Sehr geehrte Damen und Herren, liebe Leserinnen und Leser,
© LfDI | Foto: Stephan Dinges
der Herbst ist die klassische Veranstaltungszeit. Auch wir haben in dieser Hinsicht manches für Sie zu bieten. In der kommenden Woche, am 6. November, erwartet Sie unsere Veranstaltung „ePA für alle – Daten für alle?“, in der wir gemeinsam mit der Verbraucherzentrale Rheinland-Pfalz und hochkarätigen Expertinnen und Experten die Chancen und möglichen Risiken der elektronischen Patientenakte beleuchten. Melden Sie sich jetzt noch für die letzten freien Plätze an oder verfolgen Sie die Veranstaltung im Livestream. In diesem Newsletter blicke ich außerdem zurück auf das wissenschaftliche Symposium „Zehn Jahre Datenschutz im Wandel“, das kürzlich anlässlich meines zehnten Amtsjubiläums stattfand. Die Ergebnisse des Symposiums haben wir für Sie nicht nur in einem Graphic Recording, sondern auch in einem ausführlichen Tagungsbericht zusammengefasst.
Viel Freude bei der Lektüre!
Ihr
Prof. Dr. Dieter Kugelmann
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Inhalt:
- I. Veranstaltung am 6. November: ePA für alle – Daten für alle?
- II. Tagungsbericht: Symposium „Zehn Jahre Datenschutz im Wandel“
- III. Medien: LinkedIn will Nutzerdaten für KI-Training verwenden
- IV. KI: Orientierungshilfe zu KI-Systemen mit Retrieval Augmented Generation (RAG)
- V. Digital Services Act: Forschende erhalten Zugang zu nicht-öffentlichen Plattformdaten
- VI. Unsere Angebote
I. Veranstaltung am 6. November: ePA für alle – Daten für alle?
© iStock.com / elenabs
Am 6. November 2025 von 14 bis 17.30 Uhr findet im Plenarsaal des Landtags Rheinland-Pfalz in Mainz unsere gemeinsam mit der Verbraucherzentrale Rheinland-Pfalz organisierte Veranstaltung zu den Herausforderungen und Chancen der elektronischen Patientenakte statt. Unter dem Titel „ePA für alle – Daten für alle? Deutschland im Zwiespalt zwischen digitalen Chancen und reellen Gefahren“ werden Expertinnen und Experten aus verschiedenen Fachdisziplinen über die aktuellen Entwicklungen und Erfahrungen mit der ePA diskutieren.
In vier hochkarätig besetzten Keynotes und Panels werden Vertreterinnen und Vertretern aus der Zivilgesellschaft, der Ärzte- und Patientenschaft, Krankenkassen, Wissenschaft und Politik die bisherigen Erfahrungen mit der elektronischen Patientenakte und die daraus zu ziehenden Schlüsse für die Zukunft beleuchten. Das vollständige Programm finden Sie hier.
Melden Sie sich jetzt noch für die letzten freien Plätze im Plenarsaal des Landtags in Mainz an.
Wir freuen uns, aufgrund der hohen Nachfrage außerdem einen Livestream anbieten zu können, den Sie am 6. November ab 14 Uhr unter diesem Link verfolgen können. Ein Dank geht an meinen baden-württembergischen Amtskollegen, der die PeerTube-Instanz seiner Behörde für unseren Livestream zur Verfügung stellt.
Wir freuen uns auf Ihre Teilnahme, ob in Präsenz oder online!
II. Tagungsbericht: Symposium „Zehn Jahre Datenschutz im Wandel“
© LfDI | Foto: Stephan Dinges
Zehn Jahre wirke ich nun als Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, damit als Aufsicht und Ansprechpartner für die öffentlichen und privaten Stellen in Rheinland-Pfalz und insbesondere als Wächter für die Rechte der Bürgerinnen und Bürger. Dabei war und ist es immer mein Anliegen, eine rechtskonforme und gleichzeitig praxisnahe Umsetzung des Datenschutzrechts voranzubringen. Als Wissenschaftler weiß ich, dass dazu auch der Blick der Wissenschaft auf das Recht und die praktische – auch technische – Umsetzung wichtig ist, um nachhaltige Lösungen zu entwickeln.
