In ihrem am 9. April 2025 vorgestellten Koalitionsvertrag erklären die Unionsparteien und die SPD, Zuständigkeiten für die Datenschutzaufsicht über Wirtschaftsunternehmen bei der Bundesbeauftragten für Datenschutz und Informationsfreiheit bündeln zu wollen. Ziel ist wohl die Förderung der Interessen der Wirtschaft, ohne dass diese teils unterschiedlichen Interessen insoweit konkretisiert werden. Kleine und mittlere Unternehmen sollen zudem durch die Nutzung gesetzlicher Spielräume entlastet werden.

Das Ziel, KMU zu fördern, teile ich. Das geht aber besser mit Aufsichtsstrukturen vor Ort. Diese kann man gerne fortentwickeln.

Lässt sich das politische Ziel einer Entbürokratisierung in geeigneter Weise mit einer Zentralisierung der Datenschutzaufsicht erreichen? Ich sehe das kritisch. Die Zuständigkeit einer zentralen Behörde unter Preisgabe der ortsnahen Zuständigkeit der Landesdatenschutzbehörden ist der falsche Weg. Denn Ortsnähe bedeutet immer auch: leichtere Erreichbarkeit von Ansprechpartnern in der Behörde, Beratung vor Ort, Kenntnis der unternehmensspezifischen Bedürfnisse und regionalen Besonderheiten. Lokale Wirtschaftsunternehmen haben ein Interesse daran, lokale Ansprechpartner zu haben. 

Die rechtliche Umsetzbarkeit der im Koalitionsvertrag vage formulierten Pläne ist bislang ungeklärt, wenn nicht gar fraglich. In Wirtschaftsbelangen wird es immer Themen geben, die Landesbelange berühren und die verfassungsmäßig von der Zuständigkeit einer Landesdatenschutzaufsicht nicht abgelöst werden können. Ich erwarte Abgrenzungsprobleme bei der Frage, ob ein Akteur nun den dann gebündelten Wirtschaftszweigen zuzurechnen ist oder zu einem Aufgabenbereich gehört, der in die Länderzuständigkeit fällt. Dadurch werden neue Rechtsunsicherheiten oder sogar Doppelzuständigkeiten geschaffen. In der Praxis sehe ich die Gefahr der Prozessverlangsamung durch daraus resultierende Unklarheiten der Zuständigkeit von Bundes- und Landesbehörde – also tatsächlich die Verschärfung von Problemen, die die Koalitionspartner eigentlich lösen wollen. 

Auch wir wollen Rechtssicherheit durch einheitliche Auslegung und weniger Bürokratie durch einfachere Verfahren mit klaren Zuständigkeiten. Geht das nicht wesentlich einfacher durch mehr Vereinheitlichung nach den Vorschlägen der Landesdatenschutzbehörden? Am 26. März haben die Datenschutzbehörden der Länder die folgenden konkreten Reformvorschläge veröffentlicht:

1. Eine Datenschutzbehörde als Ansprechpartnerin für Unternehmen und Forschende: Zentrale Zuständigkeit einer Aufsichtsbehörde bei länderübergreifenden Sachverhalten, z. B. bei Forschungsprojekten oder bei Konzernen mit mehreren Standorten.
2. Effiziente Arbeitsteilung durch Ausweitung des Eine-für-Alle-Prinzips (EfA) auf die Datenschutzbehörden: Das Ergebnis der Prüfung von länderübergreifend oder bundesweit eingesetzten Verfahren durch eine Landesbehörde bindet die anderen Behörden.
3. Eine starke Stimme, die einheitlich entscheidet: Die DSK institutionalisieren und mit einer Geschäftsstelle zum gemeinsamen Entscheidungsgremium von Bund und Ländern formen. Rechtssicherheit durch verbindliche Mehrheitsentscheidungen in der DSK schaffen.

Zudem erfordern die Vorhaben des Koalitionsvertrages offensichtlich Änderungen der DS-GVO auf europäischer Ebene. Erst dann können einige der nationalen Vorhaben überhaupt angegangen werden. Das birgt Unwägbarkeiten, weil erst auf europäischer Ebene Einigung erzielt werden muss.

Meine Behörde hier in Rheinland-Pfalz hat einen sehr kleinen Personalkörper. Unser Vorteil und unsere Schlagkraft bestehen darin, Synergien durch fachübergreifendes Arbeiten und schnelle Abstimmungen untereinander zu ermöglichen. Dadurch war es uns bislang immer möglich, mit sehr wenig Personal sehr viel abzudecken und zu leisten. Die Pläne der Koalitionspartner werden bei uns keine Einspardividende zur Folge haben, zumal andere Rechtsvorschriften, auch im Land, uns neue Aufgaben zuerkennen. 

