„Einen modernen Datenschutz ausgestalten“
Maria Christina Rost ist im April 2024 vom Landtag in Magdeburg zur neuen Landesbeauftragten für den Datenschutz des Landes Sachsen-Anhalt gewählt worden. Über ihre ersten Erfahrungen, den Dialog mit Datenschutzbeauftragten und Unternehmen und über Microsoft 365 sprachen die BvD-News mit der Juristin.
BvD-News: Frau Rost, Sie haben im August 2024 Ihre Stelle angetreten, nachdem es in Sachsen-Anhalt lange keinen Landesdatenschutzbeauftragten gab. Welche Datenschutz-Themen standen und stehen für Sie ganz oben auf der Prioritätenliste?
Maria Christina Rost: Mein Amtsantritt im August 2024 war ein Wunder. Die Wahl durchs Parlament am 24. April 2024 war ein Moment, den ich nie vergessen werde. Nachdem Landtagspräsident Dr. Gunnar Schellenberger das Ergebnis der Wahl bekannt gab, brach ein selten erlebter Jubel bei allen Anwesenden aus. Die Erleichterung, nach der langen Vakanz der Stelle, wird unvergessen bleiben. Ich habe dann im August mein Amt angetreten und mich gefragt, welche Themen könnten für die KMU in Sachsen-Anhalt von Interesse sein. Dazu gehören neben den Standardfragen rund um den Datenschutz natürlich auch Fragen zum Einsatz von KI im Unternehmen. Aber auch das Thema Cybersicherheit und Datenschutz waren und sind im Fokus. Sachsen-Anhalt hat sich ja den Slogan #moderndenken gegeben. Ich habe mich gefragt, wie im digitalen Zeitalter mit Datenschutz und Datennutzung ein moderner Datenschutz auszugestalten ist.
Mir war es aber auch wichtig, ein Angebot für den Bereich Schule zu finden. Ich habe selber einmal im Ministerium für Schule und Weiterbildung in NRW gearbeitet. Aus den Erfahrungen resultierend habe ich mich gefragt, wie wir Datenschutz in die Schule bringen und so einen natürlichen Umgang mit dem Thema erreichen können. Ich freue mich sehr, das Thema mit der BvD-Initiative „Datenschutz geht zur Schule“ aufgreifen zu können. Wir werden mit Besuchen in Schulen starten und waren mit den Datenschutzaufsichtsbehörden von Thüringen, Hessen, Berlin, Rheinland-Pfalz und Baden-Württemberg auf der didacta 2025 in Stuttgart vertreten. Darüber hinaus haben wir einen guten Kontakt zur Landeszentrale für Politische Bildung in Sachsen-Anhalt aufgebaut. Wenn ich die Schüler erreiche, erreiche ich auch die Eltern und die Lehrer.
Ein weiteres Thema ist Datenschutz im Verein. Der Datenschutz macht das Leben im Verein nicht leichter. Die Vereine leiden unter den vielen Vorschriften. Ehrenamtlich Engagierte haben mir signalisiert, dass hier nach wie vor Fragen offen sind. Wir wollen mittels neuer Formate wie beispielsweise Videokonferenzen die offenen Fragen aufbereiten und die Antworten mittels Podcasts einer breiteren Masse zur Verfügung stellen. Ein weiteres Thema ist für die Allgemeinheit das Thema Videoüberwachung. Nach wie vor gibt es hierzu überdurchschnittlich viele Beschwerden.
BvD-News: Über viele Jahre lag der Austausch zwischen Ihrer Behörde mit Unternehmen und der Verwaltung beim Thema Datenschutz mehr oder weniger brach. Welche Rolle hat für Sie das Gespräch mit den Unternehmen und Behörden?
Maria Christina Rost: Die Gespräche mit den Unternehmen, den Behörden und der Politik sind mir sehr wichtig. Deswegen haben sie von Anfang an einen hohen Stellenwert in meiner Wochenplanung eingenommen. Zum einen geht es um ein Kennenlernen und zum anderen darum ein gegenseitiges Verständnis für unterschiedliche Interessenlagen zu schaffen. Außerdem habe ich bei den Gesprächen wahrgenommen, dass es für meine Gesprächspartner und Gesprächspartnerinnen ganz wichtig war, die „Neue“ kennen zu lernen und herauszufinden „wie sie so tickt“. Mir ging es da aber nicht anders.
BvD-News: Planen Sie einen thematischen Schwerpunkt?
Maria Christina Rost: Thematische Schwerpunkte sind hilfreich für die Arbeit einer Datenschutzaufsicht. Denn ich muss mich mit meiner Behörde aufgrund begrenzter Kapazitäten fokussieren. Man wird naturgemäß nicht alle Themen intensiv bearbeiten können.
