Daten zu Gunsten von Freiheit, Sicherheit und Wohlstand
Mehr als die Vergangenheit interessiert mich die Zukunft, denn in ihr gedenke ich zu leben“ – getreu dieser Weisheit von Albert Einstein sollten wir die Vergangenheit des Daten- und Digitalrechts 2024 hinter uns lassen, um uns einer besseren Zukunft zuzuwenden. Hier kommen fünf Thesen für eine Bestandsaufnahme und einen Neuanfang.
1. Die Datenwirtschaft braucht Koordination und ein Digitalministerium
Das Datenrecht hat sich seit dem Jahr 2016 mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) bis Ende 2024 zu einem europäisch harmonisierten Datenschutz- und Datenwirtschaftsrecht entwickelt. War die DSGVO zunächst die einzige Geige im Konzert der Datenrechtsakte, so muss sie sich heute in das Orchester der hinzugekommenen Datenakte mit unterschiedlichen und teilweise gegenläufigen Ausrichtungen einfügen. Zentral sind der Daten-Governance-Rechtsakt (DGA), die Datenverordnung (DA), das Gesetz über digitale Märkte (DMA), das Gesetz über digitale Dienste (DSA) und die Verordnung über Künstliche Intelligenz (KI-VO). All diesen Rechtsakten geht es nicht um Datenschutz. Sie regeln die Strukturen des Datenaustauschs (DGA), das Datenteilen zu wirtschaftlichen Zwecken für Nutzer und Unternehmen (DA), die Sicherung des Wettbewerbs im EU-Binnenmarkt gegenüber den internationalen Tech-Giganten (DMA) und den Schutz der Meinungsfreiheit und der Bekämpfung von Hasskriminalität auf Plattformen wie sozialen Netzwerken (DSA). Es kommen weitere Rechtsakte und ganze Pakete hinzu, über digitale Identitäten (eIDAS), den Bereich Plattform-to-Business (P2B), Fluggastdaten (API) und die Digitalisierung des Finanzmarktes (DORA), um nur einige zu nennen.
Damit das Zusammenspiel harmonisch klingt, muss es orchestriert werden. Daran sind neben der EU auch die Mitgliedstaaten beteiligt. Der Digitalausschuss des Deutschen Bundestages hat im Juni 2024 Sachverständige unter der Überschrift „Innovative Datenpolitik: Potenziale und Herausforderungen“ angehört. Ihr Ergebnis kann man mit einem Wort zusammenfassen: „Herkulesaufgabe“. Benennt man von den vielen Problemen nur das spezifisch deutsche, so lautet das Lösungswort: „Koordination“. Sie ist der Knackpunkt der Datenpolitik, und ihr Fehlen ist ein enormer Missstand. Bürger und Wirtschaftsunternehmen haben es mit einer Vielzahl von Behörden zu tun. Diese sind teilweise überfordert und überlastet. Das Recht ist faktisch kaum vollziehbar. Allein die Durchführung der DSGVO obliegt in Bund und Ländern 18 Behörden. Es gibt ein Bundesdatenschutzgesetz und 16 Landesdatenschutzgesetze. Jede Aufsichtsbehörde ist völlig unabhängig, und dennoch muss die DSGVO einheitlich ausgelegt werden.
Die Konferenz der Datenschutzbeauftragten arbeitet an der Einheitlichkeit ihrer Entscheidungen, kann aber die Hindernisse aus eigener Kraft nicht überwinden. Der Bundesgesetzgeber könnte versuchen, den Datenschutz über die Wirtschaft bei der Bundesbeauftragten anzusiedeln. Das geht nicht ohne die Länder und würde eine „Superbehörde“ beim Bund für den Datenschutz erzeugen. Zu einer solchen entwickelt sich aber gerade jenseits des Datenschutzes die Bundesnetzagentur, die den DSA beaufsichtigt und wohl auch die Aufsicht über die Durchführung der KI-VO durchführen soll. Da aber KI-Modelle und -Systeme nicht ohne personenbezogene Daten auskommen, sehen sich die 18 Datenschutzbehörden als sachnäher an und reklamieren die Marktüberwachung nach der KI-VO für sich. Wenn auch die Aufsicht über die Durchführung des DA der Bundesnetzagentur zufiele, läge faktisch die Koordination des Vollzuges des Datenrechts mit Ausnahme der DSGVO in einer Behörde.