Insgesamt gilt: Der Koalitionsvertrag scheint die Abwägung zwischen der informationellen Selbstbestimmung der Bürgerinnen und Bürger und wirtschaftlichen Interessen einseitig vorzunehmen. Die Wichtigkeit wirtschaftlicher Entwicklung ist selbstverständlich anzuerkennen, Innovation und Wirtschaftsförderung können aber auch mit funktionierendem Datenschutz gelingen. Regelungsspielräume etwa in der Forschung sind da, wurden aber vom nationalen Gesetzgeber bisher nicht hinreichend genutzt. Der Datenschutz sollte Bestandteil eines werte- und grundrechtsorientierten Gesamtkonzeptes der Sicherung von Freiheit in der digitalen Welt bleiben. Ein deutliches Bekenntnis dazu wäre aktuell angezeigt, die Chance wurde hier verpasst. 

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer 109. Konferenz am 26. und 27. März in Berlin zentrale Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft beschlossen. Die künftige Bundesregierung müsse die Digitalisierung in Europa voranbringen und eine menschenzentrierte Datennutzung sicherstellen, heißt es in dem Papier. 

Die Eckpunkte der Datenschutzkonferenz:

1. Gesetzgebungsprojekte zur Novellierung des Bundesdatenschutzgesetzes und zum Beschäftigtendatenschutz finalisieren
   Für das Bundesdatenschutzgesetz fordert die Datenschutzkonferenz unter anderem eine zentrale Zuständigkeitsregelung bei bundesweiten Sachverhalten und die Institutionalisierung der DSK mit einer Geschäftsstelle. Wichtige Aspekte eines Beschäftigtendatenschutzgesetzes sind Regelungen zum Einsatz von algorithmischen Systemen am Arbeitsplatz und zu den Grenzen der Verhaltens- und Leistungskontrolle.
2. Systematische Grundrechtechecks bei der Fortentwicklung der modernen Sicherheitsarchitektur durchführen
   Die zunehmende Nutzung von Gesichtserkennung, automatischen Datenanalysen und Künstlicher Intelligenz durch Sicherheitsbehörden erfordert eine grundrechtssensible und verfassungskonforme Gesetzgebung. Die Bundesregierung muss daher systematisch die Vereinbarkeit neuer Sicherheitsgesetze mit den Grundrechten prüfen und dabei die Rechtsprechung des Bundesverfassungsgerichts sowie die europäische Gesetzgebung beachten.
3. Bessere Abstimmung von EU-Digitalrechtsakten und DSGVO
   Die DSK sieht erheblichen Verbesserungsbedarf bei der Harmonisierung europäischer Digitalrechtsakte wie KI-Verordnung und Data Act mit der Datenschutz-Grundverordnung (DSGVO). Ein kohärenter Rechtsrahmen ist essenziell für die Rechtssicherheit und den effektiven Grundrechtsschutz.
4. Produktive Rahmenbedingungen für KI, Forschung und Innovation im Einklang mit dem Datenschutz gesetzgeberisch gestalten
   Viele innovative Vorhaben in Wirtschaft, Verwaltung und Politik könnten mithilfe von Daten und Künstlicher Intelligenz vorangebracht werden. Dabei müssen die Rechte derjenigen gewahrt bleiben, um deren Daten es geht. Die DSK fordert die Schaffung gesetzlicher Regelungen für Forschung und KI-Entwicklung sowie unabhängige Aufsichtsstrukturen und behördlich kontrollierte Reallabore.
5. DSK-Kriterien für Souveräne Clouds berücksichtigen und Datenschutzcockpit ausbauen
   Die DSK appelliert an die Bundesregierung, die von ihr aufgestellten Kriterien für Souveräne Clouds zu berücksichtigen und das Datenschutzcockpit zur Kontrolle und Transparenz der Datenverarbeitung weiter auszubauen. Eine moderne Verwaltung muss digitale Souveränität und Datenschutz gleichermaßen gewährleisten.

Gemeinsam mit meinen Kolleginnen und Kollegen in den Datenschutzaufsichtsbehörden des Bundes und der Länder werde ich auch in den kommenden Wochen und Monaten die Festlegungen und Gesetzesinitiativen der Bundesregierung kritisch begleiten zugunsten eines effektiven und schlagkräftigen Datenschutzes in Rheinland-Pfalz und Deutschland.

