„Diese Balance müssen wir besser hinbekommen“
Der EU-Parlamentarier und KI-Experte Axel Voss hatte jüngst mit seinen Ideen für eine Reform der DSGVO und der europäischen Digital-Gesetze für Aufsehen gesorgt – und auch, dass er dafür mit dem österreichischen Datenschutzaktivisten Max Schrems zusammenarbeitete. Über seine Ideen, die DSGVO zu entschlacken und dabei Unternehmen zu entlasten tauschten sich BvD-Vorstandsvorsitzender Thomas Spaeing und der stellvertretende Vorsitzende Dr. Christoph Bausewein mit Axel Voss bei einem digitalen Frühstücksgespräch aus.
Thomas Spaeing: Herr Voss, zunächst wollen wir uns für Ihre Initiative bedanken, dass heiße Thema Datenschutzgrundverordnung anzufassen. Die vergangenen Evaluationsversuche der EU-Kommission führten zu keinen Ergebnissen und dann hieß es: Die Büchse der Pandora machen wir nicht mehr auf. Aber wenn man sieht, dass etwas nicht in Ordnung ist, muss man da rangehen. Dank ihrer Initiative ist die Diskussion in Gang gekommen. Wogegen wir uns aber wehren ist, dass Datenschutzbeauftragte Bürokratie verursachten. Das Gegenteil ist der Fall: Wir sind diejenigen, die Unternehmen durch die Bürokratie lotsen. Ebenfalls schwierig finden wir eine Differenzierung bei der Bestellung von Datenschutzbeauftragten nach der Unternehmensgröße. Mit KI-Tools kann auch ein Unternehmen mit drei Personen gefährliche Sachen machen.
Axel Voss: Grundsätzlich benötigen wir wegen der Entwicklungen im Digitalbereich und der technologischen Anpassungen eine höhere Flexibilität bei den Digitalgesetzen. Man kann in diesem Bereich kein Gesetz machen, das 20 Jahre gilt. Ich würde sogar so weit gehen und sagen, dass bestimmte Grundsätze des Datenschutzes zumindest für Künstliche Intelligenz nicht zutreffen, beispielsweise, wenn wir über Datenminimierung sprechen oder über das Löschen von Daten oder eine Einwilligung zur Datenverarbeitung immer nur zu einem bestimmten Zweck. Für mich stellt sich im Kern die Frage: Kann Europa digital eigentlich noch überleben? In puncto technologischen Entwicklungen hängen wir weit zurück, junge Leute mit großartigen Ideen verlassen Europa wegen des Datenschutzes. Da gerät etwas aus den Fugen. Deshalb würde für mich Datenschutz andersherum Sinn machen: Ein Verbot mit Erlaubnisvorbehalt. Wenn ich mich etwas provokant ausdrücken darf: Wir haben hier eine übersteigerte Situation, was die Auslegung des Datenschutzes betrifft. Das mag für Sie radikal klingen. Aber ich kann Sie beruhigen. Für solche Vorschläge dürfte ich keine Mehrheit bekommen.
Thomas Spaeing: Da sind wir uns einig, dass es gerade für kleine und mittlere Betriebe oder Vereine um Bürokratieabbau gehen muss. Aber welche Rolle spielt bei Ihren Überlegungen der risikobasierte Ansatz? Dazu gehört, Verarbeitungsverzeichnisse zu führen. Denn ohne die könnten die Unternehmen und Verwaltungen auf Betroffenenanfragen gar nicht reagieren.
Axel Voss: Das war auch der Grundgedanke, den ich mit Max Schrems und meinem Büroleiter Kai Zenner entwickelt hatte: Dass wir den risikobasierten Ansatz stärken wollen, also dass die großen Konzerne, die Milliarden von Daten verarbeiten, bewerten, analysieren und Profile erstellen anders behandelt werden müssen als kleine Handwerksbetriebe oder Vereine, die mit ihren Daten nichts anderes machen als Kunden- und Mitgliederverwaltung. Die tragen nicht das gleiche Risiko wie ein Konzern, der mit Daten arbeitet, wie Versicherungen zum Beispiel. Wie man das konkret ausgestaltet, wird zu diskutieren sein.