Diese Koordinationsaufgabe ist zentral. Die neue Bundesregierung muss sie angehen und kann sie schlecht einer Behörde überlassen. Vielleicht wäre das kürzlich ins Gespräch gebrachte Datengesetzbuch ein Anlass, die diversen Rechtsakte in Deutschland zu konsolidieren und zu systematisieren. Ob man die nationalen Begleitrechtsakte zum EU-Datenrecht sinnvoll in einem Gesetz bündeln kann, wird zu prüfen sein. Möglicherweise entscheidet man sich wie beim Umweltgesetzbuch für einen anderen Weg. Eine Vereinheitlichung und Systematisierung des Digital- und Datenrechts in Deutschland ist aber elementar, und sie kann nicht dezentral und ressortübergreifend gelingen. Deshalb ist es Zeit für ein „echtes“ Digitalministerium. Dieses müsste als Querschnittsministerium schnell mit eigenen Haushaltsmitteln ausgestattet werden und für die Digitalpolitik der Bundesregierung zuständig sein. So könnte es eine effektive und effiziente Digitalisierung vorantreiben. Wichtige erste Projekte wären die Systematisierung des Datenrechts, das Vorantreiben der Verwaltungsdigitalisierung, und die digitalpolitische Koordination innerhalb der Bundesregierung und den Bundesbehörden sowie zwischen Bund, Ländern und EU.
2. Der Datenschutz braucht Augenmaß
Die DSGVO bleibt auch im neuen Datenrecht der Ausgangspunkt des menschenzentrierten Datenumgangs in der EU. Man muss sie aber entsprechend ihrer Ratio und mit Augenmaß anwenden. Die Ziele der DSGVO beschreiben ein Spannungsverhältnis. Die DSGVO verpflichtet einerseits zum Schutz personenbezogener Daten. Zum anderen schützt sie den freien Verkehr solcher Daten. Die Datenschutzaufsichtsbehörden verpflichtet das Gesetz explizit dazu, beide Pflichten umzusetzen. Sie verlieren das zweite und gleichrangige Ziel leider zu oft aus den Augen. Die Rechtsprechung bestärkt diesen Trend. So hat der Bundesgerichtshof (BGH) in seiner sogenannten „Scraping-Entscheidung“ aus dem November 2024 die entsprechende Rechtsprechung des EuGH aus dem Jahr 2023 in das deutsche Recht übertragen. Es geht darum, ob ein bloß kurzer Verlust über die Kontrolle personenbezogener Daten einen Schaden im Sinne der DSGVO darstellt. Der EuGH sieht in jedem noch so belanglosen Kontrollverlust einen potentiellen Schaden. Verlangt der Betroffene deshalb Schadenersatz, muss er allerdings nachweisen, dass er eine missbräuchliche Verwendung seiner Daten befürchtet, die aufgrund des Kontrollverlustes möglich erscheint.
Diesen Unterschied ebnet der BGH ein, indem er den Kontrollverlust und die Befürchtung einer missbräuchlichen Verwendung gleichsetzt. Das geht über das Urteil des EuGH hinaus und provoziert massenhaft Rechtsstreitigkeiten, was bei richtiger Umsetzung der EuGH-Entscheidung vermeidbar gewesen wäre. Die Folgen der BGH-Entscheidung sind weitreichend. Schließlich entsteht Kontrollverlust nicht nur bei Datenlecks infolge schlechter Voreinstellungen zum Nutzerdatenschutz wie bei Facebook im Fall des BGH. Auch jede Eingabe personenbezogener Daten in ein autonom datenverarbeitendes KI-System wie ChatGPT kann einen Kontrollverlust und damit nach der BGH-Rechtsprechung einen Schaden darstellen. Denn über die Datenverarbeitung in autonomen Systemen ist jede Kontrolle technisch ausgeschlossen. Vor dem EuGH ist allerdings schon ein neues Verfahren zum Kontrollverlust als Schaden anhängig, das eine Nachschärfung durch den BGH veranlassen könnte.
