[datensicherheit.de, 18.09.2025] Als Vorsitzende der „Datenschutzkonferenz“ (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / DSK) für 2025 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) Stellung zur Zwischenkonferenz der DSK am 17. September 2025 genommen. Demnach wurden Anforderungen an den Einsatz automatisierter Datenanalysen durch Polizeibehörden verabschiedet. Zudem habe sich die DSK mit Datenübermittlungen in der Gesundheitsforschung und der Debatte um eine Reform der Datenschutz-Grundverordnung (DSGVO) befasst sowie einen Vorschlag für ihren Sitz im Beirat der Stiftung Datenschutz verabschiedet.

© Annette Koroll

Meike Kamp: Jetzt ist der Moment gekommen, einen digital souveränen Weg einzuschlagen!

Automatisierte Datenanalysen durch Polizeibehörden – Generalverdacht droht

Die DSK betont vor dem Hintergrund der aktuellen Debatte um die bundesweite Einführung komplexer Datenanalyseverfahren in den Polizeibehörden, „dass der Einsatz dieser Instrumente spezifischer Rechtsgrundlagen bedarf“.

• Die Verfahren müssten verfassungskonform ausgestaltet sein und die Digitale Souveränität des Staates wahren. In dem IT-Großprojekt „P20“ der Polizeibehörden von Bund und Ländern sehe die DSK die Möglichkeit, datenschutzkonforme und kontrollierbare Lösungen auf „Open Source“-Basis zu entwickeln.

Die bisher bekannten Datenanalyseverfahren, welche einige Landespolizeibehörden bereits einsetzten, könnten grundsätzlich alle Menschen betreffen – und zwar ohne dass sie durch ihr Verhalten einen Anlass für polizeiliche Ermittlungen gegeben hätten.

Datenschutzkonferenz betont: Bund und Länder haben sich an Vorgaben des Bundesverfassungsgerichts zu halten

„Aus der Verknüpfung großer Datenmengen können neue Erkenntnisse entstehen“, kommentiert Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit und für 2025 die DSK-Vorsitzende. Sie warnt: „Zugleich besteht die Gefahr, dass Menschen unbegründet ins Visier polizeilicher Ermittlungen geraten!“ Deshalb brauche es klare gesetzliche Regeln.

• Das Bundesverfassungsgericht habe bereits die verfassungsrechtlichen Weichen für den behördlichen Einsatz von automatisierten Datenanalysen gestellt. Die Polizeibehörden dürften solche einschneidenden Verfahren nur bei sehr schwerwiegenden Rechtsgutsverletzungen und im Rahmen sehr enger Verfahrensbestimmungen einsetzen.

Kamp erläutert: „Bisher tragen die rechtlichen Vorschriften diesen Voraussetzungen nicht ausreichend Rechnung. Für Bund und Länder gilt es, sich an die Vorgaben des Bundesverfassungsgerichts zu halten und den Einsatz von automatisierten Datenanalysen durch die Polizeibehörden verfassungskonform auszugestalten.“ Dabei müsse auch gewährleistet sein, dass keine Datenübermittlungen in Drittländer erfolgten und die Datenverarbeitungen für Justiz und Polizei rechtskonform, nachvollziehbar und beherrschbar seien. „Jetzt ist der Moment gekommen, einen digital souveränen Weg einzuschlagen!“

DSK-Orientierungshilfe für Datenübermittlungen bei internationalen Forschungskooperationen

Die DSK hat zudem eine Orientierungshilfe zu Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken beschlossen. In der Gesundheitsforschung spiele die internationale Zusammenarbeit eine wichtige Rolle. Falls dabei personenbezogene Daten verarbeitet werden, müssten die Forschungsinstitutionen indes die Anforderungen der DSGVO beachten.

• In der Praxis träten dabei aber immer wieder Fragen zur Handhabung von Übermittlungen personenbezogener Daten an Forschungspartner in außereuropäischen Ländern (Drittländer) auf.

Kamp unterstreicht: „Wenn Gesundheitsdaten in Drittländer übermittelt werden, müssen bestimmte Maßnahmen zur Wahrung der Rechte der Betroffenen getroffen werden! Mit der Orientierungshilfe stellt die Datenschutzkonferenz klar, wann eine Verarbeitung zu Forschungszwecken zulässig ist und welche Instrumente für eine Übermittlung solcher Daten in Drittländer zur Verfügung stehen.“ In jedem Fall müssten die Betroffenen informiert werden. Hierfür stelle die DSK praktische Empfehlungen bereit.

Weitere Themen: DSGVO-Reform und Vorschlag für den Sitz im Beirat der Stiftung Datenschutz

Zudem habe sich die DSK mit den aktuellen Debatten über eine Reform der europäischen Datenschutz-Grundverordnung (DSGVO) befasst: „Auf deutscher und europäischer Ebene kursieren verschiedene Ideen und Vorschläge für eine Reform der Datenschutz-Grundverordnung. Als Datenschutzbehörden werden wir diese Debatte eng begleiten. Die Grundprinzipien des Datenschutzes bilden dabei die wesentlichen Leitplanken des Schutzstandards“, so Kamp.

• Die DSK habe außerdem beschlossen, die Sächsische Datenschutz- und Transparenzbeauftragte, Dr. Juliane Hundert, für den Beirat der Stiftung Datenschutz vorzuschlagen.

Die Vertretung solle der Niedersächsische Landesbeauftragte für den Datenschutz, Denis Lehmkemper, übernehmen. Die Beiräte der Stiftung Datenschutz werden demnach auf Vorschlag verschiedener Institutionen und Organisationen für die Dauer von vier Jahren bestellt – auch der DSK stehe laut Satzung ein Beiratssitz zu.

Weitere Informationen zum Thema:

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
DSK DATENSCHUTZKONFERENZ BERLIN ‘25

DSK DATENSCHUTZKONFERENZ
Über die Datenschutzkonferenz (DSK)

DSK DATENSCHUTZKONFERENZ
Der Vorsitz der DSK

DSK DATENSCHUTZKONFERENZ
Entschließungen

DSK DATENSCHUTZKONFERENZ, 17.09.2025
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 17. September 2025: Automatisierte Datenanalyse durch Polizeibehörden verfassungskonform gestalten!

