Toolbar-Menü

Entschließung vom 26. März 2025: Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft

Eine Demokratie beweist ihre Stärke dann, wenn sie die Grundrechte der Bürgerinnen und Bürger auch angesichts großer Herausforderungen gewährleistet. Zu diesen Grundrechten zählt auch das Recht auf Datenschutz, das sich angesichts der fortschreitenden Digitalisierung zu einem zentralen Grundrecht entwickelt. Datenschutz wirkt nicht nur als informationelle Selbstbestimmung, sondern ist auch Basis für freie Meinungsäußerung und politische Partizipation. Deutschland kommt zudem innerhalb Europas daten- und digitalpolitisch eine Schlüsselrolle zu. Umso entscheidender ist es, dass die künftige Bundesregierung ein stimmiges daten- und digitalpolitisches Maßnahmenpaket vorlegt, welches die nachhaltige Digitalisierung in Europa voranbringt und menschenzentrierte Datennutzung sicherstellt.

In diesem Sinne fordert die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK):

  1. Die Gesetzgebungsprojekte zur Novellierung des Bundesdatenschutzgesetzes und zum Beschäftigtendatenschutz zu finalisieren.

Die bereits begonnenen Gesetzgebungsvorhaben müssen wieder aufgegriffen werden. Das schafft Rechtssicherheit für diejenigen, die in Wirtschaft und Verwaltung Verantwortung tragen, und sichert eine einheitliche Anwendung des Datenschutzrechts in Deutschland.

Die Novellierung des Bundesdatenschutzgesetzes drängt. Vor allem gilt dies für:

  • Regelungen zum Scoringverfahren in Folge der Rechtsprechung des Europäischen Gerichtshofs
  • eine zentrale Zuständigkeitsregelung bei innerstaatlichen, länderübergreifenden Sachverhalten (One-Stop-Shop)
  • die Institutionalisierung der DSK mit einer Geschäftsstelle. Die DSK als gemeinsame Instanz der Datenschutzaufsichtsbehörden sichert eine effektive Datenschutzaufsicht. Sie bietet eine einheitliche Ansprechpartnerin für Wirtschaft und Verbände, fördert Synergieeffekte bei der Zusammenarbeit und baut Bürokratie ab. Auch das Zusammenwirken von Datenschutzaufsicht und anderen Aufsichtsbehörden, die Aspekte der Digitalisierung überwachen, wird unter Einbeziehung der DSK besser strukturiert. So wird der Aufbau klarer und nachhaltiger Kooperationsbedingungen der beteiligten Behörden erreicht.

Ein Beschäftigtendatenschutzgesetz sollte insbesondere das Unionsrecht konkretisieren durch Regelungen:

  • zum Einsatz von algorithmischen Systemen
  • zu den Grenzen der Verhaltens- und Leistungskontrolle
  • zu Rahmenbedingungen der Einwilligung im Beschäftigtenverhältnis
  • zu Datenverarbeitungen auf der Grundlage von Kollektivvereinbarungen
  • zu Beweisverwertungsverboten
  • zu Datenverarbeitungen im Bewerbungs- und Auswahlverfahren
  1. Einen systematischen Grundrechtecheck bei der Fortentwicklung der modernen Sicherheitsarchitektur durchzuführen.

Angesichts eingriffsintensiver Techniken wie Gesichtserkennung, biometrischer Fernerkennung, automatisierter Datenanalysen und Künstlicher Intelligenz ist die Bundesregierung gefordert, zusätzliche Befugnisse der Sicherheitsbehörden grundrechtssensibel und verfassungskonform zu realisieren. Aufbauend auf der bereits begonnenen und fortzuführenden unabhängigen wissenschaftlichen Untersuchung der Sicherheitsgesetze von Bund und Ländern muss die Bundesregierung:

  • den rechtsstaatlichen Rahmen für moderne, digitale Befugnisse setzen
  • die Streubreite eingriffsintensiver Maßnahmen eindämmen
  • den Grundrechtsschutz durch Verfahren und die Transparenz sicherstellen
  • für Integrität und Qualität polizeilicher Daten Sorge tragen
  • die Datenschutzaufsicht als integralen Bestandteil der Sicherheitsarchitektur garantieren

Die Bundesregierung muss angesichts der enormen technischen Möglichkeiten die Grundrechteverträglichkeit ihrer Gesetzesentwürfe systematisch überprüfen und dabei die Rechtsprechung des Bundesverfassungsgerichts beachten.

