Politikbrief Winter 2024/25

8. Januar 2025

PDF Download

Liebe Leserinnen und Leser,

was wurde nicht alles schon geschrieben über den Bruch der Ampelkoalition: Vertrauensbruch, geleakte Positionspapiere und jede Menge zerschlagenes politisches Porzellan. Sogar das Wort D-Day fiel. Liebhaber großer Dramen von Sophokles oder Shakespeare werden sicherlich noch ihre Freude daran haben, die Irrungen und Wirrungen des Endes der Ampel zu analysieren. Ich will mich daran nicht beteiligen. Und uns Datenschutzbeauftragten sagt man scherzhaft nach, dass wir eher trockene Stoffe wie die DSGVO mögen. Ein Zitat des großen Sophokles passt an dieser Stelle aber doch ganz gut: „Gerades Scheitern steht höher als ein krummer Sieg.“

Unsere Wirtschaft muss wieder wachsen, damit wir unser Niveau von Wohlstand und Beschäftigung halten können. Eine wichtige Grundlage dafür ist, dass sich Unternehmen wieder auf ihre Kernkompetenzen, auf Innovation und Handel konzentrieren können – und nicht durch überbordende Bürokratie gehemmt werden. Als qualifizierte Datenschutzbeauftragte leisten wir schon lang einen wertvollen Beitrag zur Vermeidung von Bürokratie und wollen mit Ihnen gemeinsam eine echte Entbürokratisierungsoffensive starten.

Als Befürworter einer sinnvollen Digitalisierung sind wir davon überzeugt, dass es für Unternehmen und öffentliche Stellen in Deutschland entscheidend ist, die Herausforderungen der Datenverarbeitung proaktiv und zukunftsorientiert anzugehen. Dazu müssen wir auch den Datenschutz neu – und vor allem risikoorientiert – denken. Dazu gehören richtige Anpassungen des Bundesdatenschutzgesetzes, ein Praxischeck der Datenschutz-Grundverordnung inklusive der Abschaffung bürokratischer Belastungen durch Mehrfachaufwände und unnötige Regelungen. Den Akteuren, die zu Recht auf die teilweise divergierende Auslegung des Datenschutzrechts in den einzelnen Bundesländern hinweisen, möchte ich ermutigen, endlich eine zukunftsfähige Struktur der Datenschutzkonferenz (DSK) auf den Weg zu bringen. Unternehmen wie Bürgerinnen und Bürger brauchen Klarheit und Vereinfachung bei der Anwendung der rechtlichen Vorgaben.

In diesem Zusammenhang haben wir auch den kürzlich veröffentlichten Referentenentwurf für ein Beschäftigtendatenschutzgesetz zur Kenntnis genommen: Eine starke Datenschutzkultur in den Unternehmen ist ein wichtiges Gut für den Schutz der Beschäftigten. Der vorliegende Entwurf gibt dabei wichtige Impulse und sollte in der nächsten Legislaturperiode weiterentwickelt werden. Wir setzen uns dafür ein, dass die Belange der kleinen und mittleren Unternehmen in den Fokus gerückt werden: Wir brauchen mehr Vorschläge wie die Vereinfachung der Datennutzung im Bewerbungsverfahren mit klaren Löschfristen. Andere Ansätze, wie die Einbeziehung des Betriebsrats bei der Bestellung des Datenschutzbeauftragten, sind Vorschläge aus der Mottenkiste, die weder die Arbeit erleichtern noch das Datenschutzniveau erhöhen und die Unternehmensleitung nur in eine weitere Bürokratiespirale führen. Wir halten ein eigenständiges Gesetz zum Umgang mit Beschäftigtendaten für sinnvoll, der vorliegende Entwurf braucht allerdings noch Zeit. Wir sollten die neue Legislaturperiode für eine gemeinsame Weiterentwicklung nutzen. Der Entwurf bietet dafür eine gute Grundlage.

Gerne möchte ich die Gelegenheit nutzen, auf zwei weitere wichtige Themen in diesem Brief hinzuweisen, auf die wir besonders stolz sind: Die BvD-Herbstkonferenz 2024 thematisierte aktuelle europäische Datenschutzfragen und digitale Regulierungen mit einem Fokus auf praxisnahe Lösungen und Austausch zwischen Wirtschaft und Aufsicht. Ebenso sorgen wir als BvD für die Verzahnung von Künstlicher Intelligenz und Datenschutz: Die neue Fortbildung zum „AI-qualified DPO“ qualifiziert Datenschutzbeauftragte dafür, KI-Projekte sicher und datenschutzkonform zu begleiten und bietet Unternehmen so zusätzliche Expertise im Bereich Künstlicher Intelligenz. Wir wünschen viel Freude bei der Lektüre und sind gespannt auf Ihr Feedback.