Christoph Bausewein: Sie habe eben gesagt, dass Ihre Haltung eine Extremposition darstellt. Ich denke, die sind in der Demokratie wichtig, um den Diskurs anzuregen. Aber gab es mit Parlamentskollegen einen Austausch zu Ihren Vorstellungen, eine Diskussion, die in Richtung Kompromiss zeigt?
Axel Voss: Aktuell gibt es tatsächlich eine Reihe von Überlegungen zur Reform der DSGVO. Eine betrifft die Frage von grenzüberschreitenden Fällen bei Verstößen. Das ist ein Thema des European Data Proctection Boards. Dann gibt es ein Verfahren, dass sich einzig mit dem Artikel 30 DSGVO und dem Thema Bürokratieabbau beschäftigt. Und dann sind noch drei oder vier sogenannter Omnibusverfahren zu erwarten, also Vorstöße, die auf eine Vereinfachung zwischen der DSGVO und anderen Gesetzen wie der KI-Verordnung zielen. In diesem Zuge könnten wir unsere Ideen vom Bürokratieabbau einfließen lassen. Aber wir wollen zunächst abwarten, welche Vorschläge von der EU-Kommission zur DSGVO kommen.
Christoph Bausewein: Tatsächlich gibt es ja mittlerweile einen Begriffswust durch die verschiedenen Digital-Akte. In der DSGVO haben wir den Verantwortlichen und den Auftragsverarbeiter, aber in der KI Verordnung und im Data Act finden wir einen ganzen Reigen neuer Player. Das gerät zu einer Art Kampf des Vokabulars, wenn da keine Klarheit herrscht. Welche Überlegungen gibt es bei der EU-Kommission zur Begriffsangleichung zwischen DSGVO und beispielsweise KI-Verordnung?
Axel Voss: Was in den Köpfen der Kommission vorgeht, kann ich nicht sagen. Aber ich habe den Eindruck, dass ich zur Zeit der Einzige bin, der das in Brüssel kritisiert. Ich bin überzeugt, dass wir eine Vereinheitlichung brauchen. Das Thema KI könnte man in der DSGVO mit einem Satz regeln: Personenbezogene Daten können zum Training von KI-Modellen herangezogen werden. Das würde zur Vereinfachung beitragen. Im Moment kann man KI-Modelle wegen des Datenschutzes in Europa nicht trainieren. Denn natürlich werden da personenbezogene Daten verarbeitet. Und im Grunde ist das wünschenswert, weil wir von der KI Ergebnisse erwarten, die vorurteilsfrei, gendergerecht und nicht diskriminierend sind. Da braucht man nach meinem Verständnis massiv viele personenbezogen Daten. Deshalb glaube ich, dass wir gar nicht darum herumkommen, die Datenverarbeitung für das KI-Training zu erlauben. Und deshalb muss es hier zu einer Vereinheitlichung kommen, bei der DSGVO, bei der KI-Verordnung und vielleicht noch bei anderen Rechtsakten.
Christoph Bausewein: Ein so radikaler Gedanke hätte am Ende Auswirkungen auf die bisherige Praxis der Rechtsauslegung und die Arbeit der Datenschutzaufsichtsbehörden.
Axel Voss: Tatsächlich hätte ich es am liebsten, wenn es auf europäischer Ebene nur noch eine zentrale Auslegung gäbe. Die unterschiedliche Auslegung der DSGVO in den EU-Mitgliedsstaaten war einer der größten Fehler, die wir machen konnten. Aber auch in Deutschland gibt es diese unterschiedlichen Interpretationen. Das war alles andere als nach vorne gedacht. Und dann müssen wir zu einem besseren Ausgleich zwischen dem Schutz des Einzelnen oder der Privatsphäre einerseits und wettbewerblichen Anforderungen andererseits kommen. Das würde bedeuten, dass sich die Datenschutzaufsichtsbehörden mehr als Ermöglicher verstehen und mit Unternehmen, die eine neue Idee haben, überlegen, wie man das vernünftig regelt, anstatt unter dem Selbstverständnis zu agieren, man sei eine Art „Knöllchen-Behörde“.
In Europa müssen wir Werte und Technologie zusammenbringen. In diesem Punkt hat Europa der Welt wirklich etwas zu bieten. Aber wenn wir stattdessen 150-prozentigen Datenschutz durchsetzen und Datenverarbeitung nicht als Wertschöpfung verstehen, nehmen wir uns aus der Weltenwicklung heraus.