DSK DATENSCHUTZKONFERENZ
Orientierungshilfen

DSK DATENSCHUTZKONFERENZ
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder / Anwendungshinweise zu den Anforderungen an Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken

STIFTUNG DATENSCHUTZ
Stiftung Datenschutz

sachsen.de
Kurzvita der Sächsischen Datenschutz- und Transparenzbeauftragten

Niedersachsen. Klar.
Der Landesbeauftragte für den Datenschutz Niedersachsen

datensicherheit.de, 08.01.2025
Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025 / Berliner Datenschutzbeauftragte sieht u.a. Anonymisierung und Pseudonymisierung als Schwerpunkte

[datensicherheit.de, 05.09.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) meldet in ihrer Stellungnahme vom 4. September 2025, dass die unabhängigen Datenschutzaufsichtsbehörden der Länder „deutliche Kritik an einem aktuellen Gesetzesvorhaben des Bundesministeriums für Digitales und Staatsmodernisierung“ üben: Die Marktüberwachung für bestimmte grundrechtsrelevante Künstliche Intelligenz (KI) solle der Bundesnetzagentur (BNetzA) übertragen werden – unter anderem im Hoch-Sicherheitsbereich. Diese Aufgabe habe die „KI-Verordnung“ (KI-VO) aber bereits den Datenschutz-Aufsichtsbehörden zugewiesen.

© Annette Koroll

Meike Kamp zur KI-Kontrolle: Grundrechtsschutz ist kein Makel, sondern eine demokratische Notwendigkeit!

BMDS beabsichtigt, KI-Kontrolle einem neu zu schaffenden Gremium zu übertragen

„Der entsprechende Referentenentwurf führt zu einer massiven Schwächung von Grundrechten“, so die BlnBDI, Meike Kamp. Sie betont: „Laut ,KI-Verordnung’ ist es originäre Aufgabe der Datenschutzaufsichtsbehörden, in diesem Bereich der Marktüberwachung die Einhaltung von Grundrechten zu kontrollieren!“

• Stattdessen wolle nun das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) diese Aufgabe einem neu zu schaffenden Gremium übertragen. „Diese Entscheidung steht nicht zur Disposition des deutschen Gesetzgebers, weil das europäische Recht es bereits anders geregelt hat“, stellt Kamp klar.

Begründet werde dieses Vorhaben unter anderem damit, vermeintliche Hemmnisse für Innovation abbauen zu wollen, da sich „die Datenschutzbehörden primär auf den Grundrechtsschutz fokussieren“, wie es im Entwurf heiße. Betroffen seien Hochrisiko-KI‑Systeme, „sofern diese Systeme für Strafverfolgungszwecke, Grenzmanagement und Justiz und Demokratie eingesetzt werden“.

KI-Nutzung hat weitreichende Folgen – Schutz der Grundrechte demokratische Notwendigkeit

Kamp führt aus: „Die Datenschutz-Aufsichtsbehörden, die die Grundrechte der Bürgerinnen und Bürger wahren und stärken, sollen also eben deswegen künftig keine Rolle spielen bei der Aufsicht, und das in diesem sehr sensiblen Bereich. Das lässt ein merkwürdiges Verständnis der Bedeutung von Grundrechten und auch über die Aufgaben der Datenschutzaufsicht erkennen.“

• Die Landesdatenschutzbehörden wiesen im Übrigen darauf hin, „dass die Aufsichtsbehörden schon immer das Datenschutzrecht im Einklang mit anderen Grundrechten zu gewährleisten hatten“. So ermöglichten etwa Wissenschafts- und Gewerbefreiheit erst Innovationen. Dies zu berücksichtigen sei und bleibe Aufgabe der Datenschutzbehörden.

„Grundrechtsschutz ist kein Makel, sondern eine demokratische Notwendigkeit. Gerade angesichts der weitreichenden Auswirkungen, die die Nutzung von Künstlicher Intelligenz potenziell auf die Gesellschaft hat, müssen die Grundrechte der Bürgerinnen und Bürger geachtet werden!“, unterstreicht Kamp.

Von der europäischen „KI-Verordnung“ getroffene Regelungen sehen Ausgleich der Kompetenzen vor

Die Landesdatenschutzbehörden machten darüber hinaus klar, dass weder alle Kompetenzen bei der BNetzA gebündelt werden müssten noch bei den Datenschutz-Aufsichtsbehörden die gesamte Zuständigkeit der Marktüberwachung liegen müsse. Die von der europäischen „KI-Verordnung“ getroffenen Regelungen sähen einen Ausgleich der Kompetenzen vor.

• Kamps Forderung: „Diesem Weg sollte die Bundesregierung folgen!“ Die Aufsichtsbehörden des Bundes und der Länder verfügten über die Kompetenzen und Strukturen, um die Aufsicht über die KI-Systeme in den grundrechtsrelevanten Bereichen effizient und verbindlich wahrzunehmen.

Außerdem falle nach dem Gesetzentwurf der BNetzA auch die Marktaufsicht über den Einsatz von KI durch Landesbehörden zu. Dies sei jedenfalls beim Einsatz von KI für originäre Landesaufgaben verfassungswidrig.

Hintergrund: Nach Inkrafttreten der KI‐VO muss in Deutschland eine behördliche Aufsichtsstruktur eingerichtet werden

Im März 2024 hatte das Europäische Parlament die „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz“ (KI-VO) angenommen.

• Nach Inkrafttreten der KI‐VO müsse in Deutschland eine behördliche Aufsichtsstruktur eingerichtet werden. In der anstehenden Länder- und Verbändeanhörung zum Referentenentwurf werden sich die Landesdatenschutzbehörden demnach mit einer Stellungnahme beteiligen.

