[datensicherheit.de, 27.05.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, hat am 26. Mai 2025 im Abgeordnetenhaus von Berlin ihren Jahresbericht 2024 vorgestellt. Dieser behandelt unter anderem Datenschutzfragen bei der Nutzung Künstlicher Intelligenz (KI) sowie Prüfverfahren zur Videoüberwachung an der Polizeiwache Kottbusser Tor und zum Einsatz biometrischer Gesichtserkennung.

Biometrische Gesichtserkennung: BlnBDI sieht Verstoß der Staatsanwaltschaft gegen das Datenschutzrecht

Im Frühjahr 2024 wurde durch Medienberichte bekannt, dass die Berliner Staatsanwaltschaft in mehreren Verfahren ein Gesichtserkennungssystem im Öffentlichen Raum eingesetzt hat: Zur Anwendung kam demnach ein System von Kameras, welches Personen verdeckt aus der Ferne erfassen und identifizieren kann.

• „Es gleicht biometrische Merkmale wie Gesichtszüge automatisiert mit Bildern einzelner Personen ab. Die anschließende Prüfung ergab, dass die zugrundeliegende Rechtsgrundlage weder speziell den Einsatz solcher Systeme regelt noch die verfassungsrechtlichen Anforderungen erfüllt.“

Die BlnBDI hat die Staatsanwaltschaft gewarnt, dass ein zukünftiger Einsatz des Gesichtserkennungssystems gegen das Datenschutzrecht verstoßen würde. „Zudem hat die Staatsanwaltschaft gegen das Datenschutzrecht verstoßen, indem sie keine Datenschutzfolgenabschätzung für das System erstellt hat und unzureichend mit der BlnBDI zusammengearbeitet hat.“

BlnBDI: Einsatz von Gesichtserkennungssystemen greift intensiv in das Grundrecht auf Informationelle Selbstbestimmung ein

Kamp betonte: „Der Einsatz von Gesichtserkennungssystemen durch Strafverfolgungsbehörden greift intensiv in das Grundrecht auf Informationelle Selbstbestimmung ein. Biometrische Merkmale sind unveränderlich. Menschen können nicht einfach ihr Gesicht absetzen. Werden sie anhand ihrer biometrischen Merkmale in der echten Welt erfasst und identifiziert, schwinden jene Bereiche, in denen sie sich anonym und ohne Spuren zu hinterlassen bewegen können.“

• Beim Einsatz solcher Systeme im Öffentlichen Raum sei eine Vielzahl unverdächtiger Personen betroffen. „Die bestehenden gesetzlichen Regelungen bieten hierfür keine ausreichende Grundlage“, monierte Kamp.

Sie nahm sodann auch Stellung zu der von ihr 2024 geprüften „rechtswidrigen Videoüberwachung an der Polizeiwache Kottbusser Tor“. Diese Dienststelle befindet sich in einem Gebäuderiegel über der Adalbertstraße. Zur Sicherung der Wache werden in der Unterführung Videokameras eingesetzt, welche sowohl die Fußwege als auch die Fahrbahn der Adalbertstraße erfassen. Zusätzlich wird der Eingangsbereich auf der Fußgängerterrasse per Video überwacht.

BlnBDI-Forderung an die Polizei, alternative Konzepte zur Videoüberwachung zu nutzen

Kamp erläuterte, dass diese Videoüberwachung „ohne ausreichende Rechtsgrundlage“ erfolgt sei und unverhältnismäßig in die Grundrechte von Passanten und Verkehrsteilnehmern eingegriffen habe. Die Polizei habe bislang nicht ausreichend geprüft, ob die Sicherheit der Wache durch mildere Mittel wie baulichere Sicherungen oder den Einsatz von Personal erreicht werden könnte.

• „Bedenken habe ich insbesondere bei der Überwachung der Fußgängerterrasse, da sich dort auch Beratungseinrichtungen befinden. Den Hilfesuchenden muss ermöglicht werden, diese Angebote wahrzunehmen, ohne dass sie dabei gezwungen sind, sich der Videoüberwachung auszusetzen. Ich habe daher gegenüber der Polizei eine Mangelfeststellung ausgesprochen.“

Die Polizei sei aufgefordert, alternative Konzepte in Betracht zu ziehen, um einen „schonenden Ausgleich zwischen Sicherheitsinteressen und Freiheitsrechten“ zu ermöglichen.