Christoph Bausewein: Wir haben als BvD aktuell ein Positionspapier zur DSGVO-Reform veröffentlich, das eine Ausgewogenheit in die Debatte bringen kann. Gerade weil wir als Datenschutzbeauftragte die unterschiedlichen Auslegungen in der Praxis tagtäglich erleben, plädieren wir ebenfalls für eine einheitliche Auslegung. Aber der Schutz der Betroffenen darf dabei nicht untergehen.
Axel Voss: Den Willen der Bevölkerung sehe ich gar nicht als Hürde. Zwar sagen alle bei Umfragen, dass die persönlichen Daten geschützt werden sollen. Aber das Verhalten zum Beispiel im Internet oder im Umgang mit KI entspricht dieser Forderung nicht. Dieses Paradoxon sollten wir angehen.
Christoph Bausewein: Ich würde gerne auf die Möglichkeiten eingehen, die wir wirklich bei der Reform haben. Welche Aussicht besteht aus Ihrer Sicht konkret für eine grundlegende Änderung der DSGVO Wie wird der weitere Reformprozess ablaufen?#
Axel Voss: Tatsächlich gibt es einen Hinweis im sogenannten Mission Letter von EU-Kommissionspräsidentin Ursula von der Leyen an Justiz-Kommissar Michael McGrath. Danach soll er unter anderem sicherstellen, dass die DSGVO mit der digitalen Transformation, der Rechtsdurchsetzung und mit den unternehmerischen Interessen in Einklang gebracht wird. Deshalb habe ich Hoffnung, dass es zu einer wirklichen Reform kommt. Dabei kann ich aber Ihre Mitglieder beruhigen: Eine umstürzlerische Bewegung wird es beim Datenschutz in Europa nicht geben.
Christoph Bausewein: Grundsätzlich begrüßt der BvD die Idee einer DSGVO-Reform. Wir haben im Verband einen Sonderausschuss gegründet, der sich konkret mit diesem Thema befasst. Dieser erarbeitet Vorschläge, die wir Ihnen gerne zur Verfügung stellen. In dem Diskurs, den wir führen wollen, halte ich es für wichtig, dass wir auch darüber sprechen, was die Erwartung der Gesellschaft an den Gesetzgeber und den Grundrechtsschutz sind und was Datenschutz überhaupt im Kern ist. Nach meinem Verständnis ist das eine Moving Target, das weder im Grundgesetz noch den Verfassungen der anderen Mitgliedsländer starr definiert ist und dementsprechend stets reflektiert werden muss, um nicht Gefahr zu laufen, dass wir eine Fehlregulierung haben, die an der gesellschaftlichen Realität vorbeigeht.
Axel Voss: Dazu würde ich fragen: Kommt es wirklich auf jedes Datum an, nur weil es möglicherweise eine Art Personenbezug hat? In Deutschland gilt sogar der Reifendruck als personenbezogenes Datum. An so etwas hatte der Gesetzgeber mit Sicherheit nicht gedacht. Und was KI betrifft: Da finde ich, dass man die Zweckbindung einer Einwilligung und den Paragrafen 5 der DSGVO aufheben sollte. Ansonsten kommen wir bei dem Thema nicht voran. Der Free Flow of Data und der Free Flow of Information sind ebenfalls Zwecke, aber das ist bislang nicht in einen Ausgleich gekommen.
Aber noch mal zu den Erwartungen der Betroffenen: Was sind eigentlich vernünftige Erwartungen? Das müsste man klären. Und können die Daten-Empfänger ihre Informationspflichten bei dieser massenhaften Datenverarbeitung auf sämtlichen Ebenen überhaupt noch hinbekommen? Machen solche Vorschriften noch Sinn? Oder andersherum gefragt: Bis zu welchem Grad machen sie Sinn und wie könnte man diese Vorschriften eingrenzen?