Die Aufsicht über den Datenschutz ist in Deutschland föderal strukturiert: Neben der Aufsicht über die Landes- und Kommunalbehörden wird auch der nicht-öffentliche Bereich grundsätzlich von den Landesdatenschutzbehörden betreut. Insgesamt gibt es 17 Landesdatenschutzbehörden in Deutschland (in Bayern zwei).

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Organisation

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

datensicherheit.de, 04.02.2025
„AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft / Eigentlich sollte der „AI Act“ für Rechtssicherheit in Europa sorgen – aktuell droht das genaue Gegenteil, so die Bitkom-Kritik

datensicherheit.de, 02.08.2024
EU-KI-Verordnung: Auf den Menschen ausgerichtete und vertrauenswürdige Künstliche Intelligenz als Ziel / Der LfDI RLP kommentiert die am 1. August 2024 in Kraft getretene Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für KI

datensicherheit.de, 24.07.2024
KI-Verordnung tritt am 1. August 2024 in Kraft / Auch Datenschutzbehörden werden KI-VO umsetzen

datensicherheit.de, 09.05.2024
Nationale Zuständigkeiten für die KI-Verordnung: Datenschutzkonferenz fordert Aufsicht aus einer Hand / Die DSK empfiehlt, als Marktüberwachungsbehörden nach der KI-VO den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie die Landesdatenschutzbehörden zu benennen

[datensicherheit.de, 06.07.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat am 4. Juli 2025 eine Meldung der unabhängigen Datenschutzaufsichtsbehörden der Länder veröffentlicht: Diese sprechen sich demnach für eine deutliche Entlastung der Verantwortlichen bei der Erfüllung der Meldepflichten der neuen NIS-2-Richtlinie in Deutschland aus.

Vereinheitlichung der Meldungen nach neuer NIS-2-Richtlinie und DSGVO

So soll es Betreibern Kritischer Infrastrukturen (KRITIS) ermöglicht werden, mit demselben Prozess sowohl Meldungen nach der neuen NIS-2-Richtlinie als auch nach der Datenschutz-Grundverordnung (DSGVO) einzureichen: Einen Vorschlag für eine entsprechende Gesetzesänderung haben die unabhängigen Datenschutzaufsichtsbehörden der Länder im Rahmen der Länder- und Verbändebeteiligung an das Bundesministerium des Innern (BMI) gesandt.

Meike Kamp, die BlnBDI, kommentiert: „Wenn von einem IT-Sicherheitsvorfall auch personenbezogene Daten betroffen sind, muss dies in der Regel auch den Datenschutzaufsichtsbehörden gemeldet werden. Statt Meldungen doppelt einreichen zu müssen, sollten Unternehmen alle Meldungen in einem Schritt erledigen können.“ Diese Vereinheitlichung würde Bürokratie abbauen, Unternehmen spürbar entlasten und die behördlichen Verfahren beschleunigen.

BSI soll zentrale Meldestelle für Sicherheitsvorfälle nach NIS-2-Richtlinie werden

Zentrale Meldestelle für Sicherheitsvorfälle nach der NIS-2-Richtlinie soll in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden. Die Datenschutzaufsichtsbehörden der Länder schlagen daher vor, dass sie gemeinsam mit dem BSI ein einheitliches digitales Verfahren für Meldungen von Vorfällen entwickeln.

Dieses Verfahren soll sowohl Meldungen nach der NIS-2-Richtlinie als auch nach der DSGVO ermöglichen, soweit ein Sicherheitsvorfall zugleich eine Datenpanne begründet. Dieses würde dann zudem den von den deutschen und europäischen Datenschutzaufsichtsbehörden bereits eingeschlagenen Weg zur Vereinheitlichung des Meldeprozesses nach Art. 33 DSGVO unterstützen.

Hintergrund zu den Meldepflichten nach NIS-2 und DSGVO

Nach der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) müssen bestimmte KRITIS-Unternehmen Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung ihrer Dienste haben, unverzüglich melden.

Eine Datenpanne liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Die DSGVO verpflichtet verantwortliche Stellen grundsätzlich dazu, eine Datenpanne innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden und unter Umständen auch die betroffenen Personen über den Vorfall zu informieren.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit, 04.07.2025
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

Bundesministerium des Innern, 24.07.2024
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung / IT-Sicherheitsvorgaben und Meldepflichten für IT-Sicherheitsvorfälle werden auf mehr Unternehmen in mehr Sektoren ausgeweitet. Die IT-Sicherheit der Bundesverwaltung wird gestärkt.

OpenKRITIS
Meldepflichten

datensicherheit.de, 11.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

[datensicherheit.de, 30.06.2025] Die Apps der KI-Anwendung „DeepSeek“ bei Google und Apple in Deutschland sind von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) als „rechtswidriger Inhalt“ gemeldet worden. Die beiden Unternehmen müssen demnach diese Meldung nun zeitnah prüfen und über eine Sperrung entscheiden. Hintergrund sei eine rechtswidrige Übermittlung von personenbezogenen Nutzerdaten der App nach China.

„DeepSeek“ unterliegt Vorschriften der europäischen Datenschutz-Grundverordnung

Die Hangzhou DeepSeek Artificial Intelligence Co., Ltd. mit Sitz in Beijing (Peking), China, betreibt den Dienst „DeepSeek“ – einen KI-gestützten multifunktionalen Chatbot. „Es besteht keine Niederlassung des Unternehmens in der Europäischen Union (EU).“ Der Dienst werde Nutzern in Deutschland unter anderem über Apps im „Google Play Store“ und im „Apple App Store“ mit deutschsprachiger Beschreibung angeboten und könne in deutscher Sprache verwendet werden. „Damit unterliegt der Dienst den Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO)!“

Laut eigener Angaben verarbeitet dieser Dienst umfangreiche personenbezogene Nutzerdaten – darunter alle Texteingaben, Chat-Verläufe und hochgeladenen Dateien sowie Informationen zum Standort, den benutzten Geräten und Netzwerken. Die gesammelten personenbezogenen Daten der Nutzer übermittele dieser Dienst an chinesische Auftragsverarbeiter und speichere diese auf Servern in China.