  1. Sich in Europa dafür einzusetzen, dass EU-Digitalrechtsakte und Datenschutzgrundverordnung (DSGVO) besser aufeinander abgestimmt werden

Die Digitalrechtsakte der EU[1] verfehlen bisher das Ziel einer effektiven Gesamtregelung der Datennutzung. Die DSGVO als grundlegende und technologieoffene allgemeine Regelung des Datenschutzrechts gilt umfassend, ist aber an einigen Punkten mit den Digitalrechtsakten schwer vereinbar. Im Interesse von Rechtssicherheit und effektivem Grundrechtsschutz besteht Handlungsbedarf. Beispielsweise können die in der DSGVO garantierten Betroffenenrechte aufgrund der technischen Architektur in KI-Anwendungen nicht uneingeschränkt verwirklicht werden. Hier könnte und sollte ein gleichwertiger Schutz von Betroffenenrechten für die KI-Technologie als bereichsspezifisches Datenschutzrecht geregelt werden. Auch Synergien können z. B. erreicht werden:

  • bei der Regelung der Rechtsfolgen von Konformitätsbewertungen
  • oder durch die Zusammenfassung von Meldepflichten (z. B. NIS-2-Richtlinie und DSGVO)

Die Digitalrechtsakte verfolgen das legitime Ziel, den digitalen Binnenmarkt zu stärken und eine angemessene Datennutzung zu ermöglichen. Datennutzung und Datenschutz müssen dabei Hand in Hand gehen, deswegen bedarf es dringend insgesamt einer rechtlichen Fortentwicklung des europäischen Rechtsrahmens bei gleichwertigem Schutz aber besserer Harmonisierung der Rechtsakte untereinander.

  1. Produktive Rahmenbedingungen für KI, Forschung und Innovation im Einklang mit dem Datenschutz gesetzgeberisch zu gestalten.

Forschung, Gesundheitsmanagement, Verkehrskonzepte, nutzerfreundliche Produktentwicklung, Effektivität der Verwaltung und viele nützliche, sinnvolle und für die Menschen gewinnbringende Vorhaben können entscheidend vorangebracht werden, wenn Forschende, Entwicklerinnen und Entwickler sowie Verantwortliche in Wirtschaft, Politik und Verwaltung auf eine gute Datengrundlage und den Einsatz künstlicher Intelligenz zurückgreifen können. Dabei müssen die Rechte derjenigen gewahrt bleiben, um deren Daten es geht. Die Förderung von Innovation muss daher mit den im Unionsrecht verankerten Werten menschenzentriert und vertrauenswürdig Hand in Hand gehen.

Hierfür braucht es:

  • Rechtsgrundlagen, die Rechtssicherheit schaffen, ob und unter welchen Bedingungen Daten für Forschung und das Training von KI-Modellen bzw. KI-Systemen verwendet werden dürfen. Der zu schaffende Ausgleich zwischen öffentlichen oder wirtschaftlichen Interessen und den Grundrechten und Schutzansprüchen Einzelner im Hinblick auf personenbezogene Daten muss in den wesentlichen Grundzügen durch den Gesetzgeber festgelegt werden, indem die Öffnungsklauseln der DSGVO konstruktiv genutzt werden.
  • eine Aufsichtsstruktur, die unabhängig agiert und sich mit der Abwägung von Grundrechten auskennt.
  • Experimentierräume in Form von behördlich kontrollierten Reallaboren, die die Erprobung innovativer Datennutzungen ausloten, ohne den Grundrechtsschutz Betroffener zu vernachlässigen. Ein solches Reallaborgesetz sollte den Rahmen zur Zusammenarbeit zwischen den an der Beaufsichtigung der Reallabore beteiligten Behörden und die Vernetzung zwischen Europa, Bund, Ländern und Aufsichtsbehörden beschreiben – vor allem, aber nicht nur im KI-Umfeld.
  1. Die von der DSK erstellten Kriterien für Souveräne Clouds zu berücksichtigen und das Datenschutzcockpit zügig weiter auszubauen.