Diesem Diskurs wollte ich anlässlich meines Dienstjubiläums eine breite Bühne geben und habe dazu am 10. Oktober 2025 Kolleginnen und Kollegen sowie Wegbegleiter aus der Aufsicht und der Wissenschaft zu einem Symposium eingeladen, um in drei spannenden und hochkarätig besetzten Panels den Datenschutz im Wandel gemeinsam zu beleuchten. Das Auditorium setzte sich aus Kolleginnen und Kollegen der Datenschutzaufsichtsbehörden Deutschlands und Europas und verschiedenen Vertreterinnen und Vertretern von Ministerien, Gerichten, Unternehmen und Universitäten in Rheinland-Pfalz und darüber hinaus zusammen. Eine besondere Freude war es dabei, auch Gesichter aus meinem „früheren Leben“ als Professor an der Deutschen Hochschule der Polizei wiederzusehen. Nicht zuletzt hatte ich auch bei dieser Veranstaltung den Rückhalt meines Teams, denn viele Mitarbeitende und auch Ehemalige des LfDI Rheinland-Pfalz waren im Forum des Landesmuseums dabei, um den Meilenstein gemeinsam zu feiern.
In drei Panels gingen Expertinnen und Experten aus der Wissenschaft und der Praxis den bemerkenswerten Entwicklungen nach, die der Datenschutz in den vergangenen zehn Jahren durchlief.
Das erste Panel behandelte das Thema Sicherheit im digitalen Wandel. Bei der Betrachtung von Fragen zum Grundrechtsschutz zwischen Freiheit und Sicherheit ist mir die Einbeziehung von Praxisperspektiven stets wichtig. Die Sicherheitsbehörden müssen mit effektiven Befugnissen ausgestattet sein, um neuen Kriminalitätsphänomen entgegentreten zu können. Die Freiheitsrechte der Bürgerinnen und Bürger müssen dabei jedoch gleichermaßen gewahrt bleiben. Dieses Spannungsfeld diskutierte meine Kollegin Prof. Dr. Bettina Schöndorf-Haubold, Professorin für Öffentliches Recht an der Justus-Liebig-Universität Gießen, mit dem Präsidenten des Landeskriminalamts Rheinland-Pfalz, Mario Germano, sowie Prof. Dr. Matthias Bäcker, Stiftungsprofessor für Öffentliches Recht und Informationsrecht, insbesondere Datenschutzrecht an der Johannes Gutenberg-Universität Mainz. Dabei wurden zunächst die informations- und datenschutzrechtlichen Perspektiven des Sicherheitsrechts unter Berücksichtigung des technischen Wandels der letzten zehn Jahre beleuchtet, um nachfolgend die rechtlichen und praktischen Perspektiven einer zukunftsgewandten und gleichsam rechtssicheren Arbeit der Sicherheitsbehörden zu diskutieren.
Als ich im Jahr 2015 meine Amtszeit begann, wurde die Datenschutz-Grundverordnung gerade politisch verhandelt. Im Rahmen von internen und externen Workshops, Informationsoffensiven und bilateralen Gesprächen bereiteten meine Behörde und ich damals die Verantwortlichen und die Bürgerinnen und Bürger auf den erwarteten „Umbruch“ des Datenschutzrechts vor. Das zweite Panel zum Thema Auswirkungen der DS-GVO griff dieses Momentum auf. Darin erörterten Dr. h.c. Marit Hansen, Landesbeauftragte für Datenschutz und für Informationszugang Schleswig-Holstein, Thomas Zerdick, Head of Unit Supervision and Enforcement beim Europäischen Datenschutzbeauftragten, und Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit, die europäische Perspektive des Datenschutzrechts. Welche Erwartungen an Datenschutz-Grundverordnung bestanden damals? Haben sich die Erwartungen erfüllt? Welcher Verbesserungsbedarf besteht?
Gemeinsam mit meinen Bundes- und Länderkolleginnen und -kollegen beschäftige ich mich als Vorsitz des Arbeitskreises DSK 2.0 sowie des Arbeitskreises Künstliche Intelligenz der Datenschutzkonferenz bereits seit mehreren Jahren mit Fragen zur effektiven Zusammenarbeit und zur strategischen Aufstellung der Datenschutzaufsichtsbehörden. Ziel ist es, trotz der Vielfalt an Strukturen und – zum Teil – Auffassungen eine effektive Durchsetzung des Datenschutzrechts durch die Aufsichtsbehörden zu gewährleisten. Im dritten und abschließenden Panel diskutierte Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, mit Prof. Dr. Indra Spiecker genannt Döhmann, Professorin für das Recht der Digitalisierung an der Universität zu Köln, und Prof. Dr. David Roth-Isigkeit, Professor für Öffentliches Recht, insbesondere Recht der Digitalisierung an der Deutschen Universität für Verwaltungswissenschaften Speyer, über Die Durchsetzung des Datenschutzrechts und seine künftige Entwicklung. Die Aufsichtspraxis der deutschen Datenschutzaufsichtsbehörden wurde dabei ebenso in den Blick genommen wie die Frage, in welcher Weise sich die Wirksamkeit des Datenschutzrechts wissenschaftlich messen lässt. Als künftige Herausforderung hat sich dabei insbesondere das Zusammenspiel des Datenschutzrechts und der funktionierenden Aufsicht mit den neuen EU-Digitalrechtsakten und hinzutretenden Aufsichtsstrukturen herauskristallisiert.
