Im Fokus: Häufige Fehler beim Einsatz von KI
Online-Version lesen | Keine Bilder? Hier steht warum!
Logo der BlnBDI
Newsletter
2/2025

Liebe Leserinnen und Leser,

die neue Bundesregierung steht vor großen politischen Herausforderungen. Welche Eckpunkte sie dabei aus Sicht des Datenschutzes berücksichtigen sollte, haben meine Kolleg:innen aus Bund und Ländern und ich auf der Datenschutzkonferenz Ende März beschlossen.

Aus unserer Sicht braucht es unter anderem endlich gesetzliche Vorgaben für den Datenschutz in der Arbeitswelt, eine bessere Abstimmung europäischer Digitalgesetze und einen verpflichtenden Grundrechtecheck für Sicherheitsgesetze. Mehr Befugnisse für Sicherheitsbehörden dürfen nicht auf Kosten der Grundrechte gehen. Mehr zu den Eckpunkten können Sie im ersten Beitrag lesen.

Beschäftigt hat uns auch ein anderes Vorhaben aus dem Koalitionsvertrag: Union und SPD streben „im Interesse der Wirtschaft“ eine Bündelung von Zuständigkeiten und Kompetenzen bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit an.

Im Interesse der Wirtschaft liegt es aber auch, mit den Strukturen der lokalen Datenschutzaufsicht eine zuverlässige und auf dem kurzen Wege erreichbare Ansprechpartnerin zu haben. Man wird sich daher genau anschauen müssen, wo eine Bündelung von Zuständigkeiten beim Bund tatsächlich Sinn ergibt und wo nicht. Im zweiten Beitrag erläutere ich daher wie die Datenschutzaufsicht auf die Koalitionspläne schaut und welche Vorschläge wir haben.

Weitere Themen in dieser Ausgabe sind erste Erkenntnisse aus den laufenden Prüfverfahren zum Einsatz von KI-Anwendungen, die Proteste gegen die Abschaffung des Informationsfreiheitsgesetzes (IFG) auf Bundesebene, unsere Beteiligung am Forschungsprojekt „Sicher im Datenverkehr“ und die anstehenden Termine unser Schulungsreihe „Starthilfe Datenschutz“.

Zuletzt noch ein Terminhinweis: Am 26. Mai 2025 wird mein Jahresbericht 2024 veröffentlicht. Eine Zusammenfassung der wichtigsten Themen und den Link zum kompletten Bericht erhalten Sie in einer Sonderausgabe unseres Newsletters.

Eine gute Lektüre wünscht

Unterschrift

Meike Kamp

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Aktuelles
DSK-Forderungen an die neue Bundesregierung

Die Datenschutzkonferenz hat auf ihrer 109. Konferenz am 26. und 27. März 2025 in Berlin zentrale Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft beschlossen. Die künftige Bundesregierung müsse die Digitalisierung in Europa voranbringen und eine menschenzentrierte Datennutzung sicherstellen, heißt es in dem Papier.

Die Eckpunkte in Kürze:

  1. Gesetzgebungsprojekte zur Novellierung des Bundesdatenschutzgesetzes und zum Beschäftigtendatenschutz finalisieren
  2. Systematische Grundrechtechecks bei der Fortentwicklung der modernen Sicherheitsarchitektur durchführen
  3. Bessere Abstimmung von EU-Digitalrechtsakten und DSGVO
  4. Produktive Rahmenbedingungen für KI, Forschung und Innovation im Einklang mit dem Datenschutz gesetzgeberisch gestalten
  5. DSK-Kriterien für Souveräne Clouds berücksichtigen und Datenschutzcockpit ausbauen

Das ausführliche Eckpunktepapier und unsere Pressemitteilung stehen auf unserer Website zur Verfügung.

Weiterlesen  >
 

Aktuelles
Koalitionspläne zum Umbau der Datenschutzaufsicht

In ihrem Koalitionsvertrag erklären die Unionsparteien und die SPD, Zuständigkeiten für die Datenschutzaufsicht im Wirtschaftsbereich bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bündeln zu wollen. Bislang sind für den Großteil der Wirtschaftsunternehmen die 16 Landesdatenschutzbehörden zuständig.

Die Datenschutzaufsicht über Berliner Unternehmen liegt seit Jahrzehnten bei der Berliner Datenschutzbeauftragten. Die Mitarbeitenden und die Behörde selbst verfügen über ein tiefes Verständnis der lokalen Wirtschaft und haben über Jahre hinweg umfassende Beratungsnetzwerke aufgebaut.