Eine bürgerfreundliche und datenschutzkonform digitalisierte Verwaltung ist Grundbedingung für einen modernen Staat und eine moderne Wirtschaft. Eine weitere Grundvoraussetzung ist digitale Souveränität. Dazu müssen IT-Lösungen auch die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherstellen. In Bezug auf den Einsatz von Souveränen Clouds hat die DSK Kriterien formuliert, die erfüllt sein sollten oder müssen, um von einer „Souveränen Cloud“ sprechen zu können.[2] Dazu zählen:

  • Nachvollziehbarkeit durch Transparenz
  • Datenhoheit und Kontrollierbarkeit
  • Offenheit
  • Vorhersehbarkeit und Verlässlichkeit
  • regelmäßige Prüfung der aufgestellten Kriterien

Die Fortentwicklung der Registermodernisierung setzt voraus, dass auch das Datenschutzcockpit zügig ausgebaut wird. Das Datenschutzcockpit ist ein notwendiges Transparenz- und Steuerungsinstrument für die einzelnen Bürgerinnen und Bürger, um die Kontrolle über Datenflüsse und -verarbeitungen in einer digitalisierten Verwaltung zu behalten.

[1] Etwa Data Governance Act, Data Act, Artificial Intelligence Act, Digital Services Act, Digital Markets Act, European Health Data Space u.a.

[2] Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 11. Mai 2023: Kriterien für Souveräne Clouds, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/2023-05-11_DSK-Positionspapier_Kriterien-Souv-Clouds.pdf

Eine Demokratie beweist ihre Stärke dann, wenn sie die Grundrechte der Bürgerinnen und Bürger auch angesichts großer Herausforderungen gewährleistet. Zu diesen Grundrechten zählt auch das Recht auf Datenschutz, das sich angesichts der fortschreitenden Digitalisierung zu einem zentralen Grundrecht entwickelt. Datenschutz wirkt nicht nur als informationelle Selbstbestimmung, sondern ist auch Basis für freie Meinungsäußerung und politische Partizipation. Deutschland kommt zudem innerhalb Europas daten- und digitalpolitisch eine Schlüsselrolle zu. Umso entscheidender ist es, dass die künftige Bundesregierung ein stimmiges daten- und digitalpolitisches Maßnahmenpaket vorlegt, welches die nachhaltige Digitalisierung in Europa voranbringt und menschenzentrierte Datennutzung sicherstellt.

In diesem Sinne fordert die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK):

  1. Die Gesetzgebungsprojekte zur Novellierung des Bundesdatenschutzgesetzes und zum Beschäftigtendatenschutz zu finalisieren.

Die bereits begonnenen Gesetzgebungsvorhaben müssen wieder aufgegriffen werden. Das schafft Rechtssicherheit für diejenigen, die in Wirtschaft und Verwaltung Verantwortung tragen, und sichert eine einheitliche Anwendung des Datenschutzrechts in Deutschland.

Die Novellierung des Bundesdatenschutzgesetzes drängt. Vor allem gilt dies für:

  • Regelungen zum Scoringverfahren in Folge der Rechtsprechung des Europäischen Gerichtshofs
  • eine zentrale Zuständigkeitsregelung bei innerstaatlichen, länderübergreifenden Sachverhalten (One-Stop-Shop)
  • die Institutionalisierung der DSK mit einer Geschäftsstelle. Die DSK als gemeinsame Instanz der Datenschutzaufsichtsbehörden sichert eine effektive Datenschutzaufsicht. Sie bietet eine einheitliche Ansprechpartnerin für Wirtschaft und Verbände, fördert Synergieeffekte bei der Zusammenarbeit und baut Bürokratie ab. Auch das Zusammenwirken von Datenschutzaufsicht und anderen Aufsichtsbehörden, die Aspekte der Digitalisierung überwachen, wird unter Einbeziehung der DSK besser strukturiert. So wird der Aufbau klarer und nachhaltiger Kooperationsbedingungen der beteiligten Behörden erreicht.