BlnBDI-Verfahren wegen mangelnder Transparenz beim KI-Einsatz

Immer mehr Unternehmen setzten KI-Anwendungen ein. Inwiefern Berliner Unternehmen dabei die Datenschutzbestimmungen einhalten, prüfe die BlnBDI derzeit in mehreren Verfahren: Die jeweiligen Verfahren seien noch nicht abgeschlossen. Im Fokus stehe dabei auch die Transparenz:

• „Oftmals werden die betroffenen Personen bisher entweder gar nicht oder nicht ausreichend über die Verarbeitung ihrer Daten in KI-Systemen informiert.“ So habe ein Berliner Unternehmen seine gesamte Kundenkommunikation für das Training eines KI-Systems zur Bearbeitung von Kundenanfragen genutzt, ohne jedoch die Kunden auf diese Verarbeitung hinzuweisen.

In einem anderen Fall habe eine Fotoplattform bereits ins Internet hochgeladene personenbezogene Fotos gegen Bezahlung unter anderem für das Training von KI-Modellen angeboten, ohne darüber zu informieren.

BlnBDI warnt vor Verletzung der DSGVO-Informationspflichten beim KI-Einsatz

Kamp gab zu bedenken, dass wer seine Kunden oder Beschäftigten nicht darüber informiert, dass ihre Daten in ein KI-System fließen, gegen die Informationspflichten der Datenschutz-Grundverordnung (DSGVO) verstößt.

• „In den nächsten Jahren werden wir unsere Prüfungen von KI-Systemen verstärken. Dabei liegt ein besonderes Augenmerk auf den Technischen und Organisatorischen Maßnahmen, die die Risiken für Betroffene minimieren, sowie auf den Diskriminierungen, die durch Verzerrungen in den Daten entstehen können.“

Auch in der Berliner Verwaltung solle mehr KI genutzt werden. Die Berliner Datenschutzbeauftragte unterstützt bei der datenschutzrechtlichen Bewertung von KI-Anwendungen durch juristische und technische Expertise, zum Beispiel durch die Beteiligung an der „Taskforce KI“ der Senatskanzlei. Angesichts der hohen Datenschutzrelevanz des Einsatzes von KI-Anwendungen für Bürger und Beschäftigte setze man sich dafür ein, „dass der Schutz personenbezogener Daten von vornherein Berücksichtigung findet!“

Bußgeld-Verhängung der BlnBDI wegen Sicherheitslücken in Praxismanagementsoftware

Bei einer Praxismanagementsoftware habe die BlnBDI eine Reihe von Sicherheitslücken festgestellt, welche es unter anderem angemeldeten Patienten ermöglicht habe, auf umfangreiche Daten anderer Patienten zuzugreifen.

Durch einen weiteren Programmierfehler sei es unberechtigten Dritten potenziell möglich gewesen, medizinische Dokumente einzusehen, welche von den Arztpraxen an die Patienten übermittelt wurden. Infolge sei ein Bußgeld von 60.000 Euro gegen den Anbieter erhoben worden.

BlnBDI nimm auch Informationsfreiheit im Land Berlin unter die Lupe

Kamp ist auch die Beauftragte für die Informationsfreiheit im Land Berlin und unterstützt Personen, welche ihr Recht auf Akteneinsicht gegenüber öffentlichen Stellen wahrnehmen möchten. Im letzten Jahr, 2024, habe sich erneut gezeigt, „dass einige Verwaltungen der Informationsfreiheit noch immer eine geringe Bedeutung beimessen und sie nicht als eigenständige öffentliche Aufgabe verstehen“.

„25 Jahre nach Inkrafttreten des Berliner Gesetzes sollten Behörden die Informationsfreiheit nicht als Bürde, sondern als originäres Aufgabengebiet betrachten und behandeln“, unterstrich Kamp.