Bei den sogenannten Spionageautos beispielsweise von dem chinesischen Hersteller Byd oder von Tesla machen sie meines Erachtens durchaus Sinn. Die nehmen ja noch beim Parken ihre Umgebung auf. Und das kann ein Sicherheitsrisiko darstellen. Da muss man überlegen, ob die von den Autos erfassten Daten überhaupt die EU verlassen dürfen. Überprüfen müsste man auch die Vielzahl von Parametern, die Unternehmen einsetzen, um das Verhalten von Online-Kunden herauszufinden und kommerziell zu nutzen, also beim sogenannten Überwachungskapitalimus. Benötigen diese Unternehmen wirklich alle Daten, die sie sammeln? Der Sprung in die Manipulation und Desinformation ist da sehr klein. Da muss Europa dagegenhalten. Diese Balance müssen wir besser hinbekommen. Dazu müssten Anonymisierungs- und Pseudonymisierungsverfahren rechtssicher gemacht werden. Da kann der BvD eine gute Rolle spielen – aus der Praxis heraus zu sagen, wie diese Balance zwischen Datenschutz und Datennutzung aussehen könnte.
Thomas Spaeing: Ein weiteres Thema möchte ich zum Schluss ansprechen: Wie können wir Hersteller dazu verpflichten, auf dem Binnenmarkt ausschließlich DSGVO-konforme Produkte anzubieten? Die DSGVO schreibt dies aktuell im Schwerpunkt dem Verantwortlichen zu, der vom Auftragsverarbeiter und dessen Kooperationswillen abhängig ist. Das bedeutet gerade für kleine und mittlere Betriebe, die Sie und wir entlasten wollen, unendlich viel Bürokratie. Wir begleiten immer wieder Unternehmen, die sagen: Wir haben eine Betroffenenanfrage, aber wir wissen nicht, wo wir die Daten herholen sollen, denn unsere Tools sagen uns darüber nichts. Mir schwebt mit, dass die DSGVO – ähnlich wie die KI-Verordnung – diese Pflicht mehr dem Hersteller zuschreibt, oder von ihm verlangt – wie etwa der Cyber Resilience Act – seine Konformität mit geltendem Recht nachzuweisen. Was halten Sie davon?
Axel Voss: Innerhalb des EU-Parlaments und der Europäischen Kommission habe ich diesen Vorschlags bislang noch nicht vernommen. Deshalb bin ich sehr dankbar, dass Sie darauf hinweisen. Unsere gemeinsame Headline lautet ja: Bürokratie vermindern und Entwicklungen ermöglichen. Und wenn man dort über Privacy by Default zum einen Fragen der Haftung und zum anderen eine bessere Produktermöglichung hinbekommt, die auch von Aufsichtsbehörden nicht infrage gestellt wird, wäre das ein überlegenswerter Schritt.
Thomas Spaeing: Wir haben in den vergangenen Jahren dazu viele Gespräche mit den Aufsichtsbehörden geführt. Dort hat man das Thema auf dem Schirm, aber verweist darauf, dass es keine gesetzliche Handhabe gibt, die Hersteller in die Haftung zu nehmen. Sie können nur den Verantwortlichen, der die Produkte nutzt, bei Verstößen heranziehen. Und das ist ein Konstruktionsfehler.
Axel Voss: Ich kann nur ermuntern, solche Ideen auf die europäische Ebene zu tragen. Denn im EU-Parlament sind solche Erfahrungen aus der Praxis nicht bekannt und wahr scheinlich auch nicht bei der Kommission. Vielleicht verfasst das EU-Parlament einen Initiativbericht zur DSGVO-Reform. Aber das würde lange dauern und der Kommission womöglich einen Vorwand liefern, sich jetzt doch nicht mit einer DSGVO-Reform zu beschäftigen. Aber vielleicht ließe sich eine Art Ideensammlung erstellen.
Thomas Spaeing: In dem BvD-Sonderausschuss, den wir schon angesprochen haben, sammeln wir genau solche Beispiele, wo wir aus der Praxis heraus sehen, was die echten Probleme des Mittelstands sind. Und dazu gehört definitiv die Herstellerhaftung.
Christoph Bausewein: Da dürfen wir gleich eine Einladung aussprechen: Wir planen im Herbst einen Kongress zu diesen Themen, um die Debatte weiterzuführen – auch mit anderen Verbänden. Wir würden uns freuen, wenn Sie mit dabei wären.
Axel Voss: Das mache ich sehr gerne. Denn es ist einfach wichtig, sich mit den Themen intensiv auseinanderzusetzen. Ich glaube, dass wir thematisch durchaus zusammenkommen können.
Christoph Bausewein: Herzlichen Dank, Herr Voss, für das Gespräch.
Das Gespräch wurde zuerst in der BvD-News Ausgabe 2/2025 veröffentlicht.