Für China hat die EU keinen „Angemessenheitsbeschluss“ erlassen

Die DSGVO verlange, dass die hohen EU-Datenschutzstandards auch bei der Übermittlung personenbezogener Daten in andere Länder gewahrt bleiben. Dafür brauche es entweder einen „Angemessenheitsbeschluss“ der EU oder weitere Schutzmaßnahmen, sogenannte geeignete Garantien. Für China habe die EU keinen „Angemessenheitsbeschluss“ erlassen.

Meike Kamp, die BlnBDI, kommentiert: „Die Übermittlung von Nutzerdaten durch ,DeepSeek’ nach China ist rechtswidrig!“ „DeepSeek“ habe gegenüber ihrer Behörde nicht überzeugend nachweisen können, dass Daten deutscher Nutzer in China auf einem der EU gleichwertigen Niveau geschützt sind. Sie führt aus: „Chinesische Behörden haben weitreichende Zugriffsrechte auf personenbezogene Daten im Einflussbereich chinesischer Unternehmen.“

„DeepSeek“-Nutzern stehen in China keine durchsetzbaren Rechte zur Verfügung

Zudem stünden den Nutzern von „DeepSeek“ in China keine durchsetzbaren Rechte und wirksamen Rechtsbehelfe zur Verfügung, wie sie in der EU garantiert seien. „Ich habe daher Google und Apple als Betreiber der größten App-Plattformen über die Verstöße informiert und erwarte eine zeitnahe Prüfung einer Sperrung.“

Konkret verstoße die Hangzhou DeepSeek Artificial Intelligence Co., Ltd. mit ihrem Dienst „DeepSeek“ gegen Art. 46 Abs. 1 DSGVO. Die BlnBDI hatte daher das Unternehmen am 6. Mai 2025 aufgefordert, seine Apps selbständig aus den App-Stores für Deutschland zu entfernen, die rechtswidrige Datenübermittlung nach China einzustellen oder die gesetzlichen Voraussetzungen für eine rechtmäßige Drittstaatenübermittlung zu erfüllen.

Chinesischer Anbieter hat Aufforderung der BlnBDI bisher ignoriert

Da das Unternehmen dem nicht nachgekommen sei, habe die BlnBDI von der Möglichkeit nach Art. 16 „Digital Services Act“ (DSA) Gebrauch gemacht, rechtswidrige Inhalte auf Plattformen den jeweiligen Betreiber zu melden.

• Eine entsprechende Meldung sei am 27. Juni 2025 an die Apple Distribution International Ltd. als Betreiber des „Apple App Store“ und an die Google Ireland Ltd. als Betreiber des „Google Play-Store“ ergangen. Die beiden Unternehmen müssten ihre Meldung nun zeitnah prüfen und über die Umsetzung entscheiden.

Diese Maßnahme sei in enger Abstimmung mit den Landesdatenschutzbeauftragten von Baden-Württemberg, Rheinland-Pfalz und der Freien Hansestadt Bremen sowie nach Information der „Koordinierungsstelle für digitale Dienste“ in der Bundesnetzagentur (in Deutschland für die DSA-Durchsetzung zuständig) erfolgt.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

datensicherheit.de, 18.05.2025
Datenschutz-Urteil gegen Google: Unzulässig vereinfachter Zugriff auf Nutzerdaten / Es liegt ein Verstoß bei der Google-Konto-Registrierung vor: Verbraucher wurden im Unklaren gelassen, für welche der mehr als 70 Google-Dienste Nutzerdaten verarbeitet werden sollten

datensicherheit.de, 08.02.2024
Digital Services Act: EU-weites Inkrafttreten soll Menschen im Digitalen Raum stärken / Neue EU-Regeln für Online-Plattformen müssen sich in der Praxis bewähren

[datensicherheit.de, 19.05.2025] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) hat auf ihrer Tagung am 16. Juni 2025 das Thema Innere Sicherheit im Spannungsfeld zur Freiheit aufgegriffen und Anwendungshilfen zu Künstlicher Intelligenz (KI), „Cloud Computing“ und Online-Buchungen von Arztterminen veröffentlicht.

Abbildung: DSK

DSK-Entschließung vom 16. Juni 2025: „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“

Starker Datenschutz kein Selbstzweck, sondern wesentliches Element des Rechtsstaats

Die DSK hat nach eigenen Angaben die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies soll insbesondere mittels Entschließungen, Beschlüssen, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen erfolgen.

Auf ihrer sogenannten Zwischenkonferenz am 16. Juni 2025 hat die DSK u.a. eine Entschließung zum Verhältnis von Innerer Sicherheit und Freiheit verabschiedet: Sie betont angesichts der aktuellen Debatte um die Novellierung verschiedener Sicherheitsgesetze, „dass ein starker Datenschutz kein Selbstzweck, sondern ein wesentliches Element des Rechtsstaats und die Voraussetzung für Sicherheit und Freiheit ist!“

Datenschutzrecht kommt im Rechtsstaat zentrale Bedeutung zu

„Freiheit und Sicherheit sind unabdingbare Voraussetzungen für eine Demokratie. Zur Sicherheit gehört auch, dass sich die Menschen im Land darauf verlassen können, dass der Staat und seine Institutionen ihre Rechte und Freiheiten achten, sich an verfassungskonforme Gesetze und gegebene Garantien halten!“, betont Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) und für das Jahr 2025 auch Vorsitzende der DSK.

Dem Datenschutzrecht komme dabei eine zentrale Bedeutung zu, da es staatliche Datenverarbeitungen im Einklang mit dem Rechtsstaat sicherstelle.

Angesichts potenziell hoher Risiken: Datenschutz bei KI-Systemen mit hoher Relevanz

Die DSK beschloss zudem eine Orientierungshilfe zu empfohlenen Technischen und Organisatorischen Maßnahmen (TOM) bei der Entwicklung und dem Betrieb von KI-Systemen. „Angesichts der umfangreichen Verarbeitungen personenbezogener Daten und der potenziell hohen Risiken hat der Datenschutz bei KI-Systemen eine hohe Relevanz“, so Kamp.

