Datenschutzkonferenz fordert Reform der DSGVO: Neue Spielregeln für KI und IT-Hersteller

Datenschutzkonferenz fordert Reform der DSGVO: Neue Spielregeln für KI und IT-Hersteller. Die digitale Transformation schreitet mit rasanter Geschwindigkeit voran – und der Datenschutz muss Schritt halten. Auf ihrer 110. Konferenz in Berlin hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) nun klare Forderungen für die Zukunft des europäischen Datenschutzes formuliert. Im Zentrum stehen zwei zentrale Themen: der Einsatz künstlicher Intelligenz und die Verantwortung von IT-Herstellern.

Klare Regeln für künstliche Intelligenz gefordert
Die rasante Entwicklung im Bereich der künstlichen Intelligenz stellt Unternehmen und Behörden vor neue Herausforderungen. Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen, bringt es auf den Punkt: „Das unterstreichen auch die Gespräche, die wir derzeit mit der niedersächsischen Wirtschaft und Verwaltung führen. Es gibt einen dringenden Bedarf für klare Rahmenbedingungen zum Einsatz künstlicher Intelligenz."

Die DSK fordert daher spezifische Rechtsgrundlagen für die Entwicklung, das Training und den Betrieb von KI-Modellen. Diese sollen direkt in der Datenschutz-Grundverordnung (DSGVO) verankert werden. „Rechtssicherheit und Innovation gehen Hand in Hand", betont Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit und amtierende DSK-Vorsitzende. „Anpassungen in der DSGVO zum Einsatz von KI sollten eindeutig und ausbalanciert sein."

Stärkung der Betroffenenrechte beim KI-Einsatz
Besonders wichtig ist der DSK die Stärkung der Rechte betroffener Personen. Wer personenbezogene Daten in einem KI-System verarbeitet, muss die betroffenen Personen darüber künftig ausdrücklich informieren. Zudem sollen Bürgerinnen und Bürger das Recht erhalten, von den Verantwortlichen Auskunft über den Einsatz eines KI-Systems zur Verarbeitung ihrer Daten zu bekommen.

Die DSK zeigt sich dabei durchaus realistisch: In Einzelfällen, in denen Betroffenenrechte technisch nur mit unverhältnismäßigem Aufwand umgesetzt werden können, sollen funktionsäquivalente oder kompensatorische Schutzmaßnahmen greifen. Der Grundsatz bleibt jedoch klar: Transparenz und Auskunftsrechte müssen auch im KI-Zeitalter gewährleistet sein.

IT-Hersteller in die Pflicht nehmen
Ein weiterer Schwerpunkt der DSK-Beschlüsse betrifft die Verantwortlichkeit für datenschutzkonforme Produkte. Bisher tragen oft kleine und mittlere Unternehmen die Hauptlast der datenschutzrechtlichen Verantwortung, obwohl sie auf Produkte angewiesen sind, deren Gestaltung sie nicht beeinflussen können. Dies soll sich ändern.

„Mit der Herstellerhaftung wird die datenschutzrechtliche Verantwortung dorthin verlagert, wo die Entscheidungen über die Gestaltung von IT-Produkten getroffen werden", erklärt Meike Kamp. Hersteller und Anbieter von IT-Diensten sollen künftig verpflichtet werden, die Grundsätze des Datenschutzes bereits bei der Entwicklung ihrer Produkte zu berücksichtigen. Auch Auftragsverarbeiter sollen ihre Dienste von vornherein datenschutzkonform ausgestalten müssen.

Diese Verlagerung der Verantwortung würde besonders kleine und mittlere Unternehmen entlasten, die derzeit oft nicht in der Lage sind, datenschutzkonforme Prozesse in den genutzten Produkten durchzusetzen, aber dennoch die rechtliche Verantwortung tragen müssen.