Die formellen Untersuchungen zu OpenAI sind abgeschlossen. Bei der 109. Datenschutzkonferenz am 26. und 27. März in Berlin haben wir uns gemeinsam mit den anderen Landesdatenschutzaufsichtsbehörden, die formelle Verfahren gegen das hinter ChatGPT stehende Unternehmen OpenAI eingeleitet hatten, auf die Einstellung und Abgabe der Verfahren an die irische Datenschutzaufsicht festgelegt. Die umfangreichen Erkenntnisse aus dem Prüfverfahren, die den Entwicklungsstand von ChatGPT im Jahr 2023 adressieren, werden der irischen Data Protection Commission (DPC) für deren weitere Arbeit zur Verfügung gestellt.

Mit der Etablierung einer europäischen Niederlassung von OpenAI zum Jahreswechsel 2023/24 ging die Zuständigkeit für die Verbreitung und Entwicklung des Chatbots ChatGPT im Sinne des europäischen „One Stop Shop“-Prinzips an die irische Datenschutzaufsichtsbehörde DCP über. Die Zuständigkeit der deutschen Datenschutzaufsichtsbehörden konnte sich somit nur mehr auf den vergangenen Entwicklungsstand der Anwendung beschränken. Wir haben die Prüfung dennoch weitergeführt und somit die Chance genutzt, durch intensive Untersuchung der Anwendung umfangreiche Erkenntnisse über die Datenverarbeitung in generativen KI-Systemen zu erlangen. Die gewonnenen Erkenntnisse werden für unsere weitere Arbeit wertvoll sein. Im Zusammenhang mit Künstlicher Intelligenz werden uns zukünftig in erheblicher Weise die konkreten Einsatzszenarien in Unternehmen und Behörden beschäftigen. Auch deshalb erachten wir es als richtigen Schritt, durch die Einstellung der auf einen früheren Entwicklungsstand von ChatGPT gerichteten Verfahren Ressourcen freizusetzen, die wir für die weitere konstruktive Begleitung des KI-Einsatzes in Unternehmen und Behörden brauchen.

Unsere in den Prüfverfahren gewonnen Erkenntnisse werden der irischen Data Protection Commission als der nunmehr zuständigen Datenschutzaufsicht zur Verfügung gestellt. Sie werden somit zur weiteren Sicherstellung datenschutzrechtlicher Standards beim Einsatz von ChatGPT und anderen generativen KI-Systemen in Europa beitragen. 

Unser im Februar 2025 begonnenes Verfahren gegen die hinter dem Chatbot DeepSeek stehenden chinesischen Unternehmen läuft indes weiter.

Am 1. Januar 2025 sind die überwiegenden Regelungen des Vierten Bürokratieentlastungsgesetzes (BEG IV) in Kraft getreten, das unter anderem datenschutzrechtliche Erleichterungen für Beherbergungsbetriebe beinhaltet. 

Seitdem besteht die gesetzliche Verpflichtung zur Erhebung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. c) Datenschutz-Grundverordnung (DS-GVO) i. V. m. §§ 29, 30 Bundesmeldegesetz (BMG) nur noch eingeschränkt für beherbergte ausländische Personen. Die besondere Melde(schein)pflicht gemäß § 29 BMG entfällt für inländische Gäste. Damit sind die Angaben gemäß §§ 29 Abs. 2, 30 Abs. 2 BMG für diese Personen nicht mehr zu erheben, insbesondere die Erfassung der Staatsangehörigkeit ist für sie entbehrlich geworden. 

Vor dem Hintergrund der Vorgabe von Art. 5 Abs. 1 lit. c DS-GVO, dass die Verarbeitung personenbezogener Daten auf das notwendige Maß zu beschränken ist, ist dies eine aus datenschutzrechtlicher Sicht zu begrüßende Entwicklung. 

Hierdurch verschlanken sich die von Verantwortlichen und Auftragsverarbeitern zu treffenden Technischen und Organisatorischen Maßnahmen (TOM) gemäß Art. 32 DS-GVO, konkret in Bezug auf die Ausgestaltung von Prozessen zur Aufbewahrung und Löschung personenbezogener Daten gemäß §§ 29, 30 BMG für Personen mit deutscher Staatsangehörigkeit. 

Die Aufbewahrungs- und Löschfrist für Meldescheine bleibt gemäß § 30 Abs. 4 BMG jedoch unverändert bestehen. Diese sind vom Tag der Abreise der beherbergten Person an ein Jahr aufzubewahren und drei Monate nach Ablauf der Aufbewahrungsfrist zu löschen. Spätestens zum 31. März 2026 sind damit alle Meldescheine inländischer beherbergter Personen zu löschen. 

Die Anzahl der in Verarbeitung beziehungsweise Aufbewahrung befindlichen personenbezogenen Daten in der Beherbergungsbranche dürfte sich hierdurch deutlich und für die Betriebe spürbar reduzieren.