Für das spannende Jahr 2025 wünschen wir Ihnen und Ihrem Umfeld alles Gute!

Thomas Spaeing

Vorstandsvorsitzender BvD e.V.

Unsere Kernthesen für einen datenschutzrechtlichen Aufbruch

NEUE LEGISLATUR, NEUES GLÜCK

Mit den Wahlen und einem frisch gewählten Bundestag eröffnen sich Möglichkeiten im neuen Jahr, Datenschutz in Deutschland zukunftsorientiert und praxisnah weiterzuentwickeln. Der Berufsverband der Datenschutzbeauftragten (BvD) sieht in einem modernen Datenschutzrecht nicht nur einen Schutz der informationellen Selbstbestimmung, sondern auch einen entscheidenden Faktor für wirtschaftliche Stärke und gesellschaftliches Vertrauen. Um dieses Potential zu heben, bieten wir unsere Expertise und Erfahrung bei der künftigen Gestaltung an.

Ein datenschutzrechtlicher Aufbruch bietet die Chance, wirtschaftliche Innovation und den Schutz der Persönlichkeitsrechte enger miteinander zu verzahnen. Dabei ist eine praxisorientierte Entbürokratisierung der DSGVO zentral: Wenn ein kleines Startup die gleichen Dokumentationsanforderungen erfüllen muss wie ein multinationaler Konzern, entstehen unnötige Hürden. Eine konsequente risikobasierte Gestaltung wird die Unternehmen entlasten und gleichzeitig Vertrauen schaffen, weil die Transparenz verbessert wird.

„BvD-Mitglieder“ melden immer wieder problematische Regelungen und Pflichten, die weder das Datenschutzniveau erhöhen noch für mehr Prozesssicherheit sorgen. So entsteht teils ein vielfacher Dokumentationsaufwand aus nur einem Verarbeitungsvorgang. Durch eine praxistaugliche Ausgestaltung von Dokumentationsanforderungen und die stärkere Einbeziehung der Datenschutzbeauftragten bei diesen Tätigkeiten – die bisher dem Verantwortlich obliegen – können deutliche Erleichterungen geschaffen werden und Kosten deutlich gesenkt werden.

Auch die Reform des Bundesdatenschutzgesetz BDSG ist entscheidend. Das etablierte Modell des betrieblichen Datenschutzbeauftragten hat sich bewährt. Er sorgt für klare Verantwortlichkeiten und entlastet die Geschäfts-leitung erheblich von bürokratischem Aufwand, der mit einer Abschaffung der Benennungspflicht auf die Geschäftsleitung zurückfiele. Seine Abschaffung wäre ein Bärendienst, der in Unternehmen und Behörden Risiken und Mehraufwände erzeugen würde. Gleichzeitig setzen wir uns für klare Regelungen ein, die nicht zu neuen Auslegungsfantasien führen.

Die Klärung von Zuständigkeiten im Bereich KI und. Beschäftigtendaten ist ebenfalls von besonderer Bedeutung. Ein Beschäftigtendatenschutzgesetz könnte Rechtssicherheit schaffen, etwa bei der Frage, ob und wie KI-gestützte Bewerberanalysen zulässig sind. Im notwendigen deutschen Umsetzungsgesetz des AI Acts sollte die Aufsicht auf die Landesdatenschutzbeauftragten (LfDI) übertragen werden, die bereits über entsprechende  Erfahrung verfügen und durch die DSGVO ohnehin mit diesen Verfahren befasst sind, anstatt hier eine vollkommen neue Stelle und neue Mitarbeiterbedarfe zu schaffen. Die Experten in diesem Bereich sind rar und sollten produktiv eingesetzt werden und nicht aus der Wirtschaft abgezogen werden. Eine bessere Integration der Datenschutzkonferenz (DSK) könnte auch hier zu einheitlichen Standards beitragen.

Die Verantwortung für datenschutzgerechte KI-Systeme darf darüber hinaus nicht allein bei den Nutzern liegen. Hersteller müssen gesetzlich verpflichtet werden, transparente und datenfaire Systeme zu liefern – ganz nach dem DSGVO-Prinzip des privacy by design. So könnten Unternehmen, die KI zur Optimierung ihrer Produktionsprozesse einsetzen, ohne rechtliche Risiken agieren, während zugleich erhebliches Vertrauen in die Systeme geschaffen wird – denn das ist die große Herausforderung dieser Technologie.

Diese Maßnahmen ebnen den Weg für einen zukunftsfähigen Datenschutz, der Innovation ermöglicht und Vertrauen in die digitale Transformation stärkt. Die rechtssichere Nutzung ist eine zentrale Komponente für wirtschaftliche Stärke und den Schutz der informationellen Selbstbestimmung.

Erfahren Sie hier mehr über unsere Datenschutz-Agenda 2025!