Ein Beschäftigtendatenschutzgesetz sollte insbesondere das Unionsrecht konkretisieren durch Regelungen:

  • zum Einsatz von algorithmischen Systemen
  • zu den Grenzen der Verhaltens- und Leistungskontrolle
  • zu Rahmenbedingungen der Einwilligung im Beschäftigtenverhältnis
  • zu Datenverarbeitungen auf der Grundlage von Kollektivvereinbarungen
  • zu Beweisverwertungsverboten
  • zu Datenverarbeitungen im Bewerbungs- und Auswahlverfahren
  1. Einen systematischen Grundrechtecheck bei der Fortentwicklung der modernen Sicherheitsarchitektur durchzuführen.

Angesichts eingriffsintensiver Techniken wie Gesichtserkennung, biometrischer Fernerkennung, automatisierter Datenanalysen und Künstlicher Intelligenz ist die Bundesregierung gefordert, zusätzliche Befugnisse der Sicherheitsbehörden grundrechtssensibel und verfassungskonform zu realisieren. Aufbauend auf der bereits begonnenen und fortzuführenden unabhängigen wissenschaftlichen Untersuchung der Sicherheitsgesetze von Bund und Ländern muss die Bundesregierung:

  • den rechtsstaatlichen Rahmen für moderne, digitale Befugnisse setzen
  • die Streubreite eingriffsintensiver Maßnahmen eindämmen
  • den Grundrechtsschutz durch Verfahren und die Transparenz sicherstellen
  • für Integrität und Qualität polizeilicher Daten Sorge tragen
  • die Datenschutzaufsicht als integralen Bestandteil der Sicherheitsarchitektur garantieren

Die Bundesregierung muss angesichts der enormen technischen Möglichkeiten die Grundrechteverträglichkeit ihrer Gesetzesentwürfe systematisch überprüfen und dabei die Rechtsprechung des Bundesverfassungsgerichts beachten.

  1. Sich in Europa dafür einzusetzen, dass EU-Digitalrechtsakte und Datenschutzgrundverordnung (DSGVO) besser aufeinander abgestimmt werden

Die Digitalrechtsakte der EU[1] verfehlen bisher das Ziel einer effektiven Gesamtregelung der Datennutzung. Die DSGVO als grundlegende und technologieoffene allgemeine Regelung des Datenschutzrechts gilt umfassend, ist aber an einigen Punkten mit den Digitalrechtsakten schwer vereinbar. Im Interesse von Rechtssicherheit und effektivem Grundrechtsschutz besteht Handlungsbedarf. Beispielsweise können die in der DSGVO garantierten Betroffenenrechte aufgrund der technischen Architektur in KI-Anwendungen nicht uneingeschränkt verwirklicht werden. Hier könnte und sollte ein gleichwertiger Schutz von Betroffenenrechten für die KI-Technologie als bereichsspezifisches Datenschutzrecht geregelt werden. Auch Synergien können z. B. erreicht werden:

  • bei der Regelung der Rechtsfolgen von Konformitätsbewertungen
  • oder durch die Zusammenfassung von Meldepflichten (z. B. NIS-2-Richtlinie und DSGVO)

Die Digitalrechtsakte verfolgen das legitime Ziel, den digitalen Binnenmarkt zu stärken und eine angemessene Datennutzung zu ermöglichen. Datennutzung und Datenschutz müssen dabei Hand in Hand gehen, deswegen bedarf es dringend insgesamt einer rechtlichen Fortentwicklung des europäischen Rechtsrahmens bei gleichwertigem Schutz aber besserer Harmonisierung der Rechtsakte untereinander.