Auch Datenschutzaufsichtsbehörden standen im Jahr 2024 in der Kritik; etwa der Europäische Datenschutzausschuss (EDSA) während der Bewertung des Modells „Pay-or-Consent“. Dieses Zahlen mit Daten entspricht nach der Rechtsprechung des EuGH grundsätzlich dem Prinzip unternehmerischer Privatautonomie: Niemand kann gezwungen werden, seine Dienstleistungen oder Waren kostenlos anzubieten. Wenn Anbieter entweder Zahlung oder die Gestattung der Datenverarbeitung zu Zwecken der verhaltensbasierten Onlinewerbung verlangen, erhält der Betroffene eine zusätzliche Option zur sonst einzigen Möglichkeit der Bezahlung in monetärer Form. Das ist nach der sogenannten „Meta-Entscheidung“ des EuGH aus dem Jahr 2023 rechtmäßig, solange das verlangte Entgelt der Höhe nach angemessen ist. Beim EuGH ging es darum, ob die von Facebook durchgeführten kommerziellen Verarbeitungen von Nutzerdaten im Zusammenhang mit dem Nutzungsvertrag von Facebook gestattet sind.
Anstatt diese Entscheidung zu vollziehen, machte der EDSA indes einen eigenen Vorschlag. Die Vertragslösung des EuGH wurde ignoriert. Stattdessen schwenkte die Behörde auf die Einwilligung zur Datenverarbeitung um. Diese sei nicht freiwillig. Der EDSA muss als Verwaltungsverbund der europäischen Datenschutzbehörden mit entscheidungsleitender Wirkung gegenüber den unabhängigen Behörden in den Mitgliedstaaten im Rahmen der Rechtsprechung des EuGH für einen einheitlichen Vollzug der DSGVO sorgen. Ein eigener behördlicher Vorschlag primär vor dem Hintergrund, dass über das Merkmal der Freiwilligkeit der Einwilligung Einfluss auf gesellschaftspolitische Entwicklungen genommen wird, ist im gewaltenteilenden System übergriffig. Hilfreich erscheint hingegen die im Dezember veröffentlichte Stellungnahme des EDSA, die Klarheit in der praxisrelevanten Frage schafft, ob personenbezogene Daten während des Trainings eines KI-Sprachmodells anonymisiert werden oder ob sie nach Abschluss des Trainings in den Parametern des Modells fortleben.
Der Datenschutz lebt von einer maßvollen Auslegung der DSGVO. Man muss auf kluge Behörden- und Gerichtsentscheidungen zu dessen Umsetzung bauen. Die deutschen Datenschutzaufsichtsbehörden leisten dazu das ihnen Mögliche. Auch die im Dezember 2024 veröffentliche Agenda der BfDI hilft, weil sie Positionen erkennbar macht, auf die man sich einstellen kann. An den erreichten Zielen kann man die Behörde künftig messen.