Praktische Hilfe bei schwierigen Fragen von Künstlicher Intelligenz und Datenschutz

Der BvD startete im September 2024 eine spezialisierte Fortbildung zum „AI-qualified DPO“ (KI-qualifizierten DSB), welche die Datenschutzbeauftragten umfassend auf die Herausforderungen und Anforderungen rund um Künstliche Intelligenz vorbereitet. Die Schulung richtet sich besonders an die Wirtschaft, da DSB so als zentrale Ansprechpartner für KI-spezifische Datenschutzfragen fungieren und Unternehmen in rechtlichen und ethischen Fragen rund um Datenverarbeitung mit KI unterstützen können. 

Die Fortbildung „AI-qualified DPO(BvD)“ ist eine spezielle Qualifizierung für betriebliche und behördliche Datenschutzbeauftragte sowie andere im Datenschutz tätige Personen. Der BvD vermittelt betrieblichen und behördlichen Datenschutzbeauftragten sowie anderen im Datenschutz tätigen Personen die dafür erforderlichen Kenntnisse. 

Die Fortbildung greift die zunehmende Verzahnung von KI und Datenschutz auf, da KI-Systeme oft große Mengen an personenbezogenen Daten verarbeiten. DSB mit KI-Fachwissen sind bereits jetzt gefragte Experten, um Unternehmen sicher durch das komplexe Geflecht von Datenschutz und KI-Regularien zu führen. Indem DSB die die technischen und rechtlichen Rahmenbedingungen aber auch praktische Anwendungsfälle vermittelt werden, können sie maßgeblich dazu beitragen, dass KI-Projekte sicher zum Erfolg geführt werden.

Weitere Details zur Fortbildung sind hier verfügbar.

Ein „Klassentreffen des Datenschutzes“ und die politische Forderung nach Anerkennung der Arbeit des Datenschutzbeauftragten

RÜCKBLICK AUF DIE BVD-HERBSTKONFERENZ

Die diesjährige Herbstkonferenz des BvD in Stuttgart vereinte rund 250 ExpertInnen aus den Bereichen Datenschutz, Digitalisierung und europäische Gesetzgebung. Unter dem Motto „Wirtschaft trifft Aufsicht“ bot die Veranstaltung eine Plattform für den intensiven Austausch über die zunehmende Komplexität der Datenschutzregulierung in Europa. Prof. Dr. Tobias O. Keber, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, nannte die Konferenz das „Klassentreffen des Datenschutzes“ – eine treffende Bezeichnung angesichts der FachexpertInnen, die den Herausforderungen und Chancen des EU-Digitalisierungstrends mit neuen Perspektiven begegneten.

Auch Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, betonte die Rolle der Datenschutzbeauftragten, die in der Begleitung neuer Technologien zunehmend gefragt seien. Er rief die Teilnehmenden dazu auf, sich den datenschutzrechtlichen „Klimawandel“ aktiv zu stellen und die Digitalisierung verantwortungsbewusst zu begleiten. Die Landesdatenschutzbeauftragten von Baden-Württemberg und Bayern appellierten auf dem Behördentag, der sich tradionell an die Herbstkonferenz anschließt und die Sicht der behördlichen Datenschützer präsentiert, an Behörden und Kommunen, sich bei KI-Anwendungen rechtzeitig auf die in Teilen ab Februar 2025 geltende KI-Verordnung vorzubereiten. „KI-Kompetenz ist wichtig, hier müssen wir uns sehr gut und sehr frühzeitig aufstellen“, sagte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Keber in seiner Keynote. Wenn die KI-Verordnung anwendbar ist, müssten die Verwaltungen vorbereitet sein.

EDPS Wojciech Wiewiórowski: Forderungen für eine gestärkte Rolle der DSB

In einer eindringlichen Videobotschaft hob der Europäische Datenschutzbeauftragte (EDPS), Wojciech Wiewiórowski, die Schlüsselrolle der Datenschutzbeauftragten hervor und betonte, dass ihre Funktion politisch und institutionell gestärkt werden müsse. Der EDPS machte deutlich, dass die Daten schutzbeauftragten (DSB) innerhalb der EU-Institutionen nicht nur beratend, sondern vor allem unabhängig agieren müssten, um die effektive Umsetzung der Datenschutzvorgaben zu sichern.

Wiewiórowski verwies dabei auf vier zentrale Herausforderungen für die DSB: unzureichende Ressourcen, die Notwendigkeit der Unabhängigkeit, Interessenkonflikte durch Zusatzaufgaben und die klare Einbindung in datenbezogene Entscheidungsprozesse. Diese Barrieren erschweren nach Wiewiórowskis Auffassung die Umsetzung eines umfassenden Datenschutzes und könnten nur durch politischen Rückhalt überwunden werden. Er betonte, dass DSB angesichts der immer komplexeren Datenlandschaft in vollem Umfang Zugang zu Ressourcen und Unterstützung erhalten müssten, um ihre Aufgaben wahrzunehmen – ein Thema, das auch von den nationalen Aufsichtsbehörden oft beklagt werde.