Mir ist es unter anderem wichtig, den Themenkomplex Bildung in der Schule mit Datenschutz zusammen zu bringen. Datenschutz sollte in einem Zeitalter der Digitalisierung schon in der Schule ein Thema sein. Das Wissen um ein Grundrecht auf Datenschutz und die informationelle Selbstbestimmung sollte zur schulischen Bildung gehören, damit die Schülerinnen und Schüler selbstbestimmt digitale Angebote wahrnehmen, sich sicher in Social Media bewegen können und sich über ihr Rechte im Klaren sind. Datenschutz schützt auch Demokratie. So selbstverständlich der Umgang mit digitalen Angeboten ist, sollte auch der Umgang mit Datenschutzfragen sein. Einen weiteren Schwerpunkt möchte ich gerne auf das Thema Informationen für Unternehmen über Pflichten legen. Dazu kommt der Bereich Sensibilisierung für aktuelle Datenschutzfragen für Bürgerinnen und Bürger. Diese Themen eignen sich bestens, dass wir diese in Kooperation mit Verbänden aufarbeiten und gemeinsam informieren. Darüber hinaus bin ich von dem #moderndenken begeistert und widme mich der Frage „Was ist ein moderner Datenschutz?“.
BvD-News: Wie sehen Sie die Präsenz von Behörden und Verwaltungen auf Instagram, Facebook und Co.?
Maria Christina Rost: Diese Frage habe ich erwartet. Sie zieht nach wie vor großes Interesse aller Beteiligten auf sich. Es war eine der ersten, die mich zum Amtsantritt erreichten. Wir haben aktuell eine recht unklare Lage.
Zum einen gibt es die beiden Klageverfahren zum Einsatz von Facebook beim Bundespresseamt und der sächsischen Staatskanzlei. Hier warten wir auf eine Entscheidung. Die beiden zuständigen Datenschutzaufsichtsbehörden, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Sächsische Datenschutz- und Transparenzbeauftragte haben in ihrem jeweiligen Zuständigkeitsbereich Maßnahmen erlassen.
Über die Rechtsmäßigkeit haben nun die Gerichte zu entscheiden. Auf der anderen Seite ist eine Leitlinie zur Nutzung von Social Media im öffentlichen Bereich beim Europäischen Datenschutzausschuss in Arbeit. Dazu kommt, dass ein hohes staatliches Informationsbedürfnis gegeben ist. Daher wird aktuell der Einsatz von Social Media durch Behörden geduldet, und wir empfehlen einen Mastodon-Account einzurichten, der die Inhalte auf einem datenschutzkonformen Weg anbietet. Ich habe mit meiner Behörde seit kurzem den Mastodon-Account @lfd_lsa@social.sachsen-anhalt.de.
BvD-News: Welche Position beziehen Sie bei den Dauerthemen Microsoft 365 und Microsoft Copilot? Im Oktober läuft außerdem der Support von Microsoft 10 aus, Experten warnen vor gravierenden Sicherheitslücken für Millionen von Nutzern Was raten Sie Unternehmen und Behörden, die die Software nutzen?
Maria Christina Rost: In Bezug auf Microsoft 365 werden wir in Sachsen-Anhalt, wie auch in Niedersachsen oder Hessen geschehen, die Gespräche der Verwaltung mit Microsoft begleiten. Hier gilt es noch Datenschutzfragen zu klären. Ebenso wie im Kontext mit dem Einsatz von generativer KI. Hier interessieren insbesondere Fragen rund um die Geltendmachung von Betroffenenrechten, von der Auskunftserteilung und von Berichtigung und Löschung von personenbezogenen Daten. Richtig ist, dass der Support von Microsoft 10 im Oktober ausläuft. Ein ganz wichtiger Punkt in dem Zusammenhang ist das hohe Risiko für die Cybersicherheit im Unternehmen und den Behörden, die aus den gravieren Sicherheitslücken resultiert.
BvD-News: Für Diskussionen sorgte im Januar die gestartete Probephase der ePatientenakte. Welchen Nachbesserungsbedarf sehen Sie dabei beim Datenschutz?
Maria Christina Rost: Die elektronischen Patientenakte (ePA) hat sicher keinen einfachen Start gehabt. Am 15. Januar waren einige Unsicherheiten bei allen Beteiligten zu vermerken. Die Zuständigkeit liegt bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Ich bin daher für die verantwortliche Stelle nicht zuständig. Ich gehe mal davon aus, dass bis zum bundesdeutschen Rollout der ePA die vom Chaos Computer Club (CCC) und dem Fraunhofer Institut aufgezeigten Schwachstellen geschlossen werden. Es macht jedoch Sinn, zum Zeitpunkt des bundesweiten Roll-Out nachzufragen, wie der Stand der Umsetzungsarbeiten ist.