3. Künstliche Intelligenz braucht Kompetenz
Generative KI im Sinne der im August 2024 in Kraft getretenen KI-VO hat das Potential, die europäische Wirtschaft zu revolutionieren. Europa ist auf Fortschritt und einen verlässlichen Rahmen für Innovation angewiesen. Fortschrittsoptimismus ist selbst dann alternativlos, wenn die Technik sich dahin entwickelt, dass man sich vor ihr in Acht nehmen muss. Das ist der Fall, wenn es um generative KI geht, denn hierbei handelt es sich um autonome und deshalb in gewissem Sinne unbeherrschbare Technik. Das Werkzeug kann sich ohne menschliches Zutun verändern. Jenseits der Grenzen der KI-VO herrscht Freiheit zum Einsatz von KI, soweit nicht das von der KI-VO unberührte und unabhängig davon geltende sonstige Recht Grenzen setzt, etwa das Verfassungsrecht, das Datenschutz- oder Urheberrecht, das Arbeitsrecht oder das Bildungsrecht. Die KI-VO muss beweisen, ob sie sich zu jenem Goldstandard entwickelt, der Fortschritt verantwortungsvoll ermöglicht, und die Menschenrechte und die demokratischen und rechtsstaatlichen Errungenschaften Europas stärkt. Sie will vertrauenswürdige KI ohne schädliche Auswirkungen in der Union fördern und entsprechende Innovation unterstützen. Offen bleiben etwa Fragen danach, wo die Grenzen des autonom agierenden KI-Arztes verlaufen und wie weit der Rat des Kollegen Chatbot gehen darf, wenn es um Personalentscheidungen im Betrieb oder um die Benotung von Schülern geht – und ob Bots am Ende gar Tipps für faire Gerichtsurteile geben dürfen.
Die ersten Pflichten der KI-VO gelten ab Februar 2025. Konkret muss dann jeder, insbesondere jedes Unternehmen und jede Behörde, während der eigenverantwortlichen Verwendung, sprich beim Betrieb eines KI-Systems, der nicht ausschließlich zu privaten Zwecken erfolgt, KI-Kompetenz vermitteln. Die neue Bundesregierung muss zügig Recht zur Durchführung der KI-VO schaffen und dabei verantwortungsvoll auf dem schmalen Grat zwischen KI-Euphorie und Überregulierung balancieren. Es wäre schlimm, wenn Deutschland auf den rasenden Zug der KI nicht aufspränge, aber es wäre noch schlimmer, wenn wir auf dem Zug dessen Bremse nicht fänden.
4. Die Demokratie braucht Schutz
Die Demokratie in Europa ist erheblichen Gefahren ausgesetzt. In Rumänien annullierte das Verfassungsgericht Anfang Dezember 2024 die Präsidentschaftswahl, weil nach Informationen des Geheimdienstes Tausende zuvor inaktive Tiktok-Konten im Zuge eines „aggressiven hybriden russischen Angriffs“ Propaganda für einen rechtsextremen Kandidaten gemacht hatten. Dass die Annullierung der Wahl ihrerseits den Anforderungen des hiesigen Wahlprüfungsrechts entsprechen würde, kann man bezweifeln. Dennoch ist das Problem der Demokratiegefährdung mit den Mitteln der Digitalisierung virulent. Es wurde in Deutschland mit Blick auf die Gefahren durch KI thematisiert. Open AI, der Entwickler von ChatGPT, teilte schon im Frühjahr mit, fünf Desinformationskampagnen staatlich unterstützter Akteure gestoppt zu haben. Die Bevölkerung ist also Fälschungen von Fotos, Videos und Tonaufnahmen per KI ausgeliefert. Sie sind oft satirisch gemeint und werden teilweise auch entsprechend gekennzeichnet. Es gibt aber auch ein gefälschtes Video von Kanzler Scholz, dessen „Urheber“ sich unter Berufung auf die Kunstfreiheit einer Kenntlichmachung als Fälschung verwahrte. Das Kammergericht Berlin untersagte es wegen einer Verletzung des Namensrechts des Noch-Kanzlers.