Kritik an den Plänen der EU-Kommission
Die DSK äußert sich kritisch zu den Vorschlägen der EU-Kommission im Rahmen des sogenannten Digital Omnibus. Die Kommission hat weitreichende Änderungen der DSGVO, der KI-Verordnung und weiterer Digitalrechtsakte vorgeschlagen. Nach Ansicht der DSK sind diese jedoch oft nicht zu Ende gedacht.

„Die vorgeschlagenen Regelungen sind an vielen Stellen nicht bis zu Ende gedacht und führen damit zu neuen Rechtsunsicherheiten", kritisiert Meike Kamp. Besonders problematisch: Einfache gesetzliche Anpassungen, die eine echte Entlastung von kleinen und mittleren Unternehmen bewirken würden, bleibe die Kommission schuldig. Das selbst gesetzte Ziel des Bürokratieabbaus werde damit verfehlt.

Zudem hält die DSK den Zeitdruck, unter dem das Omnibusverfahren durchgeführt wird, für unangemessen. Es handele sich nicht nur um redaktionelle Anpassungen, sondern um fundamentale Änderungen – beispielsweise bei der Definition personenbezogener Daten. „Gemeinsam mit den europäischen Datenschutzbehörden werden wir den Vorschlag der Kommission in den kommenden Wochen detailliert analysieren und eine Stellungnahme abgeben", kündigt Meike Kamp an.

Weitere wichtige Beschlüsse
Neben den Hauptthemen KI und Herstellerhaftung beschloss die DSK weitere wichtige Maßnahmen:

**Tracking-Pixel in E-Mails:** Viele Werbe-E-Mails und Newsletter enthalten unsichtbare Tracking-Pixel, mit denen genau verfolgt werden kann, wer wann und auf welchem Gerät eine E-Mail geöffnet hat. Dafür ist eine Einwilligung notwendig, die jedoch oft nicht eingeholt wird. Die DSK wird sich 2026 mit einer Veröffentlichung diesem Thema widmen.

**Standardisierter Prüfprozess:** Mit einem neuen Prüfprozess schafft die DSK eine gemeinsame Grundlage, um den Datenschutz bei länderübergreifenden Online-Diensten von Behörden einheitlich umzusetzen. Dies hilft, das Einer-für-alle-Prinzip des Onlinezugangsgesetzes auch im Datenschutz praktisch umzusetzen.

**Gesundheitsforschung:** Eine neue Orientierungshilfe erleichtert die Abstimmung mit Datenschutzbehörden für länderübergreifende Forschungsvorhaben im Gesundheitswesen.

**Betriebliche Datenschutzbeauftragte:** Die DSK positioniert sich klar gegen eine Abschaffung betrieblicher Datenschutzbeauftragter, wie sie in der Föderalen Modernisierungsagenda diskutiert wird. Diese seien wichtige Ansprechpartner und würden für kompetente Beratung und Entlastung der Geschäftsführungen sorgen.

**Kinderschutz:** Bereits im November hatte die DSK einen Zehn-Punkte-Plan zur Verbesserung des gesetzlichen Datenschutzes von Kindern verabschiedet. Darin wird unter anderem ein Verbot personalisierter Werbung und kindgerechte Voreinstellungen in sozialen Netzwerken gefordert.

Fazit: Datenschutz für die digitale Zukunft

Die Beschlüsse der 110. Datenschutzkonferenz zeigen deutlich: Der Datenschutz muss sich weiterentwickeln, um den Herausforderungen der digitalen Transformation gewachsen zu sein. Klare Regeln für KI-Systeme, eine faire Verteilung der Verantwortung zwischen Herstellern und Nutzern sowie starke Rechte für Betroffene sind dabei die zentralen Säulen.

Die kommenden Monate werden zeigen, wie die europäischen Gesetzgeber auf diese Forderungen reagieren. Eines ist jedoch sicher: Die Datenschutzbehörden werden den Prozess kritisch begleiten und sich für ausgewogene Lösungen einsetzen, die sowohl Innovation ermöglichen als auch die Grundrechte der Bürgerinnen und Bürger schützen.