Datenschutz, Datentreuhänder, KI: DSK-Vorsitzende Hansen im Interview
Veröffentlicht am 22.02.2024
Marit Hansen ist nicht nur Schleswig-Holsteins Landesbeauftragte für Datenschutz, sondern derzeit auch Vorsitzende der Datenschutzkonferenz (DSK). Im Interview spricht sie über neue Herausforderungen durch Künstliche Intelligenz, die DSGVO, neue Perspektiven für Datentreuhänder und die Zusammenarbeit ihrer Behörde mit der Privatwirtschaft.
Frau Hansen, es gab im letzten Jahr ein Treffen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), das unter dem Motto „Der Data Act und die Zukunft des Datenschutzes“ stand. Wie sehen Sie die Zukunft des Datenschutzes?
Die Zukunft des Datenschutzes ist einerseits durch bestehende Regelungen vorgezeichnet. Insbesondere durch die Datenschutz-Grundverordnung (DSGVO) und alles, was damit seit 2018 umgesetzt wurde. Andererseits befindet sich vieles im Wandel. Nachbesserungen werden vorgeschlagen und diskutiert. Die Weitergabe von Daten und Datenrecht sind große Themen, insbesondere ihre europäischen Rechtsgrundlagen Data Act, Data Governance Act und Digital Services Act. Außerdem gibt es bahnbrechende technische Entwicklungen, die sich wiederum im Recht widerspiegeln. Mit dem EU AI Act reagiert die Europäische Union auf Entwicklungen, die seit 2023 mit voller Wucht auf uns zurollen, nämlich KI in der Hand von Nutzern und Nutzerinnen. Durch Tools der Text- und Bildgenerierung ist das Thema in der breiten Gesellschaft angekommen. Datenschutz ist am Ende aber nur ein Puzzleteil. Alle, die in dem Bereich eine Rolle spielen – die Aufsichten in den verschiedenen betroffenen Rechtsgebieten, die Verantwortlichen, die Dienstleister –, müssen jetzt größer denken, damit wir den Weg zu einer fairen Informationsgesellschaft ebnen können.
Müssen sich auch die Arbeitsschwerpunkte der Datenschützer und Datenschützerinnen ändern?
Ich glaube, alle müssen sich verändern, auch wir. Vor allem müssen wir darauf achten, nicht allein beim Datenschutz hängen zu bleiben. Wir müssen in Zusammenarbeit mit anderen Aufsichten verhindern, dass wir mit den richtigen Datenschutzinstrumenten zu falschen Lösungen kommen. Zum Beispiel könnte das Datenschutzrecht der Monopolisierung Vorschub leisten. Für solche Szenarien muss der Datenschutz einen gewissen Weitblick entwickeln. Wir sind gut aufgestellt, können jedoch noch viel lernen.
Und wie steht es in Sachen Veränderung um das Gesetzeswerk? Finden Sie, gerade mit Blick auf KI, eine Reform oder eine Anpassung der DSGVO sinnvoll?
Nein. Zum einen, weil sich Reformen auf EU-Ebene leicht zu regelrechten Lobby-Schlachten entwickeln können. Zum anderen geht es bei der DSGVO, die ich generell für gelungen halte, eher darum, sie richtig zu interpretieren. Wir brauchen mehr Klarheit darüber, wie die DSGVO im Einzelfall zu verstehen ist – kein Wunder, dass der Europäische Gerichtshof (EuGH) viel zu tun hat. Und für mehr Klarheit bedarf es nicht immer der legislativen Ebene. Hier können auch Standards, Best Practices, Leuchtturmprojekte oder bestimmte Codes of Conduct zum Einsatz kommen. Sie arbeiten unterhalb der Gesetzesebene und bringen trotzdem Fortschritte in puncto Klarheit. Enormes Gewicht hat zudem natürlich die Rechtsprechung. Da sind wir wieder beim EuGH, der in dieser Zeit viele Entscheidungen veröffentlicht.
Die Veränderungen in der Nutzung von Daten und Künstlicher Intelligenz – die wir ja auch im Alltag erleben – sind gerade sehr groß. Wir haben nun viel über Anpassungen von Gesetzestexten und den klarstellenden Charakter von Gerichtsentscheidungen gesprochen. Welche Impulse können Strategien wie die Datenstrategie in solchen Zeiten setzen?