Es gab 2024 auch Stimmen, etwa der Friedrich-Naumann-Stiftung, die Beispiele für den Einsatz von KI zur Stärkung der Demokratie benannte, etwa durch die Stärkung der Barrierefreiheit mittels eines Avatars für Gebärdensprache. Darauf, dass KI die demokratische Willensbildung des Volkes beeinträchtigen kann, wies AlgorithmWatch hin. Die Organisation hatte mit Blick auf die Wahlen zum EU-Parlament im Juni 2024 den Output von Sprachmodellen untersucht. Sie bemängelte, dass Anbieter von KI-Bildgeneratoren offenbar nicht verhindern konnten, dass ihre Systeme Bilder von realen EU-Parlamentskandidaten hervorbringen und so den Wettbewerb verzerren. Der Medienexperte Felix Beilharz berichtete zum Thema Demokratie und KI bei Linkedin über einen selbst durchgeführten Versuch. Er hat die wichtigsten Chatbots mit den 38 Fragen des Wahl-O-Mats gefüttert. Die Antworten sollten jeweils mit „stimme zu“, „neutral“ oder „stimme nicht zu“ gegeben werden, basierend auf dem Verständnis der politischen und gesellschaftlichen Welt des Bots. Das Ergebnis: Gesamtsieger waren die Grünen. CDU/CSU und FDP lagen durchgehend (fast) ganz hinten. Ganz hinten liegt bei allen Chatbots die AfD. Wer auf KI-Positionen vertraut und diese als Wahlempfehlung übernimmt, hat der autonomen Technik auf Basis von Verzerrungen, die ausländische Datenpools hervorbringen, seinen Anteil an der Staatswillensbildung übertragen.
Im Jahr 2024 gab es auch eine kontroverse Debatte darüber, ob es vom Auftrag zur Öffentlichkeitsarbeit der Regierung umfasst ist, dass die Aktentasche des Bundeskanzlers auf Tiktok eine Karriere als „Politikinfluencer“ machen darf. Das ist nicht nur deshalb interessant, weil die BfDI ein Verfahren vor dem Verwaltungsgericht Köln gegen die Bundesregierung führt, das ihr Amtsvorgänger angestoßen hat. Die Regierung klagt gegen das Verbot ihrer Facebook-Fanpage als zentrale Kommunikationsplattform. Die BfDI erwartet von der nächsten Bundesregierung zumindest im selben Umfang Kommunikation auf datenschutzfreundlichen Diensten wie Mastodon wie auf den werbefinanzierten Diensten von Meta & Co. Das klingt nicht nach einem Facebook-Verbot. Vielleicht nimmt sie es ja zurück, und die Klage erledigt sich.
Tiktok ist das zentrale Medium der Jugend und stammt aus China. Hier wird befürchtet, dass Peking nicht nur Einfluss auf die angezeigten Inhalte nimmt, sondern dass chinesische Behörden zudem auf die Daten des Bundeskanzlers zugreifen. Wie löst man so ein Problem? In den USA muss der oberste Gerichtshof klären, ob die App am 19. Januar vom Markt genommen werden muss, wenn der chinesische Eigentümer sein USA-Geschäft nicht bis dahin verkauft hat. Einen Tag später ist Donald Trump Präsident. Ihm hat der Dienst Erfolge unter jungen Wählern beschert. Deshalb erwägt er, sich gegen das Verbot starkzumachen. Die Regierung in Albanien wiederum will Tiktok ab 2025 für ein Jahr sperren, um die Jugend zu schützen. Damit dürfte sie unter jungen Menschen kaum punkten. Nächstes Jahr finden in Albanien Parlamentswahlen statt. Die Opposition wirft der Regierung wegen des Tiktok-Verbots Demokratiegefährdung und Machtmissbrauch vor. In Brüssel hat die EU-Kommission schließlich im Dezember ein Verfahren gegen Tiktok eingeleitet, um unter anderem zu prüfen, ob russische Einflussnahme auf der Plattform zu einer Verzerrung der Wahlergebnisse in Rumänien führte.