Die neue DSK-Orientierungshilfe soll Herstellern und Entwicklern von KI-Systemen zeigen, wie sie den Datenschutz von Anfang an berücksichtigen und damit die Rechte und Freiheiten von natürlichen Personen schützen könnten.

Beschlüsse der Datenschutzkonferenz auf Basis häufiger Fragen aus der Praxis

Weitere Beschlüsse der DSK befassen sich mit den Wirkungen des „Confidential Cloud Computing“ und dem Einsatz von Dienstleistern für die Terminverwaltung in Arztpraxen. Die DSK hat zudem eine Musterrichtlinie für Verfahren über Geldbußen der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich beschlossen.

Dazu Kamp: „Mit den Beschlüssen reagiert die Datenschutzkonferenz auf häufige Fragen aus der Praxis. Das vereinheitlicht die aufsichtsrechtlichen Verfahren in Deutschland und gibt zugleich Orientierung für die datenverarbeitenden Stellen sowie die betroffenen Personen.“

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 16.06.2025
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 16. Juni 2025: Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit

DSK DATENSCHUTZKONFERENZ, Juni 2025
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen / Version 1.0

DSK DATENSCHUTZKONFERENZ, 16.06.2025
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 16. Juni 2025: Confidential Cloud Computing

DSK DATENSCHUTZKONFERENZ, 16.06.2025
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 16. Juni 2025: Datenschutz bei der Terminverwaltung durch Heilberufspraxen Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement

DSK DATENSCHUTZKONFERENZ, 16.06.2025
Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 16. Juni 2025: Musterrichtlinien für das Verfahren über Geldbußen
der Datenschutzaufsichtsbehörden (MriDaVG)

DSK DATENSCHUTZKONFERENZ
Datenschutzkonferenz

datensicherheit.de, 28.03.2025
Wahrung der Grundrechte im Fokus: 109. DSK beschließt Forderungen an künftige Bundesregierung / Neues DSK-Papier ruft dazu auf, die Digitalisierung in Europa voranzubringen und eine menschenzentrierte Datennutzung sicherstellen

datensicherheit.de, 06.05.2024
DSK-Orientierungshilfe für Unternehmen und Behörden zum datenschutzkonformen KI-Einsatz / Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich an Unternehmen, Behörden und andere Organisationen

[datensicherheit.de, 27.05.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, hat am 26. Mai 2025 im Abgeordnetenhaus von Berlin ihren Jahresbericht 2024 vorgestellt. Dieser behandelt unter anderem Datenschutzfragen bei der Nutzung Künstlicher Intelligenz (KI) sowie Prüfverfahren zur Videoüberwachung an der Polizeiwache Kottbusser Tor und zum Einsatz biometrischer Gesichtserkennung.

Biometrische Gesichtserkennung: BlnBDI sieht Verstoß der Staatsanwaltschaft gegen das Datenschutzrecht

Im Frühjahr 2024 wurde durch Medienberichte bekannt, dass die Berliner Staatsanwaltschaft in mehreren Verfahren ein Gesichtserkennungssystem im Öffentlichen Raum eingesetzt hat: Zur Anwendung kam demnach ein System von Kameras, welches Personen verdeckt aus der Ferne erfassen und identifizieren kann.

• „Es gleicht biometrische Merkmale wie Gesichtszüge automatisiert mit Bildern einzelner Personen ab. Die anschließende Prüfung ergab, dass die zugrundeliegende Rechtsgrundlage weder speziell den Einsatz solcher Systeme regelt noch die verfassungsrechtlichen Anforderungen erfüllt.“

Die BlnBDI hat die Staatsanwaltschaft gewarnt, dass ein zukünftiger Einsatz des Gesichtserkennungssystems gegen das Datenschutzrecht verstoßen würde. „Zudem hat die Staatsanwaltschaft gegen das Datenschutzrecht verstoßen, indem sie keine Datenschutzfolgenabschätzung für das System erstellt hat und unzureichend mit der BlnBDI zusammengearbeitet hat.“

BlnBDI: Einsatz von Gesichtserkennungssystemen greift intensiv in das Grundrecht auf Informationelle Selbstbestimmung ein

Kamp betonte: „Der Einsatz von Gesichtserkennungssystemen durch Strafverfolgungsbehörden greift intensiv in das Grundrecht auf Informationelle Selbstbestimmung ein. Biometrische Merkmale sind unveränderlich. Menschen können nicht einfach ihr Gesicht absetzen. Werden sie anhand ihrer biometrischen Merkmale in der echten Welt erfasst und identifiziert, schwinden jene Bereiche, in denen sie sich anonym und ohne Spuren zu hinterlassen bewegen können.“

• Beim Einsatz solcher Systeme im Öffentlichen Raum sei eine Vielzahl unverdächtiger Personen betroffen. „Die bestehenden gesetzlichen Regelungen bieten hierfür keine ausreichende Grundlage“, monierte Kamp.

Sie nahm sodann auch Stellung zu der von ihr 2024 geprüften „rechtswidrigen Videoüberwachung an der Polizeiwache Kottbusser Tor“. Diese Dienststelle befindet sich in einem Gebäuderiegel über der Adalbertstraße. Zur Sicherung der Wache werden in der Unterführung Videokameras eingesetzt, welche sowohl die Fußwege als auch die Fahrbahn der Adalbertstraße erfassen. Zusätzlich wird der Eingangsbereich auf der Fußgängerterrasse per Video überwacht.

BlnBDI-Forderung an die Polizei, alternative Konzepte zur Videoüberwachung zu nutzen

Kamp erläuterte, dass diese Videoüberwachung „ohne ausreichende Rechtsgrundlage“ erfolgt sei und unverhältnismäßig in die Grundrechte von Passanten und Verkehrsteilnehmern eingegriffen habe. Die Polizei habe bislang nicht ausreichend geprüft, ob die Sicherheit der Wache durch mildere Mittel wie baulichere Sicherungen oder den Einsatz von Personal erreicht werden könnte.

