„Keine Angst vor der Aufsicht.“
Denis Lehmkemper ist seit 15. September 2023 Landesbeauftragter für den Datenschutz Niedersachsen. Im Juli dieses Jahres nahm ein eigens von ihm einberufener Expertenkreis zum Thema KI seine Arbeit auf. Über die Ziele des Beratungsgremiums, seine Position zu Microsoft Teams und das nach wie vor ausstehende Beschäftigtendatenschutzgesetz sprachen die BvD-News mit dem Juristen.
BvD-News: Herr Lehmkemper, welche Themen haben Sie als große Herausforderung des Datenschutzes bislang erlebt?
Denis Lehmkemper: Klar ist: Die DSGVO ist etabliert, sowohl bei Unternehmen als auch bei Behörden und den Bürgerinnen und Bürgern. Aber wir treten mit KI aus meiner Sicht aktuell in eine neue Phase der Digitalisierung ein, die bei der Verabschiedung der DSGVO noch nicht mitgedacht werden konnte. Die Entwicklung bei KI ist da sicherlich die Spitze, aber es geht auch um die fortschreitende Digitalisierung in Wirtschaft und Verwaltung allgemein.
Das Zweite, was ich sehe, ist, dass der Datenschutz viel zu häufig als Ausrede herhalten muss, wenn es mal nicht läuft. Das ging mir relativ schnell auf den Geist, gebe ich zu. Auch, weil es häufig nicht stimmt. Es ist halt bequem zu sagen: „Und da ist auch noch der Datenschutz.“ Deshalb haben wir uns vorgenommen, den Kritikern zu sagen: „Kommt auf uns zu und wir reden darüber, wo das Datenschutzproblem liegt.“
BvD-News: Wie war die Resonanz darauf?
Denis Lehmkemper: Tatsächlich haben sich einige Verbände gemeldet. Da versuchen wir, Hinweise zu geben und die Probleme dadurch ein bisschen kleiner werden zu lassen. Erstaunlicherweise bekommt man auch die pauschalen Vorwürfe gegen den Datenschutz damit ganz gut vom Tisch.
BvD-News: Zum Thema KI haben Sie einen KI-Expertenkreis ins Leben gerufen. An wen wendet er sich?
Denis Lehmkemper: Gleich zu Beginn meiner Amtszeit hatten wir KI als großes Thema für die Behörde identifiziert. Auch auf der Ebene der Datenschutzkonferenz (DSK) gab es dazu intensive Diskussionen. Deshalb wollten wir anders an das Thema herangehen. Auf einer Autofahrt nach Berlin entstand die Idee, uns Akteure aus dem KI-Umfeld an den Tisch zu holen. Gleichzeitig können wir mit dem Expertenrat im Rücken den Landtag, unseren Auftraggeber, beraten und Hinweise für etwaige gesetzliche Regelungen an die Hand geben, wie die öffentliche Verwaltung in Niedersachsen KI nutzen kann.
BvD-News: KI ist ja auch für Datenschutzbeauftragte ein großes Thema. Was glauben Sie kommt da auf unseren Berufsstand noch zu?
Denis Lehmkemper: Die größte Herausforderung liegt meines Erachtens darin, die permanenten technische Neuerungen verfolgen und bewerten zu müssen, um eine Organisation gut beraten zu können. Diesem Digitalisierungs- und Innovationsdruck steht ein aus meiner Sicht wichtiger werdender Datenschutz gegenüber. Das halte ich für eine wahnsinnig schwierige Aufgabe.
BvD-News: Wie unterstützen Sie Datenschutzbeauftragte dabei?
Denis Lehmkemper: Wir haben einen regelmäßigen Austausch sowohl mit behördlichen also auch mit betrieblichen Datenschutzbeauftragten. Am Anfang habe ich bewusst viele Termine wahrgenommen, um zuhören, welche Themen DSB umtreiben. Und ich will auch vermitteln, dass sie keine Angst vor der Aufsicht zu haben brauchen. Am Ende ist es mir wesentlich lieber, Datenschutzverstöße zu verhindern als zu sanktionieren.
BvD-News: Ein Augenmerk hatten Sie bereits auf den Bereich der Apotheken gelegt und dort Prüfungen gemacht. Gibt es weitere Branche, die Sie datenschutzrechtlichh unter die Lupe nehmen wollen?