Mit seiner Rede betonte Wiewiórowski die Unverzichtbarkeit der Datenschutzbeauftragten als Schutzinstanzen innerhalb der Institutionen und als maßgebliche Anlaufstellen für die Aufsichtsbehörden. So fand sich die Forderung nach Anerkennung und Unterstützung der DSB auch in den Keynotes weiterer Redner wieder. Thomas Zerdick, Leiter des Referats „Aufsicht und Durchsetzung“ beim Europäischen Datenschutzausschuss (EDSA), beleuchtete zudem die Rolle des EDSA und den Handlungsbedarf in der europäischen Datenschutzlandschaft.

Innovation und Datenschutz: Eine starke Partnerschaft

Ein weiterer zentraler Punkt der Konferenz war die Frage, wie Innovation und Datenschutz im Einklang wachsen können. Björn Beck, Leiter des Innovationslabors der baden-württembergischen Landesregierung, sprach sich gegen das Missverständnis aus, Datenschutz sei notwendigerweise ein Widerspruch zu technologischer Innovation. Er betonte den gesellschaftlichen Wert des Datenschutzes und zeigte auf, wie Datenschutzbeauftragte die Entwicklung und den Einsatz von Künstlicher Intelligenz und anderen Technologien sinnvoll begleiten können. „Innovation und Datenschutz darf kein Spannungsfeld sein, sie müssen Hand in Hand gehen“, erklärte Beck und hob die beratende Rolle der Datenschutzbeauftragten in Baden-Württemberg als richtungsweisend hervor. Auch Wiewiórowski warnte zudem ausdrücklich davor, dass Datenschutz und informationelle Selbstbestimmung im Zuge des „KI-Hypes“ verwässert oder gar verworfen würden.

Effizienz und Pragmatismus der Aufsichtsbehörden

Die zunehmende Komplexität der Datenschutzregulierung und der Ruf nach Bürokratieabbau waren ebenfalls zentrale Themen, die Thomas Spaeing, Vorstandsvorsitzender des BvD, in seiner Ansprache aufgriff. Er betonte die pragmatische und lösungsorientierte Arbeit der deutschen Datenschutzaufsichtsbehörden, etwa am Beispiel der Opt-Out-Lösung zur Übermittlung von Postadressen, die besonders für Kleinunternehmen den Bürokratieaufwand senke. Spaeing kritisierte die politisch motivierte Diskussion über eine vermeintliche Effizienzsteigerung der Aufsichtsbehörden als verfehlt und forderte, dass die Debatte über Bürokratieabbau nicht auf Kosten der Schutzrechte der Bürger geführt werden dürfe.

Abgeschlossen wurde die Konferenz mit dem BvD-Behördentag, der speziell für Datenschutzbeauftragte öffentlicher Einrichtungen ein breit gefächertes Programm bot. Prof. Dr. Thomas Petri, Bayerischer Landesbeauftragter für den Datenschutz, Prof. Dr. Tobias O. Keber und Nicole Matthöfer, Präsidentin der Cybersicherheitsagentur Baden-Württemberg, zeigten Perspektiven auf die Herausforderungen des öffentlichen Datenschutzes und der digitalen Sicherheitspolitik.

Die BvD-Herbstkonferenz in Stuttgart verdeutlichte eindrucksvoll, dass Datenschutzbeauftragte unverzichtbare Akteure einer digitalen Gesellschaft sind, die grundrechtskonform gestaltet werden soll. Die Worte von Wojciech Wiewiórowski klingen dabei nach: Datenschutz als Schutzrecht muss politisch anerkannt, rechtlich klar abgegrenzt und finanziell ausreichend gefördert werden, um den Herausforderungen der Zukunft gewachsen zu sein.

Eine ausführliche Eventzusammenfassung gibt es hier.

Positionspapiere

  • Papier zur Europawahl (PDF, 5M)Download
  • Benennung von Datenschutzbeauftragten – Unabhängigkeit nur mit Bindung für die Ewigkeit möglich? (PDF, 837K)Download
  • TTSDG (neu: TDDDG): BvD offen für vereinfachtes Einwilligungsmanagement (PDF, 5M)Download

Bleiben Sie informiert

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten! Melden Sie sich für unseren Presseverteiler an und erhalten Sie regelmäßig Informationen aus dem Netzwerk der Datenschutz-Profis.

Anmeldung zu unserem Presseverteiler

Um sich für den beschriebenen Presseverteiler anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.