• „Bedenken habe ich insbesondere bei der Überwachung der Fußgängerterrasse, da sich dort auch Beratungseinrichtungen befinden. Den Hilfesuchenden muss ermöglicht werden, diese Angebote wahrzunehmen, ohne dass sie dabei gezwungen sind, sich der Videoüberwachung auszusetzen. Ich habe daher gegenüber der Polizei eine Mangelfeststellung ausgesprochen.“

Die Polizei sei aufgefordert, alternative Konzepte in Betracht zu ziehen, um einen „schonenden Ausgleich zwischen Sicherheitsinteressen und Freiheitsrechten“ zu ermöglichen.

BlnBDI-Verfahren wegen mangelnder Transparenz beim KI-Einsatz

Immer mehr Unternehmen setzten KI-Anwendungen ein. Inwiefern Berliner Unternehmen dabei die Datenschutzbestimmungen einhalten, prüfe die BlnBDI derzeit in mehreren Verfahren: Die jeweiligen Verfahren seien noch nicht abgeschlossen. Im Fokus stehe dabei auch die Transparenz:

• „Oftmals werden die betroffenen Personen bisher entweder gar nicht oder nicht ausreichend über die Verarbeitung ihrer Daten in KI-Systemen informiert.“ So habe ein Berliner Unternehmen seine gesamte Kundenkommunikation für das Training eines KI-Systems zur Bearbeitung von Kundenanfragen genutzt, ohne jedoch die Kunden auf diese Verarbeitung hinzuweisen.

In einem anderen Fall habe eine Fotoplattform bereits ins Internet hochgeladene personenbezogene Fotos gegen Bezahlung unter anderem für das Training von KI-Modellen angeboten, ohne darüber zu informieren.

BlnBDI warnt vor Verletzung der DSGVO-Informationspflichten beim KI-Einsatz

Kamp gab zu bedenken, dass wer seine Kunden oder Beschäftigten nicht darüber informiert, dass ihre Daten in ein KI-System fließen, gegen die Informationspflichten der Datenschutz-Grundverordnung (DSGVO) verstößt.

• „In den nächsten Jahren werden wir unsere Prüfungen von KI-Systemen verstärken. Dabei liegt ein besonderes Augenmerk auf den Technischen und Organisatorischen Maßnahmen, die die Risiken für Betroffene minimieren, sowie auf den Diskriminierungen, die durch Verzerrungen in den Daten entstehen können.“

Auch in der Berliner Verwaltung solle mehr KI genutzt werden. Die Berliner Datenschutzbeauftragte unterstützt bei der datenschutzrechtlichen Bewertung von KI-Anwendungen durch juristische und technische Expertise, zum Beispiel durch die Beteiligung an der „Taskforce KI“ der Senatskanzlei. Angesichts der hohen Datenschutzrelevanz des Einsatzes von KI-Anwendungen für Bürger und Beschäftigte setze man sich dafür ein, „dass der Schutz personenbezogener Daten von vornherein Berücksichtigung findet!“

Bußgeld-Verhängung der BlnBDI wegen Sicherheitslücken in Praxismanagementsoftware

Bei einer Praxismanagementsoftware habe die BlnBDI eine Reihe von Sicherheitslücken festgestellt, welche es unter anderem angemeldeten Patienten ermöglicht habe, auf umfangreiche Daten anderer Patienten zuzugreifen.

Durch einen weiteren Programmierfehler sei es unberechtigten Dritten potenziell möglich gewesen, medizinische Dokumente einzusehen, welche von den Arztpraxen an die Patienten übermittelt wurden. Infolge sei ein Bußgeld von 60.000 Euro gegen den Anbieter erhoben worden.

BlnBDI nimm auch Informationsfreiheit im Land Berlin unter die Lupe

Kamp ist auch die Beauftragte für die Informationsfreiheit im Land Berlin und unterstützt Personen, welche ihr Recht auf Akteneinsicht gegenüber öffentlichen Stellen wahrnehmen möchten. Im letzten Jahr, 2024, habe sich erneut gezeigt, „dass einige Verwaltungen der Informationsfreiheit noch immer eine geringe Bedeutung beimessen und sie nicht als eigenständige öffentliche Aufgabe verstehen“.

„25 Jahre nach Inkrafttreten des Berliner Gesetzes sollten Behörden die Informationsfreiheit nicht als Bürde, sondern als originäres Aufgabengebiet betrachten und behandeln“, unterstrich Kamp.

Datenschutz von Anfang an: Beratung und Bildungsangebote der BlnBDI

Um es erst gar nicht zu Datenschutzverstößen kommen zu lassen, wendet die BlnBDI nach eigenen Angaben „viel Zeit für die Beratung, Schulung und Sensibilisierung zum Datenschutz“ auf. 2024 habe sie sich beispielsweise an der Entwicklung des digitalen Datenschutzwegweisers für Kitas – „Datenschutz im Kitaalltag – digitaler Wegweiser für Fachkräfte“ – beteiligt und die Erarbeitung von verschiedenen Handlungsleitfäden zum Kinderschutz begleitet. „Mit den Materialien werden Fachkräfte unterstützt, die Datenschutzbestimmungen kompetent umzusetzen und die Rechte der Kinder konsequent zu wahren.“

Für Vereine, Startups und Kleinunternehmen habe sie die kostenlosen Schulungen der „Starthilfe Datenschutz“ angeboten, um die Grundlagen des Datenschutzes zu vermitteln. Auch an Schulen sei die Datenschutzbeauftragte 2024 wieder präsent gewesen und habe in knapp 40 Workshops an Grundschulen Schüler über ihre Rechte, den verantwortungsvollen Umgang mit Medien und die Auswirkungen der KI-Nutzung aufgeklärt.

