Mit meinem Aktionsplan 2025 lege ich einen klaren Fokus auf die Begleitung, Beratung und Überprüfung von Verantwortlichen im Rahmen von Digitalisierungsprojekten und dem Einsatz von Künstlicher Intelligenz (KI). Unter dem Motto „Better safe than sorry“ will ich mit meiner Behörde proaktiven Datenschutz fördern, der allen Bürgerinnen und Bürgern dient.

Angesichts der dynamischen Entwicklungen im rechtlichen und technischen Bereich ist es unerlässlich, dass wir als Datenschutzaufsichtsbehörde Schwerpunkte setzen. Unser Ziel ist es, die effektive Durchsetzung des Datenschutzes und der Informationsfreiheit in Rheinland-Pfalz bestmöglich sicherzustellen.

Dabei werde ich im Jahr 2025 insbesondere die datenschutzrechtlichen Fragestellungen rund um Künstliche Intelligenz weiter begleiten. Als Co-Vorsitz des Arbeitskreises KI der Datenschutzkonferenz setze ich mich etwa dafür ein, dass aktuelle Herausforderungen beim Einsatz von KI in den besonders sensiblen Bereichen Schule, Sicherheit und Gesundheit angemessen berücksichtigt werden. Zudem wird das Zusammenspiel der KI-Verordnung mit dem Datenschutzrecht im Fokus stehen.

Um die Einhaltung des Datenschutzes in der Praxis zu überprüfen, sind Vor-Ort-Kontrollen etwa in Kommunalverwaltungen geplant, die EfA-Dienste (Einer für Alle) gemäß dem Onlinezugangsgesetz (OZG) einsetzen. Zudem werden wir eine Reihe von Fragebogenaktionen beispielsweise in der Kreditwirtschaft und im Bildungsbereich durchführen.

Der Aktionsplan 2025 steht hier zum Download zur Verfügung.

Ende Januar hat mit DeepSeek eine leistungsstarke generative KI den Markt der Europäischen Union betreten. Weil die hinter DeepSeek stehende Unternehmen offenkundig keine Niederlassung in einem Mitgliedstaat der EU betreiben, sind die Datenschutzaufsichtsbehörden aller Mitgliedstaaten unmittelbar für DeepSeek zuständig.

Die Prinzipien eines fairen Wettbewerbs gebieten es, dass sich jeder Akteur, der sich auf dem europäischen Markt bewegt, an die gesetzlichen Regeln hält. Die Datenschutz-Grundverordnung ist eine der zentralen Säulen des EU-Rechts. Ich vertrete die Auffassung, dass auch im Falle global agierender Akteure ohne Niederlassung in der Europäischen Union eine eventuelle Ignoranz oder Verletzung dieses Rechts nicht folgenlos bleiben sollte. Ich habe mich deshalb kurz nach Bekanntwerden der neuen KI-Anwendung entschieden, ein Prüfverfahren einzuleiten. Mehrere deutsche Datenschutzaufsichtsbehörden gehen parallel vor.

Das Prüfverfahren betrifft zunächst die Frage nach dem Vorhandensein eines gesetzlichen Vertreters in der EU. Gemäß Art. 27 der Datenschutz-Grundverordnung muss ein Unternehmen, das auf dem Markt der EU aktiv ist und keine Niederlassung in einem Mitgliedstaat der EU betreibt, einen gesetzlichen Vertreter benennen. Das Fehlen eines gesetzlichen Vertreters stellt an sich schon einen Verstoß gegen die Datenschutz-Grundverordnung dar.

Gemeinsam mit anderen Landesdatenschutzbehörden haben wir unter Federführung von Baden-Württemberg auch eine allgemeine Empfehlung erarbeitet zum Umgang mit KI-Anwendungen von Unternehmen, die in einem Land ansässig sind, für das kein Angemessenheitsbeschluss der EU-Kommission existiert. Damit sollen potenziellen Nutzerinnen und Nutzern die Risiken einer solchen Nutzung aufgezeigt werden. Die Empfehlung wird in Kürze auf unserer Webseite veröffentlicht.

Datenschutz ist ein zentrales Thema in Arzt- und Psychotherapiepraxen. Mit monatlich veröffentlichten Praxistipps will die von meiner Behörde mitgetragene rheinland-pfälzische Initiative im Jahr 2025 den Behandelnden konkrete und aktuelle Hilfestellung geben, wie sie die gesetzlichen Vorgaben in ihren Arbeitsalltag integrieren können. Die Praxistipps stellen auf der Website www.mit-sicherheit-gut-behandelt.de jeweils eine im Praxisbetrieb relevante datenschutzrechtliche Frage mit dazugehöriger Antwort vor. Zusätzlich erhalten die Behandelnden Hinweise zu Rechtsgrundlagen und weiterführende Links.

Zwei Praxistipps wurden in den Monaten Januar und Februar 2025 schon veröffentlicht: Sie befassen sich mit dem datenschutzrechtlichen Auskunftsanspruch von Patientinnen und Patienten, zu dem nach den Erfahrungen meiner Behörde weiterhin ein großer Klärungsbedarf besteht. Auch der dritte Praxistipp im März 2025 wird dem Auskunftsanspruch gewidmet sein, dann mit dem Fokus auf die wichtige Frage, wie mit Auskunftsersuchen von Minderjährigen umzugehen ist. Die weiteren Praxistipps bis zur Jahresmitte werden die Kommunikation per E-Mail (April 2025), die Einwilligung (Mai 2025) und die Informationspflicht nach Art. 13 DS-GVO (Juni 2025) betreffen.

