Mit ihrer Rede auf dem 26. Datenschutzkongress in Berlin am 13.05.2025 hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider, ein klares Signal gesetzt. Datenschutz sei kein Verhinderer von Digitalisierung, sondern ihre demokratische Grundlage. In ihrer Keynote benannte sie konkrete rechtspolitische Forderungen, äußerte sich zu den Entwicklungen rund um elektronische Patientenakten (ePA), Künstliche Intelligenz (KI) und Nachrichtendienste und forderte zugleich eine digitalpolitische Vision, die europäische Werte nicht preisgibt.
Elektronische Patientenakte
Ein zentrales Thema der Rede (abrufbar hier) war die Einführung der elektronischen Patientenakte (ePA), die sich weiterhin Datenschutzbedenken gegenüber sieht. Specht-Riemenschneider wies allerdings darauf hin, dass inzwischen signifikante Verbesserungen vorgenommen worden seien. Gleichwohl gelte, dass nur eine zeitnahe Behebung von Mängeln das Vertrauen der Bürger erreichen könne. Sie forderte in diesem Zusammenhang erneut ein Vetorecht der Datenschutzaufsicht bei datenschutzkritischen Gesetzesvorhaben.
Künstliche Intelligenz
Auch beim Thema KI positionierte sich die BfDI deutlich. Sie stützt die Linie des Europäischen Datenschutzausschusses (EDSA), wonach das Training von KI-Modellen mit personenbezogenen Daten grundsätzlich auch auf Grundlage des berechtigten Interesses zulässig sein kann, sofern eine tragfähige Interessenabwägung stattfindet. Angesichts erster Praxismodelle von Unternehmen wie Doctolib wird teilweise die Öffnung der DSGVO zu Zwecken des KI-Trainings vorgeschlagen. Laut der BfDI müsse dann etwa im Rahmen einer KI-Datenschutzverordnung „handfeste Kriterien“ beschreiben, unter welchen Bedingungen „KI-Training mit personenbezogenen Daten zulässig ist“.
Zudem wendet sie sich gegen die sogenannten „Infektionsthese“, die bei einmal rechtswidrig trainierten KI-Modellen eine weitere Nutzung verhindert. Vielmehr solle, wenn nachweislich ein anonymisierter Zustand erreicht werden kann, eine Weiterverwendung zulässig sein. Zudem pocht sie weiter darauf, die Aufsicht über den Einsatz von KI bei den Datenschutzbehörden zu belassen. Gegenteiliges hatte damals die Ampel-Regierung geplant.
Sicherheit braucht Grundrechtsschutz
Im Bereich der Sicherheitspolitik formulierte die BfDI eine zentrale Leitlinie: „Der Preis für unsere Sicherheit darf nie unsere Freiheit sein“. Dies gelte insbesondere für datengetriebene Ermittlungsmaßnahmen, deren Risiken sich mit jeder gesammelten Information potenzieren. Sie sprach sich für eine homogene, behördlich gesteuerte IT-Infrastruktur (Projekt P20) und eine starke datenschutzrechtliche Aufsicht aus, um die Balance zwischen Sicherheit und Freiheit zu wahren. Besonders kritisch sieht sie zudem die fortlaufenden Diskussionen um die Kontrolle der Nachrichtendienste. Specht-Riemenschneider fordert, dass die Datenschutzaufsicht über diese Dienste bei ihrer Behörde verbleibt, da diese bereits heute über einen umfassenden Überblick verfüge.
Datenschutz als Standortvorteil
Zudem wünscht sie, Datenschutz nicht als regulatorisches Hemmnis, sondern als Standortvorteil zu begreifen. In einem globalen Wettbewerb, in dem die USA auf Kommerzialisierung und China auf Überwachung setzen, könne Europa mit einem wertebasierten und ausgeglichenen Modell punkten. Eine entsprechende Umsetzung wünscht sie sich vom neuen Digitalminister.
Beteiligung, Beratung und digitale Öffentlichkeit
Ein zentrales Anliegen der BfDI ist die Förderung einer breiteren gesellschaftlichen Akzeptanz für Datenschutz. Dazu solle auch Projekte wie das KI-Reallabor beitragen. Außerdem sei schon im frühen Stadium von Gesetzgebungsprozessen eine Einbindung notwendig. Behörden müssten zudem prüfen, wie sie datenschutzkonform in sozialen Netzwerken präsent sein können, um ihren Informationsauftrag auch tatsächlich zu erfüllen.
Fazit
Die Keynote der BfDI auf dem 26. Datenschutzkongress markiert wie schon seit Beginn ihrer Amtszeit eine inhaltliche und stilistische Neuausrichtung der Datenschutzaufsicht in Deutschland. Sie stellt nicht nur datenschutzrechtliche Anforderungen klar, sondern formuliert auch eine politische Vision. Datenschutz als konstituierendes Element digitaler Souveränität, eingebettet in ein europäisches Wertesystem, dass Innovation fördert und nicht verhindert. Für Unternehmen bedeutet dies, einen strategischen Umgang mit personenbezogenen Daten, der Transparenz, Zweckbindung und Rechtskonformität nicht als Last, sondern als Legitimitätsvoraussetzung ernst nimmt.