BlnBDI meldet Höchststand an Eingaben und Datenpannen

Im Jahr 2024 habe die Behörde „ein neuer Höchststand“ an Eingaben von Bürgern erreicht: „In Summe wandten sich Betroffene in 6.063 Fällen mit einer Beschwerde oder Beratungsanfrage an die Berliner Datenschutzbeauftragte.“

Einen neuen Rekord gab es auch bei den Datenpannen: „Insgesamt meldeten private und öffentliche Stellen 1.262 Datenpannen – das sind mehr als drei am Tag.“ Die Behörde habe 104 Verwarnungen und 164 Geldbußen in Höhe von insgesamt 80.190 Euro erlassen.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit, 26.05.2025
Jahresbericht 2024

rbb 24, 26.05.2025
Kottbusser Tor in Berlin Videoüberwachung an Kotti-Wache laut Datenschutzbeauftragter rechtswidrig

Fokus Medienbildung
Datenschutz im Kitaalltag – digitaler Wegweiser für Fachkräfte

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Service: Schulungen für Vereine, Start-ups und Kleinunternehmen

BERLIN, Senatsverwaltung für Bildung, Jugend und Familie, 21.11.2024
Datenschutz im Kitaalltag – digitaler Wegweiser für Fachkräfte

NETZPOLITIK.ORG, Sebastian Meineck, 23.08.2024
Grundrechte in Gefahr: Datenschutz-Behörde prüft Gesichtserkennung durch Berliner Staatsanwaltschaft

[datensicherheit.de, 27.03.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat in einer Meldung vom 26. März 2025 bekanntgegeben, dass sich die Datenschutzbehörden der Länder gegen die Vorschläge zur Zentralisierung der Datenschutzaufsicht wenden. Weitreichende Folgen für die regionale Wirtschaft, Bürger und freie Berufe würden ignoriert.

Landesdatenschutzbehörden sind bewährte Ansprechpartnerinnen vor Ort

Meike Kamp, die BlnBDI, kommentiert für die Datenschutzbehörden der Länder: „Wir sind nah dran an Wirtschaft, Vereinen und den Menschen in unseren Ländern. Wir kennen die örtlichen Gegebenheiten und sind unmittelbar ansprechbar. Wir sind eng vernetzt mit Unternehmen, Vereinen und Verbänden vor Ort. Auf regionale Themen und Beratungsbedarf reagieren wir zielgerichtet mit individueller Beratung, Veranstaltungen, Schulungen und Veröffentlichungen.“

Datenschutz betreffe alle. Mit den Landesdatenschutzbehörden gebe es bewährte Ansprechpartnerinnen vor Ort, die durch Veranstaltungen im Land und regionale Veröffentlichungen bekannt seien. Dadurch profitierten insbesondere kleine und mittelständische Unternehmen (KMU) sowie Freiberufler – „immerhin 99,2 Prozent der Unternehmen in Deutschland“ – in besonderer Weise von den heutigen Strukturen im Datenschutz.

Reform der Datenschutzkonferenz (DSK) begrüßt und weitere Vorschläge

Zentralisierung führe somit nicht zu Entbürokratisierung. Das eigentliche inhaltliche Ziel sei ein gemeinsames: „Rechtssicherheit durch einheitliche Auslegung und weniger Bürokratie durch einfachere Verfahren mit klaren Zuständigkeiten.“ Die Datenschutzbehörden der Länder greifen daher die Pläne aus den Koalitionsverhandlungen zur Reform der Datenschutzkonferenz (DSK) auf und schlagen nach eigenen Angaben konkret vor:

• Eine Datenschutzbehörde als Ansprechpartnerin für Unternehmen und Forscher
  Zentrale Zuständigkeit einer Aufsichtsbehörde bei länderübergreifenden Sachverhalten, z.B. bei Forschungsprojekten oder bei Konzernen mit mehreren Standorten.
• Effiziente Arbeitsteilung durch Ausweitung des Eine-für-Alle-Prinzips (EfA) auf die Datenschutzbehörden
  Das Ergebnis der Prüfung von länderübergreifend oder bundesweit eingesetzten Verfahren durch eine Landesbehörde bindet die anderen Behörden.
• Eine starke Stimme, die einheitlich entscheidet
  Die DATENSCHUTZKONFERENZ (DSK) institutionalisieren und mit einer Geschäftsstelle zum gemeinsamen Entscheidungsgremium von Bund und Ländern formen. Rechtssicherheit durch verbindliche Mehrheitsentscheidungen in der DSK schaffen.

Weitere Informationen zum Thema:

DSK
DATENSCHUTZKONFERENZ

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
DSK DATENSCHUTZKONFERENZ BERLIN ‘25

datensicherheit.de, 08.01.2025
Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025 / Berliner Datenschutzbeauftragte sieht u.a. Anonymisierung und Pseudonymisierung als Schwerpunkte

datensicherheit.de, 23.03.2025
DsiN-Forderung: Digitale Kompetenzen und Verbraucherschutz in den Koalitionsvertrag / DsiN setzt sich seit der Gründung 2006 für die Vermittlung digitaler Kompetenzen und den Schutz der Verbraucher sowie KMU im Netz ein

[datensicherheit.de, 06.03.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) bietet auch 2025 unter dem Titel „Starthilfe Datenschutz“ kostenlose Schulungen für Vereine, Start-ups und Kleinunternehmen zu Grundlagen des Datenschutzrechts an.

Abbildung: BlnBDI

„Starthilfe Datenschutz 2025“: Beispieltermine der BlnBDI-Veranstaltungsreihe

Praxisorientierte Datenschutz-Fallbeispiele

An 14 Terminen unterschiedlicher Ausrichtung werden demnach BlnBDI-Referenten die wesentlichen Aspekte des Datenschutzrechts vorstellen, welche von Vereinen und Unternehmen einzuhalten sind.

„Praxisorientiert wird anhand konkreter Fallbeispiele erklärt, was etwa beim Erstellen der Datenschutzerklärung zu beachten ist, wann ein Verarbeitungsverzeichnis angelegt werden muss und wie Daten korrekt gelöscht werden können.“ Erstmals dabei sei in diesem Jahr zudem eine Schulung zum Einsatz Künstlicher Intelligenz (KI).