Datenstrategien brauchen Visionen und Perspektiven. Sie müssen die Umsetzungsschritte gleich mitdenken. Der Forschungsbereich muss gestärkt werden und datenbasierter arbeiten. Es geht jetzt um die Frage, wie Datenschutzrecht, Datenschutzpraxis und Risikobeherrschung gleich mitgedacht und in Lösungen umgesetzt werden können. Auch die Datentreuhänder-Systeme und -Mechanismen sind hier wichtig.
Woran hakt es besonders beim Zusammenspiel von Innovation, Datenschutz und Datenethik?
Es beginnt schon damit, dass die Daten und Metadaten unzureichend standardisiert sind. Dann wird eine sinnvolle Weiterbearbeitung und das Zusammenführen von Erkenntnissen aus mehreren Quellen schwierig. Wir sollten uns jedoch auch stärker mit Zukunftstechnologien beschäftigen. Zum Beispiel mit dem sogenannten Federated Learning: Hier findet maschinelles Learning dezentral, etwa auf verschiedenen Endgeräten, statt. Am Ende füttern die generierten Ergebnisse ein großes Datenmodell – ohne dass dabei personenbezogene Daten weitergereicht werden. Die technischen Möglichkeiten sind da, jedoch gibt es derzeit wenig Bereitschaft, Konzepte auszuprobieren und voranzubringen. Da würde ich mir Machbarkeitsstudien mit echten Laboren wünschen.
Könnte denn der Datentreuhänder für Sie eine tragende Rolle für den Datenaustausch in der Forschung spielen?
Selbstverständlich. Vielfach denken die Leute gleich an eine zentrale Datenbank, in der alle Daten zusammenlaufen. Das muss aber nicht sein, denn selbst ein Datentreuhänder-Modell kann föderiert sein. Daten liegen dezentral an verschiedenen Stellen und werden dann bedarfsorientiert und nur soweit erlaubt für die Forschung zusammengeführt. Aus meiner Perspektive beschränkt sich das Treuhänder-Konzept nicht auf die Funktion als Datenspeicher, sondern umfasst ebenso Instanzen, mit denen Bedingungen an die Verarbeitung von Daten durchgesetzt werden können. Das heißt: Die Verwendung von Daten wird an bestimmte Zwecke gebunden oder nur für vordefinierte Verarbeitungen zugelassen, während andere Nutzungen ausgeschlossen werden. Zugleich können Datentreuhänder Standards in der Datenverarbeitung setzen, um Daten mit bestimmten Garantien auszustatten: Garantien wie eine funktionierende Pseudonymisierung oder eine Aggregation bestimmter Auswertungen, ohne dass jemand später mit den identifizierenden Rohdaten hantieren muss.
Das klingt nach einem sehr umtriebigen Datentreuhänder-Modell …
Richtig. Und dennoch folgt daraus nicht unbedingt eine Machtkonzentration bei dem Datentreuhänder. Hier gibt es ein spannendes Konzept, das so wahrscheinlich noch nicht in der Praxis zu finden ist, die sogenannte Oblivious Pseudonymization as a Service: Diejenige Instanz, die die Pseudonymisierung durchführt, weiß nicht, welche Daten sie pseudonymisiert und welche Pseudonyme dafür vergeben werden. Der Datentreuhänder wäre durch Kryptotechnik also blind und hätte kein Mehr an Informationen. Er könnte dann wirklich neutral sein, würde nicht nur vorbringen: „Ich will eure Daten nicht, vertraut mir!“, sondern auch: „Ich komme technisch gar nicht an eure Daten!“. Ich kenne die wissenschaftlichen Papiere dazu und habe großes Interesse, dass solche Konzepte praxistauglich werden. Wenn es sich in der Realität bewährt, könnte es zu einem neuen Standard werden.
Gibt es denn Hemmnisse dafür?
Die Herausforderung ist die Definition des Geschäftsmodells. So etwas kostet Geld. „Quick & dirty“ reicht nicht, wenn Zuverlässigkeit und Vertrauenswürdigkeit gewährleistet sein sollen. Im Gesundheitsbereich kommt noch die Frage hinzu: Wie kommen Daten, die schon auf eine gewisse Art pseudonymisiert sind, an einen Treuhänder? Und man muss immer klären, was zu tun ist, wenn es doch zu einer Datenpanne oder einem Missbrauch personenbezogener Daten kommt. Hier sind zudem Haftungs- und Versicherungsfragen zu beachten.