Denis Lehmkemper: Wir schauen uns aktuell zwei, drei Branchen genauer an. Aber bis wir ein Ergebnis haben, möchte ich mich nicht dazu äußern. Häufungen bei Beschwerden sehen wir allerdings im Immobilienbereich. Aufgrund der Wohnungsknappheit ist das gesellschaftlich ein relevantes Thema. Es könnte ja durchaus sein, dass mancher Bürger auf seine Datenschutzrechte verzichtet, um bessere Chancen auf eine Wohnung zu haben. Das darf aus unserer Sicht natürlich nicht sein.
BvD-News: Ich möchte gerne auf das Thema Microsoft Teams zu sprechen kommen. Anders als andere Behörden sehen sie keine datenschutzrechtlichen Verstöße bei der Nutzung von Teams. Welche Änderungen bei Microsoft haben diese Einschätzung ermöglicht?
Denis Lehmkemper: Sie sprechen die Verhandlungen des niedersächsischen Innenministeriums mit Microsoft zur Einführung von Teams in der Verwaltung an. Vorausschicken möchte ich, dass wir uns an den Vertragsverhandlungen nicht direkt beteiligt haben. Aber wir haben den CIO der niedersächsischen Landesregierung bei dessen Verhandlungen intensiv beraten. Parallel hatte er Unterstützung von einer Anwaltskanzlei. Wir haben an den Beschlüssen entlang beraten, die die DSK zu Microsoft verabschiedet hat. Danach müssen die Online Service Terms und das Data Protection Addendum im Einklang mit den Anforderungen zur Auftragsverarbeitung stehen und zusätzlich angemessene technisch-organisatorische Maßnahmen umgesetzt werden. Wir haben unseren „Gold Standard“ dem Innenministerium an die Hand gegeben Am Ende kam es zu einem Ergebnis, das wir für den Einsatz in der Verwaltung als „akzeptabel“ bezeichnen können.
BvD-News: Was beinhaltet die Vereinbarung konkret?
Denis Lehmkemper: Konkret wurden Einschränkungen bei den verarbeiteten Datenkategorien und mehr Transparenz bei den eingesetzten Subunternehmern vereinbart. Außerdem hat sich Microsoft verpflichtet, nur nicht personenbezogene, also anonymisierte Daten zu eigenen Zwecken zu verwenden. Und wir haben deutliche Einschränkungen beim Drittlandtransfer, etwa, dass der Support aus einem Land mit gleichem Datenschutzniveau kommen und sich Microsoft künftig bei Offenlegungsgesuchen von Regierungsbehörden an EU-Recht halten muss. Auf dieser Grundlage werden vom CIO nun technisch-organisatorische sowie Dokumentations- und Informationspflichten umgesetzt. Ich bin zuversichtlich, dass es klappt. Wichtig ist dabei, dass nicht alle Anforderungen zentral vom CIO erfüllt werden können. Eine Reihe von Aufgaben liegt auch bei den einsetzenden Behörden selber, zum Beispiel beim Verzeichnis von Verarbeitungstätigkeiten oder der Datenschutzfolgen-Abschätzung.
BvD-News: Ein anderes Feld, bei dem Sie dringenden Handlungsbedarf sehen, ist das Beschäftigtendatenschutzgesetz. Wo hängt es Ihrer Einschätzung nach immer noch?
Denis Lehmkemper: Der Ball liegt leider immer noch bei der Bundesregierung. Aber mittlerweile bin ich nicht sonderlich zuversichtlich, dass sich das vor der Bundestagswahl noch etwas bewegen wird. Wir haben zwar im Arbeitsrecht viele Gerichtsentscheidungen, die die Auslegung der Gesetze prägen. Aber gerade vor dem Hintergrund der KI-Entwicklung möchte ich die Politik nicht aus der Verantwortung lassen. Es bedarf einer gesellschaftlichen Debatte, ob es in bestimmten Branchen eine minutengenaue Überwachung geben darf. Leistungsüberwachung und Leistungsauswertung, das macht mir Bauchschmerzen.
Denis Lehmkemper
Denis Lehmkemper ist Jurist und seit 2001 auf verschiedenen Positionen im Land Niedersachsen tätig. Vor seinem Wechsel an die Spitze der niedersächsischen Datenschutzaufsicht im September 2023 leitete er im Niedersächsischen Agrar-Ministerium die Abteilung Raumordnung, Landentwicklung, Förderung. Davor hatte er die Leitung des Personalreferats des Ressorts inne.
Lehmkemper ist in Hamm/Westfalen geboren, absolvierte sein Jurastudium in Marburg und sein Referendariat im Bereich des Landgerichts Darmstadt. Denis Lehmkemper ist verheiratet und Vater von drei Kindern.
