftliche Aspekte. Die etablierte Fachtagung wird immer im Frühjahr von der Deutschen Universität für Verwaltungswissenschaften gemeinsam mit den Landesdatenschutzbeauftragten aus Rheinland-Pfalz und Baden-Württemberg sowie dem rheinland-pfälzischen Ministerium für Arbeit, Soziales, Digitalisierung und Transformation veranstaltet.
„Datenschutzbeauftragte auf Zukunftskurs“ – so lautete das Motto des 3. Datenschutztags Hessen & Rheinland-Pfalz, zu dem am 25. Juni 2024 mehr als 200 behördliche, kommunale und betriebliche Datenschutzbeauftragte in Frankfurt am Main zusammenkamen. Gemeinsam mit uns hatten der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. sowie der Hessische Beauftragte für Datenschutz und Informationsfreiheit zu der Veranstaltung eingeladen. Eine der Keynotes hielt die Hessische Digitalministerin Prof. Dr. Kristina Sinemus. Ein besonderes Merkmal der Tagung war erneut die Gelegenheit für die Teilnehmenden, sich mit ihren Fragen direkt an die Fachleute aus den Aufsichtsbehörden zu wenden: Aus meinem Team steuerten neben mir neun Expertinnen und Experten Vorträge und ihr Fachwissen zu Themen wie „Datenschutz und Sicherheit bei Großveranstaltungen“, „KI-Einsatz in der Verwaltung“ oder „Datenschutzkonforme Öffentlichkeitsarbeit“ bei. Die nächste Ausgabe des Datenschutztages Hessen & Rheinland-Pfalz wird am 2. Juli 2025 in Frankfurt am Main stattfinden.
Überwältigend groß war die Nachfrage nach unserem Webinar „Fotos, Portfolio, Einwilligung – Kita-Datenschutz gut umgesetzt“. Rund 500 Erzieherinnen und Erzieher aus rheinland-pfälzischen Kitas verfolgten am 26. Juni 2024 live das Webinar. Mein Team informierte zu zahlreichen datenschutzrechtlichen Fragen, die sich im Kita-Alltag auftun – vom Fotografieren beim Kita-Sommerfest bis hin zu Namensschildern am Kleiderhaken. Eine Aufzeichnung des Webinars wird in Kürze auf unserer Webseite frei verfügbar sein. Dort stellen wir außerdem umfangreiche, laufend aktualisierte FAQs sowie Mustertexte für Kitas bereit.
II. Künstliche Intelligenz und Datenschutz
Unternehmen und Behörden setzen sich aktuell unter Hochdruck mit dem möglichen Einsatz von KI-Anwendungen auseinander. Allerdings sind in einem hochdynamischen Umfeld tragfähige Bewertungen schwierig. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat daher im Mai 2024 eine Orientierungshilfe mit datenschutzrechtlichen Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vorgelegt. Erarbeitet wurde die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ von der Taskforce KI, die ich leite. Das Papier richtet sich an Unternehmen, Behörden und andere Organisationen. Es dient als Leitfaden insbesondere für datenschutzrechtlich Verantwortliche, um KI-Anwendungen auszuwählen, zu implementieren und zu nutzen. Die Orientierungshilfe wird künftig weiterentwickelt und an aktuelle Entwicklungen angepasst.
Künstliche Intelligenz ist kein nationales Thema, sondern erfordert mindestens europäische Kooperation. Meine Behörde wirkt deshalb auch in der ChatGPT-Taskforce des Europäischen Datenschutzausschusses (EDSA) mit. Am 23. Mai 2024 hat die Taskforce einen Zwischenbericht zur Einhaltung von EU-Datenschutzregeln bei Large Language Modellen veröffentlicht.