Bräuchte es bei diesem Konzept nicht zwei getrennte Organisationen? Eine, die pseudonymisiert oder anonymisiert, und eine, die die Daten verfügbar macht?
Das ist eher eine juristische Frage der exakten Grenzziehung. Selbst bei zwei getrennten Organisationen bleibt die Frage: Kann sich die eine vollständig blind machen, wenn sie gleichzeitig doch ihren Pseudonymisierungsdienstleister steuern muss? Wichtig ist, dass das Konzept technisch funktioniert. Und sollte eine Trennung zwischen Organisationen gefordert sein, müsste im Vorfeld auch geregelt sein, wie damit umzugehen ist, wenn sich Besitzverhältnisse oder die Firmenstruktur beim Dienstleister ändern.
Ein heikles Thema. Wäre es dann nicht sinnvoll, wenn der Datentreuhänder im staatlichen Besitz wäre?
Ich glaube jedenfalls, der Staat wäre schlecht beraten, wenn er bestimmte Funktionen aus dem öffentlichen Bereich herauslöst, gerade wenn es um Datenverarbeitungen des hoheitlichen Handelns geht. Besonders wichtig ist dabei die Infrastrukturverantwortung des Staats. Allerdings darf er bei eigenen Systemen keine Abstriche an Professionalität machen. Nicht jede kleine Behörde ist technisch dazu in der Lage. Außerdem ist der IT-Fachkräftemangel meines Wissens im öffentlichen Bereich noch stärker ausgeprägt als in der freien Wirtschaft. Dennoch: Datentreuhänder-Services komplett an die Privatwirtschaft auszulagern, wirft zumindest heikle Fragen auf: nach den Besitzverhältnissen, nach den Folgen einer möglichen Insolvenz, generell nach bedenklichen Abhängigkeiten. Da können schnell Aspekte der nationalen Souveränität betroffen sein. Für mich sollte der Staat gerade in Sachen Infrastruktur die Hoheit behalten. Lange Zeit gab es einen Privatisierungstrend – der hat sich zuletzt umgekehrt.
Sie haben die Landesdatenschutzbehörden als „konstruktive Begleiter bei der Umsetzung europäischer Datenschutzbestimmungen“ bezeichnet. Wie stark ist denn die Nachfrage nach solchen Begleitern?
Ich kann nicht für alle Bundesländer sprechen, meine Einblicke reichen jedoch über Schleswig-Holstein hinaus. Tatsächlich erfreut sich unsere Beratung einer hohen Nachfrage. Sie ist vielleicht sogar schon zu hoch für die Ressourcen der Behörden. Der Standard bei den Anfragenden variiert. Ich versuche mal, in zwei Gruppen einzuteilen: Gruppe eins hat sich in fünf Jahren DSGVO weit entwickelt. Sehr häufig gibt es kundige Datenschutzbeauftragte, die sich mit dem Thema beschäftigt haben. Sie haben gute Vorstellungen von Datenschutzfolgenabschätzungen und kennen die Verantwortlichkeiten. Wenn solche Unternehmen ein Konzept zur Prüfung schicken, ist es aufgrund der hohen Qualität relativ einfach, eine Stellungnahme abzugeben. Dann gibt es noch eine andere Gruppe, bei der es heißt: „Ich habe da mal eine Frage, ihr müsst nur noch ,Ja‘ sagen!“ Mitunter erhalte ich private E-Mails mit der Bitte, doch endlich meinen Segen zu etwas zu geben. Manchmal schaltet sich direkt ein Landrat ein. Das Problem: Es fehlen die wichtigsten Informationen zum konkreten Vorhaben. Ohne die können wir allerdings nicht arbeiten. Notwendig ist eine Darstellung der Verfahren, des Datenflusses, der Risiken und der technischen und organisatorischen Gegenmaßnahmen. Aber ich bin optimistisch, dass auch diese Gruppe bei der Professionalisierung Fortschritte macht – wir unterstützen dabei.