Datenschutz von Anfang an: Beratung und Bildungsangebote der BlnBDI

Um es erst gar nicht zu Datenschutzverstößen kommen zu lassen, wendet die BlnBDI nach eigenen Angaben „viel Zeit für die Beratung, Schulung und Sensibilisierung zum Datenschutz“ auf. 2024 habe sie sich beispielsweise an der Entwicklung des digitalen Datenschutzwegweisers für Kitas – „Datenschutz im Kitaalltag – digitaler Wegweiser für Fachkräfte“ – beteiligt und die Erarbeitung von verschiedenen Handlungsleitfäden zum Kinderschutz begleitet. „Mit den Materialien werden Fachkräfte unterstützt, die Datenschutzbestimmungen kompetent umzusetzen und die Rechte der Kinder konsequent zu wahren.“

Für Vereine, Startups und Kleinunternehmen habe sie die kostenlosen Schulungen der „Starthilfe Datenschutz“ angeboten, um die Grundlagen des Datenschutzes zu vermitteln. Auch an Schulen sei die Datenschutzbeauftragte 2024 wieder präsent gewesen und habe in knapp 40 Workshops an Grundschulen Schüler über ihre Rechte, den verantwortungsvollen Umgang mit Medien und die Auswirkungen der KI-Nutzung aufgeklärt.

BlnBDI meldet Höchststand an Eingaben und Datenpannen

Im Jahr 2024 habe die Behörde „ein neuer Höchststand“ an Eingaben von Bürgern erreicht: „In Summe wandten sich Betroffene in 6.063 Fällen mit einer Beschwerde oder Beratungsanfrage an die Berliner Datenschutzbeauftragte.“

Einen neuen Rekord gab es auch bei den Datenpannen: „Insgesamt meldeten private und öffentliche Stellen 1.262 Datenpannen – das sind mehr als drei am Tag.“ Die Behörde habe 104 Verwarnungen und 164 Geldbußen in Höhe von insgesamt 80.190 Euro erlassen.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit, 26.05.2025
Jahresbericht 2024

rbb 24, 26.05.2025
Kottbusser Tor in Berlin Videoüberwachung an Kotti-Wache laut Datenschutzbeauftragter rechtswidrig

Fokus Medienbildung
Datenschutz im Kitaalltag – digitaler Wegweiser für Fachkräfte

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Service: Schulungen für Vereine, Start-ups und Kleinunternehmen

BERLIN, Senatsverwaltung für Bildung, Jugend und Familie, 21.11.2024
Datenschutz im Kitaalltag – digitaler Wegweiser für Fachkräfte

NETZPOLITIK.ORG, Sebastian Meineck, 23.08.2024
Grundrechte in Gefahr: Datenschutz-Behörde prüft Gesichtserkennung durch Berliner Staatsanwaltschaft

[datensicherheit.de, 28.03.2025] Die Vorsitzende der Datenschutzkonferenz 2025, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, geht in ihrer Stellungnahme vom 27. März 2025 auf die jüngste Sitzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz / DSK) ein: Demnach wurden unter dem Leitmotiv „Grundrechte wahren“ Forderungen an die künftige Bundesregierung beschlossen.

Abbildung: DSK

DSK: Forderungskatalog der 109. Sitzung

DSK-Engagement für eine freiheitliche und grundrechtsorientierte digitale Zukunft

Die DSK hat laut Kamp auf ihrer 109. Sitzung am 26. und 27. März 2025 in Berlin zentrale Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft beschlossen:

Die künftige Bundesregierung müsse die Digitalisierung in Europa voranbringen und eine „menschenzentrierte Datennutzung sicherstellen“, heißt es in dem neuen DSK-Papier.

Forderungen und Empfehlungen der DSK an die neue Bundesregierung:

1. Gesetzgebungsprojekte zur Novellierung des Bundesdatenschutzgesetzes und zum Beschäftigtendatenschutz finalisieren
   Für das Bundesdatenschutzgesetz fordert die Datenschutzkonferenz unter anderem eine zentrale Zuständigkeitsregelung bei bundesweiten Sachverhalten und die Institutionalisierung der DSK mit einer Geschäftsstelle. Wichtige Aspekte eines Beschäftigtendatenschutzgesetz seien Regelungen zum Einsatz von algorithmischen Systemen am Arbeitsplatz und zu den Grenzen der Verhaltens- und Leistungskontrolle.
2. Systematische Grundrechtechecks bei der Fortentwicklung der modernen Sicherheitsarchitektur durchführen
   Die zunehmende Nutzung von Gesichtserkennung, automatischen Datenanalysen und Künstlicher Intelligenz (KI) durch Sicherheitsbehörden erfordere eine grundrechtssensible und verfassungskonforme Gesetzgebung. Die nächste Bundesregierung müsse daher systematisch die Vereinbarkeit neuer Sicherheitsgesetze mit den Grundrechten prüfen und dabei die Rechtsprechung des Bundesverfassungsgerichts sowie die europäische Gesetzgebung beachten.
3. Bessere Abstimmung von EU-Digitalrechtsakten und DSGVO
   Die DSK sieht erheblichen Verbesserungsbedarf bei der Harmonisierung europäischer Digitalrechtsakte wie KI-Verordnung und Data Act mit der Datenschutz-Grundverordnung (DSGVO). Ein kohärenter Rechtsrahmen sei essenziell für die Rechtssicherheit und den effektiven Grundrechtsschutz.
4. Produktive Rahmenbedingungen für KI, Forschung und Innovation im Einklang mit dem Datenschutz gesetzgeberisch gestalten
   Viele innovative Vorhaben in Wirtschaft, Verwaltung und Politik könnten mithilfe von Daten und KI vorangebracht werden. Dabei müssten die Rechte derjenigen gewahrt bleiben, um deren Daten es geht. Die DSK fordert die Schaffung gesetzlicher Regelungen für Forschung und KI-Entwicklung sowie unabhängige Aufsichtsstrukturen und behördlich kontrollierte Reallabore.
5. DSK-Kriterien für Souveräne Clouds berücksichtigen und Datenschutzcockpit ausbauen
   Die DSK appelliert an die Bundesregierung, die von ihr aufgestellten Kriterien für sogenannte Souveräne Clouds zu berücksichtigen und das „Datenschutzcockpit“ zur Kontrolle und Transparenz der Datenverarbeitung weiter auszubauen. Eine moderne Verwaltung müsse Digitale Souveränität und Datenschutz gleichermaßen gewährleisten.

DSK fordert verpflichtenden Grundrechte-Check für Sicherheitsgesetze

Kamp betont: „Datenschutz ist ein zentrales Fundament der Demokratie und Basis für freie Meinungsäußerungen und politische Teilhabe. Datennutzung und Datenschutz müssen Hand in Hand gehen!“ Angesichts der Debatte in den Koalitionsverhandlungen um neue Befugnisse für die Sicherheitsbehörden zum Einsatz von Gesichtserkennung, anlassloser Vorratsdatenspeicherung und automatisierter Datenanalyse fordert die Datenschutzkonferenz eine klare Grenze:

• Mehr Befugnisse dürften nicht auf Kosten der Grundrechte gehen. Die künftige Bundesregierung sei daher dringend aufgefordert, bei der Erweiterung polizeilicher und nachrichtendienstlicher Befugnisse „grundrechtssensibel und verfassungskonform zu handeln“. Nur so ließen sich Sicherheit und Freiheit in einer digitalen Gesellschaft in Einklang bringen.

„Unser Appell an die künftige Bundesregierung: Wir brauchen klare gesetzliche Vorgaben für den Datenschutz in der Arbeitswelt, eine bessere Abstimmung europäischer Digitalgesetze und einen verpflichtenden Grundrechte-Check für Sicherheitsgesetze!“ Die Förderung innovativer Technologien wie Künstlicher Intelligenz (KI) müsse im Einklang mit unseren Werten gestaltet werden. „Für die Modernisierung der Verwaltung braucht es Digitale Souveränität und Datenschutz gleichermaßen“, stellt Kamp klar.