In Deutschland hat die Bundesnetzagentur dieses Jahr ihre Aufgabe als Digital Services Coordinator (DSC) aufgenommen. Er überwacht die Einhaltung der Vorgaben des DSA. Die Lösung der Probleme scheint zu voraussetzungsvoll für unseren aktuellen rechtlichen Ansatz. Am Ende gilt das Böckenförde-Diktum: „Der freiheitliche, säkularisierte Staat lebt von Voraussetzungen, die er selbst nicht garantieren kann.“ Zudem passt vieles nicht zusammen. Die Bildungspolitik etwa diskutiert auf der einen Seite Handy- und Social-Media-Verbote an Schulen. Zugleich führt sie ohne erkennbare Grundrechtefolgenabschätzung autonome KI-Systeme in Schulen und Hochschulen ein. Dabei ist die Verwendung generativer KI potentiell hochriskant, und sie verlangt weit mehr Kompetenz von Lehrern und Schülern als ein soziales Netzwerk. Die Lernkurve ist gigantisch, auch wenn man sie gar nicht erkennt.
5. Die Freiheit braucht Daten für die Sicherheit
Auch die Sicherheit durch Daten stand dieses Jahr im Fokus. Im Oktober scheiterte im Bundesrat das sogenannte Sicherheitspaket der Ampelkoalition in wesentlichen Teilen. Die Länderkammer monierte zu viel und nicht zu wenig Datenschutz. Nun muss sich die neue Bundesregierung mit dem Ausgleich der Bürgerrechte auf Schutz der Privatsphäre auf der einen Seite und der Sicherheit der Menschen zur Wahrung ihrer Freiheit auf der anderen Seite befassen. Es geht beim Thema „Daten für die Sicherheit zum Schutz der Freiheit“ konkret um eine Datenspeicherung auf Vorrat zur Bekämpfung schwerer Verbrechen in engen Grenzen. Der EuGH lässt das zu. Das Bundesverfassungsgericht (BVerfG) hat sich im Oktober 2024 in der sogenannten BKAG II-Entscheidung mit einem Detail, nämlich der vorsorgenden Speicherung der von Sicherheitsbehörden erhobenen Daten befasst. Diese ist nun an noch strengere Voraussetzungen geknüpft als nach der BKAG I-Entscheidung aus dem Jahr 2016. Ein Staat, der nicht alle rechtskonformen Möglichkeiten der Digitalisierung ausschöpft, damit seine Bürger frei und sicher leben, handelt verantwortungslos. Wenn die neue Bundesregierung das nächste Gesetz über „Daten für die Sicherheit“ erlässt, wird es vermutlich wieder in Karlsruhe landen. Dort muss eine grundsätzliche Lösung zur Befriedung des für Bürger und Staat fundamentalen Spannungsfeldes von Freiheit und Sicherheit gefunden werden. Das gilt insbesondere vor dem Hintergrund, dass Anwendungen autonomer KI im Sinne der KI-VO etwa für staatliche und polizeiliche Zwecke in Karlsruhe erst noch verfassungsrechtlich eingeordnet werden müssen.
Fazit: Die Digitalpolitik braucht einen neuen Anfang. Es liegen viele große Steine auf dem Weg der künftigen Bundesregierung. Nun kann sie daraus frei nach Goethe etwas Schönes bauen. Einen kleinen Wunsch kann sie vielleicht gleich zu Beginn der Amtszeit erfüllen. Wer einen neuen Personalausweis bekommt, der kann dessen Online-Ausweisfunktion erst nutzen, wenn er diese freigeschaltet hat. Das ist vielen zu kompliziert. Vielleicht kann man das ändern, und der Ausweis wird schon freigeschaltet ausgeliefert. Digitalisierung und Entbürokratisierung bekämen dann einen kleinen Schub. Das wäre kein Gamechanger, aber ein guter Vorsatz für ein gesundes und erfolgreiches 2025 als erstem Jahr einer neuen Zeitrechnung der Digitalisierung mit Daten für Freiheit, Sicherheit und Wohlstand.
Professor Dr. Rolf Schwartmann ist Leiter der Kölner Forschungsstelle für Medienrecht an der Technischen Hochschule Köln, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und geschäftsführender Mitherausgeber der im Februar 2025 erstmals erscheinenden Zeitschrift für Europäisches Daten- und Informationsrecht (EuDIR).