Diskutiert wird momentan die Frage, wer in Deutschland zukünftig die Aufsicht über die Einhaltung der KI-Verordnung wahrnehmen soll. Nach der Annahme der KI-Verordnung durch das Europäische Parlament im März 2024 hat Deutschland zur Einrichtung der behördlichen Aufsichtsstruktur nur zwölf Monate Zeit. Ich vertrete gemeinsam mit den anderen deutschen Datenschutzbehörden die Auffassung, dass den Landesdatenschutzbehörden sowie der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) die KI-Aufsicht zukommen sollte. Wir wollen Marktüberwachung und Datenschutzaufsicht für KI-Verfahren aus einer Hand gewährleisten und stehen für diese Zukunftsaufgabe bereit. Die Datenschutzkonferenz hat deshalb ein Positionspapier herausgegeben, mit dem wir nachdrücklich für die Übertragung der nationalen Zuständigkeit für die KI-Verordnung werben.
III. Wirtschaft und Datenschutz
Der Verband „Die Wirtschaftsauskunfteien e.V.“ mit Sitz in Wiesbaden hat am 25. Mai 2024 neue Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten veröffentlicht, die vom zuständigen Hessischen Beauftragte für Datenschutz und Informationsfreiheit (HBDI) genehmigt wurden. Grund für die Anpassungen in den Verhaltensregeln war die unionsrechtswidrige Einstufung einzelner Regelungen, insbesondere zur Speicherfrist, im Urteil des Europäischen Gerichtshofs vom 7. Dezember 2023 in der verbunden Rechtssache C-26/22 und C-64/22.
Zu den wesentlichen Änderungen gehören das Einführen eines Glossars und die genaue Festlegung des Speicherbeginns und -endes für verschiedene Datenarten. Außerdem wurden die Fristen für nachträglich beglichene Forderungen, für alle Insolvenzdaten sowie für Daten über die Restschuldbefreiung und über die ihr zugrundeliegenden Forderungen verkürzt. Die Verhaltensregeln stellen klar, dass Anschriftendaten nur noch zum Zwecke der Zuordnung bzw. Identifizierung gespeichert werden dürfen, soweit dies erforderlich und angemessen ist und nicht mehr zum Zweck des Scorings. Darüber hinaus enthalten die Verhaltensregeln keine Speicherregelungen mehr zu Positivdaten und zu Kontomissbrauchsdaten.
Zu beachten ist, dass zwei Verpflichtungen der Verhaltensregeln erst ab dem 1. Oktober 2024 bzw. ab dem 1. Januar 2025 gelten (siehe: Nebenbestimmungen im Rahmen der Genehmigung der Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25. April 2024). Bis dahin gelten die betreffenden Regelungen der Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25. Mai 2018 in der Fassung vom 1. Januar 2020 fort.
IV. Medien und Datenschutz
Mitte Juni 2024 hat meine Behörde eine Informationskampagne zu den Regeln des Datenschutzes bei Newslettern und E-Mail-Werbung gestartet. Sie weist Unternehmen und Kultureinrichtungen in Rheinland-Pfalz proaktiv auf die datenschutzrechtlichen Voraussetzungen hin, die für den Versand von Newslettern und E-Mail-Werbung gelten. Ziel ist die Sensibilisierung der Verantwortlichen und die Verringerung datenschutzrechtlicher Verstöße in diesem Bereich, in dem wir häufig Defizite feststellen. Eine bessere Beachtung der Vorgaben ist nicht nur aus Sicht des Datenschutzes und meiner Behörde wünschenswert, sondern auch für die betroffenen Branchen ein Gewinn. Denn Verstöße können im Fall von Beschwerden zu aufsichtsbehördlichen Maßnahmen bis hin zu Bußgeldern führen.
V. Unsere Angebote
Unser Podcast Datenfunk versorgt Sie regelmäßig mit aktuellen datenschutzrechtlichen Hintergründen im Audio-Format.
Kennen Sie schon Mastodon, die datenschutzfreundliche Alternative zum Kurznachrichtendienst X? Auf https://social.bund.de/@lfdi_rlp gehen wir in den Dialog mit den Nutzerinnen und Nutzern und informieren tagesaktuell über unsere Aktivitäten und Veröffentlichungen. Folgen Sie uns – ganz ohne datenschutzrechtliche Bedenken und Fallstricke.
Wenn Sie das Abonnement beenden möchten, rufen Sie bitte den folgenden Link auf: Newsletter abmelden.