Sonstige Ergebnisse der 109. DSK-Sitzung

• Die Landesdatenschutzaufsichtsbehörden, die formelle Verfahren gegen das hinter „ChatGPT“ stehende Unternehmen OpenAI eingeleitet hatten, hätten sich auf die Einstellung und Abgabe der Verfahren an die irische Datenschutzaufsicht festgelegt.
• Die umfangreichen Erkenntnisse aus dem Prüfverfahren, welche den Entwicklungsstand von „ChatGPT“ im Jahr 2023 adressierten, würden der irischen Data Protection Commission (DPC) für deren weitere Arbeit zur Verfügung gestellt.
• Die DSK habe sich außerdem verständigt, die Zusammenarbeit mit der Bundesnetzagentur im Rahmen der Durchsetzung des „Digital Services Act“ durch eine schlanke Kommunikationsstruktur zu unterstützen.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 26.03.2025
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 26. März 2025 / Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft

DSK DATENSCHUTZKONFERENZ, 11.05.2023
Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 11. Mai 2023 / Kriterien für Souveräne Clouds / Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 11. Mai 2023

Bundesministerium des Innern und für Heimat
Registermodernisierung / Datenschutzcockpit

datensicherheit.de, 08.01.2025
Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025 / Berliner Datenschutzbeauftragte sieht u.a. Anonymisierung und Pseudonymisierung als Schwerpunkte

[datensicherheit.de, 27.03.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat in einer Meldung vom 26. März 2025 bekanntgegeben, dass sich die Datenschutzbehörden der Länder gegen die Vorschläge zur Zentralisierung der Datenschutzaufsicht wenden. Weitreichende Folgen für die regionale Wirtschaft, Bürger und freie Berufe würden ignoriert.

Landesdatenschutzbehörden sind bewährte Ansprechpartnerinnen vor Ort

Meike Kamp, die BlnBDI, kommentiert für die Datenschutzbehörden der Länder: „Wir sind nah dran an Wirtschaft, Vereinen und den Menschen in unseren Ländern. Wir kennen die örtlichen Gegebenheiten und sind unmittelbar ansprechbar. Wir sind eng vernetzt mit Unternehmen, Vereinen und Verbänden vor Ort. Auf regionale Themen und Beratungsbedarf reagieren wir zielgerichtet mit individueller Beratung, Veranstaltungen, Schulungen und Veröffentlichungen.“

Datenschutz betreffe alle. Mit den Landesdatenschutzbehörden gebe es bewährte Ansprechpartnerinnen vor Ort, die durch Veranstaltungen im Land und regionale Veröffentlichungen bekannt seien. Dadurch profitierten insbesondere kleine und mittelständische Unternehmen (KMU) sowie Freiberufler – „immerhin 99,2 Prozent der Unternehmen in Deutschland“ – in besonderer Weise von den heutigen Strukturen im Datenschutz.

Reform der Datenschutzkonferenz (DSK) begrüßt und weitere Vorschläge

Zentralisierung führe somit nicht zu Entbürokratisierung. Das eigentliche inhaltliche Ziel sei ein gemeinsames: „Rechtssicherheit durch einheitliche Auslegung und weniger Bürokratie durch einfachere Verfahren mit klaren Zuständigkeiten.“ Die Datenschutzbehörden der Länder greifen daher die Pläne aus den Koalitionsverhandlungen zur Reform der Datenschutzkonferenz (DSK) auf und schlagen nach eigenen Angaben konkret vor:

• Eine Datenschutzbehörde als Ansprechpartnerin für Unternehmen und Forscher
  Zentrale Zuständigkeit einer Aufsichtsbehörde bei länderübergreifenden Sachverhalten, z.B. bei Forschungsprojekten oder bei Konzernen mit mehreren Standorten.
• Effiziente Arbeitsteilung durch Ausweitung des Eine-für-Alle-Prinzips (EfA) auf die Datenschutzbehörden
  Das Ergebnis der Prüfung von länderübergreifend oder bundesweit eingesetzten Verfahren durch eine Landesbehörde bindet die anderen Behörden.
• Eine starke Stimme, die einheitlich entscheidet
  Die DATENSCHUTZKONFERENZ (DSK) institutionalisieren und mit einer Geschäftsstelle zum gemeinsamen Entscheidungsgremium von Bund und Ländern formen. Rechtssicherheit durch verbindliche Mehrheitsentscheidungen in der DSK schaffen.