Kleine Unternehmen und Vereine sollen bei der Umsetzung des Datenschutzrechts Unterstützung erfahren

„Seit 2017 unterstützen wir kleine Unternehmen und Vereine bei der Umsetzung des Datenschutzrechts. Während der Fokus anfangs auf Start-ups lag, haben wir in den letzten Jahren auch andere Kleinunternehmen und Vereine einbezogen“, so die BlnBDI, Meike Kamp.

Dies spiegele sich jetzt auch im neuen Namen der Schulungsreihe wider: „Aus der ,Start-up-Schule’ wird die ,Starthilfe Datenschutz’.“

Weitere Informationen zum Thema:

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
Datenschutz für Berliner Start-ups und Vereine / Teilnahmebedingungen

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
Service: Schulungen für Vereine, Start-ups und Kleinunternehmen / Starthilfe Datenschutz 2025

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
Anmeldung zur Schulung Datenschutzgrundlagen: Basisüberblick DSGVO / Dienstag, 8. April 2025, 10-12 Uhr (in Präsenz)

[datensicherheit.de, 02.02.2025] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern (DSK) hat nach eigenen Angaben auf ihrer 1. Zwischenkonferenz am 29. Januar 2025 in Berlin beschlossen, praktische Hilfestellungen für die effektive Anonymisierung und Pseudonymisierung von personenbezogenen Daten zu erarbeiten. Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes sowie der Länder und hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten – dies geschieht vor allem durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Richtig angewendet sind Anonymisierung und Pseudonymisierung wertvolle Werkzeuge für die Datenverarbeitung

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI ) und 2025 die DSK-Vorsitzende erläutert: „Richtig angewendet können Anonymisierung und Pseudonymisierung wertvolle Werkzeuge für die Datenverarbeitung in Forschung, Wirtschaft und im öffentlichen Sektor sein. Allerdings ist es für viele Stellen eine Herausforderung, ein geeignetes Verfahren für die Anonymisierung oder Pseudonymisierung personenbezogener Daten auszuwählen. Die Datenschutzkonferenz wird dazu konkrete Unterstützung entwickeln, die die europäischen Leitlinien für ausgewählte Einzelfälle konkretisiert.“

Europäischer Datenschutzausschuss plant, 2025 Leitlinien zur Anonymisierung zu veröffentlichen

Der Europäische Datenschutzausschuss (EDSA) plant laut Kamp, in diesem Jahr – 2025 – Leitlinien zur Anonymisierung zu veröffentlichen. Die Leitlinien zur Pseudonymisierung seien bereits erschienen. Das DSK-Papier werde auf diesen EDSA-Leitlinien aufbauen und anhand konkreter Beispiele aus medizinischer Forschung, KI-Entwicklung oder Statistik zeigen, „welche Anforderungen und Verfahren für die Pseudonymisierung und Anonymisierung wichtig sind“.

Datenschutzkonferenz hat zudem Einsatz KI-basierter Systemen in der öffentlichen Verwaltung erörtert

Die DSK habe außerdem den Einsatz von KI-basierten Systemen in der öffentlichen Verwaltung diskutiert. Eine Umfrage unter den Aufsichtsbehörden habe ergeben, dass öffentliche Stellen eine große Breite an KI-Verfahren in unterschiedlichen Bereichen und für vielfältige Zwecke entwickelten oder bereits einsetzten. Die DSK habe beschlossen, dass sich ihr seit Januar 2025 bestehender Arbeitskreis „Künstliche Intelligenz“ mit den daraus entstehenden Fragen befassen solle.

Weitere Informationen zum Thema:

datensicherheit.de, 20.01.2025
Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen / Berliner Beauftragte für Datenschutz und Informationsfreiheit begrüßt Beschluss

[datensicherheit.de, 08.01.2025] Laut einer eigenen Meldung übernimmt die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, für das Jahr 2025 den Vorsitz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Inhaltliche Schwerpunkte ihres Vorsitzes werden demnach die Themen Anonymisierung und Pseudonymisierung sein. Weitere Schwerpunkte seien die Wechselwirkung zwischen der Datenschutzgrundverordnung und den Europäischen Digitalrechtsakten in der Praxis sowie die Standardisierung von Prüfkriterien der Datenschutzaufsichtsbehörden.

Effektive Technologien zur Anonymisierung und Pseudonymisierung personenbezogener Daten gefordert

Kamp führt aus: „Die Europäische Datenstrategie ist darauf gerichtet, das Potenzial von Daten auszuschöpfen. ,Data Act’, ,Data Governance Act’ und weitere Rechtsakte fördern den Zugriff auf große Datenmengen und das Teilen von Daten. Gerade in der medizinischen Forschung, im KI-Bereich, in der Mobilität oder bei Handelsunternehmen besteht ein hoher Bedarf an der Nutzung von Daten.“

Um diese Ziele zu erreichen und gleichzeitig den Schutzstandard für die Rechte und Freiheiten von Menschen zu erhalten, brauche es effektive Technologien zur Anonymisierung und Pseudonymisierung personenbezogener Daten, welche den Vorgaben der Datenschutzgrundverordnung entsprechen müssten. „Hier möchte ich als Vorsitzende der Datenschutzkonferenz praktische Hilfestellungen für Unternehmen und Behörden erarbeiten, die auf den kommenden europäischen Leitlinien aufbauen.“

Datenschutzkonferenz hat vor allem die Aufgabe, das Grundrecht auf Informationelle Selbstbestimmung zu wahren und zu schützen

Die DSK, bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, hat die Aufgabe, das Grundrecht auf Informationelle Selbstbestimmung zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Dazu arbeiteten die Aufsichtsbehörden auf verschiedenen Ebenen in der Datenschutzkonferenz selbst sowie in zahlreichen Arbeitskreisen und „Taskforces“ eng zusammen. Der jährlich wechselnde Vorsitz der DSK koordiniere die Zusammenarbeit und vertrete die DSK nach außen.

Weitere Informationen zum Thema:

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
DSK DATENSCHUTZKONFERENZ BERLIN ‘25

DSK
DATENSCHUTZKONFERENZ