BvD-News: Wie sehen Sie die Rolle der Datenschutzbeauftragten in Zukunft – vor allem vor dem Hintergrund der Digitalstrategie der Bundesregierung und auf EU-Ebene?
Maria Christina Rost: Jetzt hätte ich gerne eine Glaskugel, die mir den Blick in die Zukunft gestattet. Die Digitalstrategie des Bundes verfolgt verschiedenen Ziele. Besonders wichtige Ergebnisse, die bis 2025 erreicht werden sollen und im direkten Kontext mit dem Datenschutz stehen. Das sind Themen wie „Verwaltungsleistungen sind mit Hilfe staatlicher, digitaler Identitäten digitalisiert.“ oder „Es gibt ein chancengleiches, barrierefreies Bildungs-Ökosystem als Angebot für alle Lebensphasen.“. Dazu gehört aber sicher auch „Die elektronische Patientenakte wird von mindestens 80 Prozent der gesetzlichen Krankenversicherten genutzt und das E-Rezept als Standard etabliert.“ und ganz besonders wichtig das Ziel „Für die Nutzung von Daten wurde ein moderner Rechtsrahmen geschaffen und Datenräume werden besser vernetzt.“. In diesem Zusammenhang wird die Datenschutzaufsichtsbehörde sich mit der Frage auseinandersetzen müssen, ob sie neben der Datenschutzaufsicht auch die Aufgabe der Datennutzungsaufsicht übernehmen sollten.
Dazu kommen die ganzen Digitalrechtsakte, die die Datenschutz-Grundverordnung unberührt neben sich stehen lassen. Hier wird das Verhältnis der Datenschutzaufsicht zu den nach den Rechtsakten zuständigen Behörden und deren Zusammenarbeit zu klären sein.
In jedem Fall wird es auch in Zukunft Datenschutzbeauftragte geben. Der Datenschutz bietet sichere und Vertrauen schaffende Leitplanken im Zeitalter der Digitalisierung. Auf die können wir nicht verzichten. Ebenso wenig wie auf uns Landesbeauftragte für den Datenschutz im nicht-öffentlichen Bereich. Wir haben die Nähe zu den Unternehmen in unseren Ländern und können bedarfsgerechter informieren und für Fragen zur Verfügung stehen. Die Einrichtung einer Geschäftsstelle könnte Fragen der Koordination der Behörden untereinander wie auch mit Aufsichtsbehörden aus anderen Zuständigkeitsbereichen optimieren.
BvD-News: Als einer ihrer ersten Amtshandlungen hatten Sie gemeinsam mit dem BvD den Mitteldeutschen Datenschutztag imitiert. Welche Ziele verfolgen Sie damit?
Maria Christina Rost: Der Mitteldeutsche Datenschutztag ist ein Projekt der beiden Datenschutzaufsichtsbehörden aus Thüringen und Sachsen, dem BvD und meiner Behörde. Die Idee ist, das Erfolgsformat, das es bereits zwischen Bayern, Baden-Württemberg und Hessen sowie Rheinland-Pfalz gibt, auch im mitteldeutschen Raum zu etablieren. Dieser Termin dient zum einen dem Austausch zu hochaktuellen Themen. Hier stehen als fachkundige Referentinnen und Referenten Mitarbeiterinnen und Mitarbeiter aus allen drei Aufsichtsbehörden zu Verfügung. Oft sitzen die Datenschutzbeauftragten alleine und suchen einen fachkundigen Austauschpartner. Die behördlichen und auch betrieblichen
Datenschutzbeauftragten haben hier die Gelegenheit zum Austausch und vor allem zur Vernetzung. Außerdem besteht bei diesem Format die einmalige Chance, mit den Aufsichtsbehörden ins Gespräch zu kommen. Sei es in den einzelnen Foren oder aber am Stand der Aufsicht und in den Kaffeepausen. Das ist von Vorteil für die Arbeit des oder der Datenschutzbeauftragten. Vor allem bietet das Format die Gelegenheit, Fragen vor Ort an die Datenschutzaufsicht zu richten. In diesem Jahr war die Veranstaltung mehr auf den öffentlichen Bereich ausgerichtet. Für den 2. Mitteldeutschen Datenschutztag 2026 wollen wir uns auch für den nicht-öffentlichen Bereich öffnen.