  1. Produktive Rahmenbedingungen für KI, Forschung und Innovation im Einklang mit dem Datenschutz gesetzgeberisch zu gestalten.

Forschung, Gesundheitsmanagement, Verkehrskonzepte, nutzerfreundliche Produktentwicklung, Effektivität der Verwaltung und viele nützliche, sinnvolle und für die Menschen gewinnbringende Vorhaben können entscheidend vorangebracht werden, wenn Forschende, Entwicklerinnen und Entwickler sowie Verantwortliche in Wirtschaft, Politik und Verwaltung auf eine gute Datengrundlage und den Einsatz künstlicher Intelligenz zurückgreifen können. Dabei müssen die Rechte derjenigen gewahrt bleiben, um deren Daten es geht. Die Förderung von Innovation muss daher mit den im Unionsrecht verankerten Werten menschenzentriert und vertrauenswürdig Hand in Hand gehen.

Hierfür braucht es:

  • Rechtsgrundlagen, die Rechtssicherheit schaffen, ob und unter welchen Bedingungen Daten für Forschung und das Training von KI-Modellen bzw. KI-Systemen verwendet werden dürfen. Der zu schaffende Ausgleich zwischen öffentlichen oder wirtschaftlichen Interessen und den Grundrechten und Schutzansprüchen Einzelner im Hinblick auf personenbezogene Daten muss in den wesentlichen Grundzügen durch den Gesetzgeber festgelegt werden, indem die Öffnungsklauseln der DSGVO konstruktiv genutzt werden.
  • eine Aufsichtsstruktur, die unabhängig agiert und sich mit der Abwägung von Grundrechten auskennt.
  • Experimentierräume in Form von behördlich kontrollierten Reallaboren, die die Erprobung innovativer Datennutzungen ausloten, ohne den Grundrechtsschutz Betroffener zu vernachlässigen. Ein solches Reallaborgesetz sollte den Rahmen zur Zusammenarbeit zwischen den an der Beaufsichtigung der Reallabore beteiligten Behörden und die Vernetzung zwischen Europa, Bund, Ländern und Aufsichtsbehörden beschreiben – vor allem, aber nicht nur im KI-Umfeld.
  1. Die von der DSK erstellten Kriterien für Souveräne Clouds zu berücksichtigen und das Datenschutzcockpit zügig weiter auszubauen.

Eine bürgerfreundliche und datenschutzkonform digitalisierte Verwaltung ist Grundbedingung für einen modernen Staat und eine moderne Wirtschaft. Eine weitere Grundvoraussetzung ist digitale Souveränität. Dazu müssen IT-Lösungen auch die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherstellen. In Bezug auf den Einsatz von Souveränen Clouds hat die DSK Kriterien formuliert, die erfüllt sein sollten oder müssen, um von einer „Souveränen Cloud“ sprechen zu können.[2] Dazu zählen:

  • Nachvollziehbarkeit durch Transparenz
  • Datenhoheit und Kontrollierbarkeit
  • Offenheit
  • Vorhersehbarkeit und Verlässlichkeit
  • regelmäßige Prüfung der aufgestellten Kriterien

Die Fortentwicklung der Registermodernisierung setzt voraus, dass auch das Datenschutzcockpit zügig ausgebaut wird. Das Datenschutzcockpit ist ein notwendiges Transparenz- und Steuerungsinstrument für die einzelnen Bürgerinnen und Bürger, um die Kontrolle über Datenflüsse und -verarbeitungen in einer digitalisierten Verwaltung zu behalten.

[1] Etwa Data Governance Act, Data Act, Artificial Intelligence Act, Digital Services Act, Digital Markets Act, European Health Data Space u.a.

[2] Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 11. Mai 2023: Kriterien für Souveräne Clouds, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/2023-05-11_DSK-Positionspapier_Kriterien-Souv-Clouds.pdf

Seite drucken