Diese Nähe zu den Unternehmen ermöglicht eine schnelle und effektive Erreichbarkeit und Ansprechbarkeit, was insbesondere für kleine und mittelständische Unternehmen, Start-ups und Personen mit freien Berufen von großem Vorteil ist. Diese Gruppen machen immerhin 99,2 % der Unternehmen in Deutschland aus und profitieren erheblich von den Standortvorteilen einer lokalen Datenschutzaufsicht – zum Beispiel dem Schulungsangebot der Starthilfe Datenschutz. Eine zentralisierte Aufsicht beim Bund könnte diese Vorteile nicht bieten.

Die Berliner Datenschutzbeauftragte informiert regelmäßig den Senat und das Abgeordnetenhaus über Erkenntnisse aus ihrer Aufsichtstätigkeit. Diese Informationen sind entscheidend für Gesetzesinitiativen und die Gestaltungsmöglichkeiten in wichtigen Zukunftsfeldern wie Digitalisierung, Datenwirtschaft und Künstliche Intelligenz. Eine Zentralisierung würde bedeuten, dass wichtige Erkenntnisquellen aus diesen Bereichen verloren gehen und ausschließlich dem Bund überlassen würden.

Die Berliner Datenschutzbeauftragte ist nah dran an den Menschen, um die es geht. Datenschutz betrifft alle Menschen in ihren Grundrechten. Dies zeigt sich nicht zuletzt an den zahlreichen Anfragen und Beschwerden von Bürger:innen, die jedes Jahr bei der Behörde eingehen – allein im letzten Jahr erreichten über 6.000 Anfragen die Datenschutzbeauftragte. Mit der Berliner Datenschutzbeauftragten haben auch die Bürger:innen eine bewährte Ansprechpartnerin vor Ort.

Zentralisierung bedeutet nicht automatisch Effizienzsteigerung oder Entbürokratisierung. Das Ziel sollte sein, Rechtssicherheit durch einheitliche Auslegung und weniger Bürokratie durch einfachere Verfahren mit klaren Zuständigkeiten zu erreichen.

Für den Bereich des Datenschutzes haben die Landesdatenschutzbehörden am 26. März 2025 eigene Vorschläge für Reformen vorgelegt, um Koordinierungsprozesse und einheitliche Auslegungen durch einfachere Verfahren weiter zu optimieren – ohne dabei die Vorteile einer lokalen und föderalen Aufsicht zu verlieren.


Weiterlesen  >
 

Gut zu wissen
Welche Fehler Unternehmen beim Einsatz Künstlicher Intelligenz machen

Aufgrund des derzeitigen Enthusiasmus um Künstliche Intelligenz (KI) wagen  viele Unternehmen erste Schritte mit KI-Systemen. Häufig geht mit der Entwicklung und dem Einsatz von KI-Systemen die Verarbeitung einer großen Menge personenbezogener Daten einher. Inwiefern dabei Berliner Unternehmen die Datenschutzbestimmungen einhalten, prüfen wir derzeit in mehreren Verfahren.

Im Fokus der Verfahren stehen zunächst zwei wesentliche Fragen:

  1. Welche Rechtsgrundlage wird für die Verarbeitung von personenbezogenen Daten genutzt? Viele Unternehmen stützen sich hier auf das berechtigte Interesse nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Danach ist die Rechtmäßigkeit davon abhängig zu machen, dass die Verarbeitung zur Wahrung der berechtigten Interessen der Verantwortlichen oder Dritter erforderlich ist und keine schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.
  2. Wird die Entwicklung oder der Einsatz von KI gegenüber den betroffenen Personen transparent gemacht? Viele Unternehmen informieren die betroffenen Personen bisher entweder gar nicht oder nicht ausreichend über ihre Datenverarbeitung im Zusammenhang mit ihren KI-Systemen. So haben wir zum Beispiel KI-Chatbots auf Websites ohne Informationen zur damit einhergehenden Verarbeitung personenbezogener Daten vorgefunden.

Dieser Verstoß gegen die Informationspflichten nach Art. 13 bzw. Art. 14 DSGVO kann sich unmittelbar auf die Rechtmäßigkeit der Datenverarbeitung auswirken. Gerade wenn sich Verantwortliche auf die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen berufen, gehen wir nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) davon aus, dass dies unzulässig ist, wenn betroffenen Personen nicht einmal das berechtigte Interesse mitgeteilt wird, auf das sich die Verantwortlichen berufen.