Insgesamt werden zwölf Praxistipps im Laufe dieses Jahres jeweils zur Monatsmitte von der Initiative veröffentlicht werden. Nach den bisherigen positiven Rückmeldungen scheinen sie bei den Praxisinhaberinnen und Praxisinhabern auf großes Interesse zu stoßen. Es lohnt sich also, mal einen Blick in den einen oder anderen Tipp zu werfen. Und das möglicherweise auch für alle diejenigen, die selbst keine Heilberufspraxis führen.

Am 16. Januar 2025 hat der Europäische Datenschutzausschuss (EDSA) über die Ergebnisse der 2024 durchgeführten europaweiten Prüfaktion im Rahmen des „Coordinated Enforcement Framework“ (CEF) beraten und seinen Bericht verabschiedet. Bei der Aktion wurde untersucht, wie Verantwortliche das Auskunftsrecht betroffener Personen umsetzen.

In Deutschland beteiligten sich neben dem LfDI Rheinland-Pfalz die Landesdatenschutzaufsichtsbehörden aus Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Saarland und Schleswig-Holstein sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und prüften insgesamt 116 Verantwortliche. Insgesamt werteten die beteiligten 30 Aufsichtsbehörden auf EU-Ebene Angaben von 1.185 Verantwortlichen aus.

Wir haben bereits in unserem Newsletter vom 15. August 2024 über das erste Bild in Rheinland-Pfalz berichtet. Im Gesamtbericht werden nunmehr positive Erkenntnisse und Best Practices beleuchtet, aber auch Nachbesserungsbedarf und weiterhin bestehende Herausforderungen identifiziert.

Positiv wird etwa hervorgehoben, wenn Verantwortliche bereits in ihrem Datenschutzmanagement die Gewährleistung des Auskunftsrechts als wichtigen Geschäftsprozess implementieren. Dazu zählen das Festlegen von Verantwortlichkeiten und die Etablierung entsprechender Rollen- und Berechtigungskonzepte. Außerdem werden betroffenenfreundliche Maßnahmen als Best Practices benannt, etwa die Bereitstellung von Formularen, die die Geltendmachung des Auskunftsrechts für die betroffenen Personen erleichtern.

Nachbesserungsbedarf betrifft insbesondere die Anerkennung und Implementierung neuerer Rechtsprechung des EuGHs zum Auskunftsrecht, die maßgeblichen Einfluss auf die Reichweite und den Umfang des Auskunftsrechts hatte. Zudem werden bei vielen Verantwortlichen die Einschränkungen des Auskunftsrechts zu weit ausgelegt.

Eine ausführliche Darstellung der Ergebnisse finden Sie auf unserer Webseite.

Am 29. Januar fand die erste Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern (Datenschutzkonferenz – DSK) in Berlin statt. Den Vorsitz der Datenschutzkonferenz hat im Jahr 2025 die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, inne. Beschlossen wurde die Erarbeitung praktischer Hilfestellungen für die effektive Anonymisierung und Pseudonymisierung von personenbezogenen Daten. Die DSK diskutierte außerdem den Einsatz von KI-basierten Systemen in der öffentlichen Verwaltung. Eine Umfrage unter den Aufsichtsbehörden ergab, dass öffentliche Stellen eine große Breite an KI-Verfahren in unterschiedlichen Bereichen und für vielfältige Zwecke entwickeln oder bereits einsetzen. Die DSK hat außerdem beschlossen, dass sich der seit Januar 2025 bestehende Arbeitskreis Künstliche Intelligenz, den ich gemeinsam mit meinem baden-württembergischen Amtskollegen leite, mit den daraus entstehenden Fragen befassen soll. Die Pressemitteilung der DSK zu den Ergebnissen der Zwischenkonferenz finden Sie hier.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz bietet jungen Menschen die Möglichkeit, ein Freiwilliges Soziales Jahr (FSJ) Politik im Bereich Medienkompetenz zu absolvieren. Hierbei arbeiten sie rund um die Themen Datenschutz und Informationsfreiheit aus technischer und rechtlicher Perspektive. Neben der redaktionelle Pflege der Jugendwebseite www.youngdata.de gehören auch die Entwicklung von Materialien für Datenschutz-Schülerworkshops und Mitarbeit bei der Organisation und Durchführung von Präsenz- und Onlineveranstaltungen für unterschiedliche Zielgruppen zu den vielfältigen Tätigkeiten. Als oberste Landesbehörde geben wir Einblicke in die rheinland-pfälzische Verwaltungs- und Bildungsarbeit und binden die FSJlerinnen und FSJler aktiv in unsere Arbeit ein. Wer sich für ein FSJ Politik beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz interessiert, kann sich bis zum 15. März 2025 über das Portal des Freiwilligendienstes bewerben.

Unser Podcast Datenfunk versorgt Sie regelmäßig mit aktuellen datenschutzrechtlichen Hintergründen im Audio-Format. Hören Sie rein!

Kennen Sie schon Mastodon, die datenschutzfreundliche Alternative zum Kurznachrichtendienst X? Auf https://social.bund.de/@lfdi_rlp gehen wir in den Dialog mit den Nutzerinnen und Nutzern und informieren tagesaktuell über unsere Aktivitäten und Veröffentlichungen. Folgen Sie uns – ganz ohne datenschutzrechtliche Bedenken und Fallstricke.