Auch nach zehn Jahren als Landesbeauftragter für den Datenschutz und die Informationsfreiheit bereitet es mir nach wie vor große Freude, dieses Amt auszufüllen. Das Symposium hat gezeigt, warum. Die Schwerpunkte wandeln sich im Zeitablauf, aber die Grundfragen bleiben konstant: Es geht um die Wahrung des Grundrechtsschutzes, es geht um Vertrauen und es geht um die Gestaltung sich wandelnder rechtlicher und gesellschaftlicher Bedingungen.
Die zentralen Thesen und Ergebnisse des Symposiums wurden von der Illustratorin Franziska Ruflair in Form eines Graphic Recordings festgehalten. Zudem wurden die zentralen Diskussionen und Thesen der Panellisten in dem ausführlichen Tagungsbericht von Antonia Buchmann, Leiterin des Bereichs Sicherheit, Justiz & Europa, zusammengefasst.
III. Medien: LinkedIn will Nutzerdaten für KI-Training verwenden
Nach dem Meta-Konzern will nun auch LinkedIn mit den Daten seiner Nutzerinnen und Nutzer eigene KI-Systeme trainieren. Falls Sie LinkedIn nutzen, sollten Sie diesem Vorgehen aktiv widersprechen – und zwar bis zum 3. November. Ein später eingelegter Widerspruch gilt nur noch für die Zukunft. Ein dann schon erfolgtes Training mit den eigenen Daten lässt sich nicht mehr rückgängig machen.
Wer der Nutzung zum KI-Training durch LinkedIn nicht widerspricht, gibt seine in dem beruflichen Online-Netzwerk hinterlegten Profildaten wie Abschlüsse und Noten sowie Arbeitsverhältnisse oder sogar hinterlegte Lebensläufe, Fotos, Interessen oder Posts für das KI-Training frei.
Widersprechen können Sie mit wenigen Klicks. Allerdings macht LinkedIn – wie andere Apps und soziale Netzwerke auch – es seinen Nutzerinnen und Nutzern nicht leicht, die entsprechenden Stellen in den Einstellungen zu finden. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat deshalb eine genaue Anleitung erstellt, wie der Widerspruch durchzuführen ist. Machen Sie gerne davon Gebrauch!
IV. KI: Orientierungshilfe zu KI-Systemen mit Retrieval Augmented Generation (RAG)
Die Konferenz der unabhängigen Datenschutzbehörden von Bund und Ländern (DSK) hat kürzlich eine Orientierungshilfe für Unternehmen und Behörden veröffentlicht, die KI-Systeme mit sogenannter Retrieval Augmented Generation (RAG) bereits einsetzen oder einsetzen möchten. Auf 18 Seiten bietet die Orientierungshilfe rechtliche und technische Hinweise, wie die Potenziale solcher KI-Systeme genutzt und zugleich die Risiken für die Betroffenen verringert werden können.
RAG ist eine KI-Technologie, bei der große Sprachmodelle durch gezielten Zugriff auf unternehmens- oder behördeneigene Wissensquellen ergänzt werden, um kontextspezifische Antworten zu liefern. Typische Anwendungsbeispiele sind unternehmensinterne Chatbots, die auf aktuelle Geschäftsdaten zugreifen und wissenschaftliche Assistenzsysteme, die Forschungsdatenbanken nutzen. RAG-Systeme sollen die Genauigkeit, Nachvollziehbarkeit und Verlässlichkeit der KI-Ausgaben erhöhen, während die für große Sprachmodelle typischen Halluzinationen und unrichtigen Ausgaben vermindert werden sollen.