Drei Beispiele aus den KI-Prüfverfahren

  1. Bei einem Unternehmen, das ein KI-basiertes Forderungsmanagement anbietet, haben wir unter anderem geprüft, ob die vorgebliche Anonymisierung der Daten der Schuldner:innen zum Training der eingesetzten KI-Modelle tatsächlich zu anonymen Daten ohne Re-Identifizierungsmöglichkeit führt. Das Unternehmen setzt die betreffenden KI-Systeme in erster Linie ein, um eine personalisierte Ansprache zur erfolgreicheren Eintreibung von Forderungen zu ermöglichen. Zusätzlich haben wir uns auf die Profilbildung einzelner Schuldner:innen und eine etwaig damit zusammenhängende verbotene automatisierte Entscheidungsfindung über die Einleitung gerichtlicher Schritte des Unternehmens gegen die Schuldner:innen fokussiert.
  2. In einem weiteren Fall prüften wir eine kommerzielle Fotoplattform, die nach unserer derzeitigen Kenntnis bereits ins Internet hochgeladene Fotos, die zumindest zum Teil als personenbezogen einzustufen waren, Unternehmen gegen Bezahlung unter anderem für das Training von KI-Modellen anbot. Dieses Vorgehen war nur teilweise in der Datenschutzerklärung der Plattform abgebildet.
  3. Bei einer Immobilienvermittlungsplattform ist uns im Rahmen eines Beschwerdeverfahrens aufgefallen, dass der Betreiber die abgeschlossene und neu hinzukommende Kommunikation mit Kund:innen für das Training eines KI-Systems zur effizienteren Bearbeitung von Kundenanfragen nutzte, ohne jedoch die Kund:innen auf diese Verarbeitung hinzuweisen.

In allen Fällen dauern die Prüfverfahren aktuell noch an. Weitere Informationen und Beispiele zu den KI-Verfahren finden sich im Jahresbericht 2024, der am 26. Mai 2025 veröffentlicht wird.

 

Aktuelles
Transparenz statt Abschaffung: Die Zukunft des IFG

In den Koalitionsverhandlungen von CDU, CSU und SPD wurde zunächst die Abschaffung des Informationsfreiheitsgesetzes (IFG) diskutiert. Die Konferenz der Informationsfreiheitsbeauftragten (IFK) kritisierte diesen Ansatz in einer Pressemitteilung vehement. „Wir brauchen in diesen Zeiten nicht weniger, sondern gerade mehr Transparenz und dafür ein modernes Gesetz“, so Thüringens Informationsfreiheitsbeauftragter Tino Melzer, der in diesem Jahr IFK-Vorsitzender ist.

Das IFG hat sich als unverzichtbares Instrument zur Informationsbeschaffung etabliert, insbesondere in Zeiten von Fake News und Desinformation. Es stärkt das Vertrauen in staatliches Handeln und ist ein wichtiger Bestandteil der demokratischen Teilhabe. Mitunter dient es dazu, Missstände aufzudecken und zu beseitigen.

Mit dem kürzlich veröffentlichten Koalitionsvertrag wird nun eine Reform des IFG angestrebt, um „Mehrwert für Bürger:innen und Verwaltung“ zu schaffen. Die IFK fordert eine Weiterentwicklung hin zu einem modernen Transparenzgesetz mit automatischen Veröffentlichungspflichten.

Weiterlesen  >
 

Termine
Starthilfe Datenschutz

Richtig informieren und dokumentieren: Unsere Schulungsreihe „Starthilfe Datenschutz“ widmet sich von Mai bis Juli 2025 den Transparenz- und Dokumentationspflichten. Wo fallen Daten in meinen Systemen an? Wie dokumentiere ich das in einem Verarbeitungsverzeichnis? Was muss ich in der Datenschutzerklärung zu meiner Website angeben?

Aufgrund der großen Nachfrage wird am 3. Juli 2025 zudem die Einführungsveranstaltung zur Starthilfe Datenschutz zu „Datenschutzgrundlagen: Basisüberblick DSGVO“ wiederholt.

Alle Schulungen sind kostenlos und richten sich an Berliner Gründer:innen und in Berlin ansässige Vereine, Start-ups und Kleinunternehmen. Die Anmeldung ist über unsere Website möglich.

Programm >
 

Aus der Behörde
Forschungsprojekt „Sicher im Datenverkehr“

Im Rahmen unserer Tätigkeit als Aufsichtsbehörde beschäftigen wir uns seit Jahren mit Internetwerbung. Diese beruht nach wie vor auf der Überwachung durch eine unüberschaubare Anzahl an Drittparteien. Regelmäßig steht diese Überwachung in Konflikt mit den datenschutzrechtlichen Regelungen, da eingeholte Einwilligungen aufgrund mangelnder Information der Betroffenen nicht wirksam sind und die Datenschutzgrundsätze von Transparenz und Fairness nicht umgesetzt werden.

Im Rahmen des Forschungsprojekts „Sicher im Datenverkehr“ ermitteln wir zusammen mit unseren Partner:innen aus Wirtschaft und Forschung die Risiken, die den Nutzer:innen durch die Techniken personalisierter Internetwerbung entstehen.

Dabei nehmen wir verschiedene Personalisierungsverfahren in den Blick: Angefangen von Werbung, die darauf basiert, das Verhalten von Individuen im Internet zu erfassen und daraus Schlüsse für künftiges Verhalten zu ziehen, über weniger invasive Alternativen wie kontextbasierte Werbung bis hin zu neueren Ansätzen, bei denen Interessensprofile nicht mehr in den Unternehmensdatenbanken, sondern potenziell datenschutzfreundlicher auf den Endgeräten und unter der Kontrolle der Nutzer:innen gespeichert werden.

Darauf aufbauend untersuchen wir die Wirksamkeit verschiedener Varianten der Vermittlung dieser Risiken durch narrative und grafische Darstellungen. Nur eine wirksame Vermittlung der Risiken kann zu informierter Teilhabe und Rechtskonformität der Personalisierungsverfahren der Internetwerbung führen.

Weiterlesen  >
 

In den Medien
KI im Alltag – Wo macht Künstliche Intelligenz das Leben leichter?

Egal ob bei personalisierten Geburtstagskarten, beim Schreiben an das Finanzamt oder im Haushalt: Künstliche Intelligenz verspricht passgenaue Formulierungsvorschläge, gibt Einschätzungen zu juristischen Sachverhalten und lernt, welche Hindernisse beispielsweise ein Saugroboter umfahren soll. Künstliche Intelligenz ist längst in vielen Bereichen unseres Alltags angekommen. Rund die Hälfte der Menschen in Deutschland nutzt KI bereits im privaten Bereich. Und die Zahl der Einsatzmöglichkeiten wächst.

Doch was davon ist Spielerei? Wo kann Künstliche Intelligenz wirklich eine Entlastung sein? Was sollte ich als Nutzer:in beachten? Und was passiert eigentlich mit meinen Daten? Diesen und weiteren Fragen widmet sich der Deutschlandfunk in seiner einstündigen Sendung „Marktplatz“ vom 17. April 2025, an der diverse KI-Expert:innen, darunter auch der Leiter unseres Referats zu Künstlicher Intelligenz, teilnahmen.

Anhören >
 

Aus den Gremien
Datenschutzkonferenz (DSK)

  • Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft, Entschließung vom 27. März 2025

Konferenz der Informationsfreiheits-Beauftragten (IFK)

  • Mehr Transparenz und Open Data nach der Bundestagswahl, Entschließung vom 13. März 2025

Europäischer Datenschutzausschuss (EDSA)

  • EDPB-EDPS Letter on European Commission draft proposal on simplification of record-keeping under the GDPR vom 8. Mai 2025
  • Opinion 07/2025 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data by the European Patent Organisation vom 6. Mai 2025
  • Opinion 06/2025 regarding the extension of the European Commission Implementing Decisions under the GDPR and the LED on the adequate protection of personal data in the United Kingdom vom 6. Mai 2025
  • Guidelines 02/2025 on processing of personal data through blockchain technologies vom 14. April 2025
  • Statement 2/2025 on the implementation of the PNR Directive in light of CJEU Judgment C-817/19 vom 19. März 2025
  • EDPB Letter on the procedural rules regulation vom 14. März 2025
  • Recommendations 1/2025 on the 2027 WADA World Anti-Doping Code vom 13. Februar 2025
  • Statement 1/2025 on Age Assurance vom 12. Februar 2025
 

Der Newsletter der Berliner Beauftragten für Datenschutz und Informationsfreiheit erscheint einmal im Quartal.

Laden Sie gern weitere Interessierte ein und leiten Sie den folgenden Link zur Anmeldung weiter: Newsletter abonnieren

 Redaktion
Presse- und Öffentlichkeitsarbeit
Kontakt: newsletter@datenschutz-berlin.de

Impressum
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59-61
10555 Berlin
Tel.: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de

Verantwortlich im Sinne des § 18 Abs. 2
Medienstaatsvertrag: Meike Kamp

Datenschutzerklärung

Wenn Sie keine weiteren E-Mails wünschen,
können Sie hier den Newsletter abbestellen.
 
Dieses E-Mail wurde mit Dialog-Mail versendet!