RAG-Systeme können eigenständig entwickelt, betrieben und kontrolliert werden und damit Datenschutz-by-Design abbilden. Zudem können sie den Einsatz kleinerer und auch lokal betriebener Modelle ermöglichen, was beispielsweise einen Betrieb des Systems ohne Übermittlung personenbezogener Daten an Dritte wie etwa Hyperscaler ermöglicht. Damit kann die RAG-Methode einen wichtigen Beitrag zur digitalen Souveränität leisten.
RAG-Systeme bringen gleichwohl auch datenschutzrechtliche Risiken mit sich, die Verantwortliche im Blick haben müssen. Sie beseitigen beispielsweise nicht die datenschutzrechtlichen Probleme eines rechtswidrig trainierten Large Language Modells (LLMs). Je nach Ausgestaltung können sie aber Teil einer Antwort auf solche unrechtmäßig trainierten Systeme sein. Auch bleibt es herausfordernd, Transparenz, Zweckbindung und die Umsetzung von Betroffenenrechten im gesamten System sicherzustellen. Verantwortliche Stellen, die solche RAG-Systeme einsetzen wollen, müssen die datenschutzrechtlichen Bewertungen der einzelnen Verarbeitungen im Einzelfall vornehmen und ihre technisch-organisatorischen Maßnahmen immer auf dem aktuellen Stand halten.
V. Digital Services Act: Forschende erhalten Zugang zu nicht-öffentlichen Plattformdaten
© geralt / pixabay.de
Seit dem 29. Oktober 2025 können Forschende bei sehr großen Online-Plattformen und Suchmaschinen Datenzugang zur Erforschung systemischer Risiken beantragen. Dass die datenschutzrechtlichen Anforderungen eingehalten werden, ist dabei eine wichtige Voraussetzung für die Zulassung des Forschungsersuchens.
Zugang zu öffentlichen Plattformdaten besteht bereits seit Geltungsbeginn des Digital Services Act (DSA) im Februar 2024. Mit Verabschiedung des Delegierten Rechtsakts durch die EU-Kommission im Juli 2025 haben Forschende nun auch die Möglichkeit, Zugriff auf interne, nicht-öffentliche Daten bei sehr großen Online-Plattformen zu beantragen und deren Wirkung auf die Gesellschaft und die damit verbundenen Risiken zu erforschen.
Entsprechende Anträge können über das Data Access Portal der EU direkt beim Digital Service Coordinator (DSC) am Ort des Unternehmenssitzes, aber auch beim nationalen DSC der Forschungsorganisation eingereicht werden. In Deutschland ist der DSC in der Bundesnetzagentur (BNetzA) angesiedelt. Die finale Bewertung und Zulassung erfolgt durch den oder die Koordinator:in am Ort der Niederlassung der Online-Plattform. Da eine Vielzahl der Online-Plattformen in Irland ansässig sind (zum Beispiel Meta mit Facebook und Instagram, TikTok, X, Google, unter anderem mit YouTube und Search), wird in diesen Fällen der irische DSC über die Anträge entscheiden.
Da die Datensätze direkte oder indirekte Rückschlüsse auf einzelne Nutzende zulassen können, durch deren Interaktionen, Profile oder andere veröffentlichte Inhalte, müssen Forschende die Vorgaben der Datenschutzgrundverordnung (DS-GVO) bei der Durchführung ihres Vorhabens einhalten. Sofern eine Forschungseinrichtung ihren Antrag beim deutschen DSC einreicht, prüft im Rahmen des Zulassungsprozesses auch die Datenschutzaufsichtsbehörde am Sitz der Forschungseinrichtung. Eine Checkliste erläutert, wie Forschende nachweisen können, dass sie die Anforderungen einhalten.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ist die Schnittstelle der deutschen Datenschutz-Aufsichtsbehörden zur BNetzA, der die Anfragen bündelt und dadurch der BNetzA als zentraler Ansprechpartner im föderalen System dient.
Weitere Informationen zur Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken finden sich auf unserer Webseite.
VI. Unsere Angebote
Unser Podcast Datenfunk versorgt Sie regelmäßig mit aktuellen datenschutzrechtlichen Hintergründen im Audio-Format. Hören Sie rein!
Kennen Sie schon Mastodon, die datenschutzfreundliche Alternative zum Kurznachrichtendienst X? Auf https://social.bund.de/@lfdi_rlp gehen wir in den Dialog mit den Nutzerinnen und Nutzern und informieren tagesaktuell über unsere Aktivitäten und Veröffentlichungen. Folgen Sie uns – ganz ohne datenschutzrechtliche Bedenken und Fallstricke.