Weitere Informationen zum Thema:

DSK
DATENSCHUTZKONFERENZ

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
DSK DATENSCHUTZKONFERENZ BERLIN ‘25

datensicherheit.de, 08.01.2025
Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025 / Berliner Datenschutzbeauftragte sieht u.a. Anonymisierung und Pseudonymisierung als Schwerpunkte

datensicherheit.de, 23.03.2025
DsiN-Forderung: Digitale Kompetenzen und Verbraucherschutz in den Koalitionsvertrag / DsiN setzt sich seit der Gründung 2006 für die Vermittlung digitaler Kompetenzen und den Schutz der Verbraucher sowie KMU im Netz ein

[datensicherheit.de, 06.03.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) bietet auch 2025 unter dem Titel „Starthilfe Datenschutz“ kostenlose Schulungen für Vereine, Start-ups und Kleinunternehmen zu Grundlagen des Datenschutzrechts an.

Abbildung: BlnBDI

„Starthilfe Datenschutz 2025“: Beispieltermine der BlnBDI-Veranstaltungsreihe

Praxisorientierte Datenschutz-Fallbeispiele

An 14 Terminen unterschiedlicher Ausrichtung werden demnach BlnBDI-Referenten die wesentlichen Aspekte des Datenschutzrechts vorstellen, welche von Vereinen und Unternehmen einzuhalten sind.

„Praxisorientiert wird anhand konkreter Fallbeispiele erklärt, was etwa beim Erstellen der Datenschutzerklärung zu beachten ist, wann ein Verarbeitungsverzeichnis angelegt werden muss und wie Daten korrekt gelöscht werden können.“ Erstmals dabei sei in diesem Jahr zudem eine Schulung zum Einsatz Künstlicher Intelligenz (KI).

Kleine Unternehmen und Vereine sollen bei der Umsetzung des Datenschutzrechts Unterstützung erfahren

„Seit 2017 unterstützen wir kleine Unternehmen und Vereine bei der Umsetzung des Datenschutzrechts. Während der Fokus anfangs auf Start-ups lag, haben wir in den letzten Jahren auch andere Kleinunternehmen und Vereine einbezogen“, so die BlnBDI, Meike Kamp.

Dies spiegele sich jetzt auch im neuen Namen der Schulungsreihe wider: „Aus der ,Start-up-Schule’ wird die ,Starthilfe Datenschutz’.“

Weitere Informationen zum Thema:

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
Datenschutz für Berliner Start-ups und Vereine / Teilnahmebedingungen

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
Service: Schulungen für Vereine, Start-ups und Kleinunternehmen / Starthilfe Datenschutz 2025

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
Anmeldung zur Schulung Datenschutzgrundlagen: Basisüberblick DSGVO / Dienstag, 8. April 2025, 10-12 Uhr (in Präsenz)

[datensicherheit.de, 02.02.2025] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern (DSK) hat nach eigenen Angaben auf ihrer 1. Zwischenkonferenz am 29. Januar 2025 in Berlin beschlossen, praktische Hilfestellungen für die effektive Anonymisierung und Pseudonymisierung von personenbezogenen Daten zu erarbeiten. Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes sowie der Länder und hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten – dies geschieht vor allem durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Richtig angewendet sind Anonymisierung und Pseudonymisierung wertvolle Werkzeuge für die Datenverarbeitung

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI ) und 2025 die DSK-Vorsitzende erläutert: „Richtig angewendet können Anonymisierung und Pseudonymisierung wertvolle Werkzeuge für die Datenverarbeitung in Forschung, Wirtschaft und im öffentlichen Sektor sein. Allerdings ist es für viele Stellen eine Herausforderung, ein geeignetes Verfahren für die Anonymisierung oder Pseudonymisierung personenbezogener Daten auszuwählen. Die Datenschutzkonferenz wird dazu konkrete Unterstützung entwickeln, die die europäischen Leitlinien für ausgewählte Einzelfälle konkretisiert.“

Europäischer Datenschutzausschuss plant, 2025 Leitlinien zur Anonymisierung zu veröffentlichen

Der Europäische Datenschutzausschuss (EDSA) plant laut Kamp, in diesem Jahr – 2025 – Leitlinien zur Anonymisierung zu veröffentlichen. Die Leitlinien zur Pseudonymisierung seien bereits erschienen. Das DSK-Papier werde auf diesen EDSA-Leitlinien aufbauen und anhand konkreter Beispiele aus medizinischer Forschung, KI-Entwicklung oder Statistik zeigen, „welche Anforderungen und Verfahren für die Pseudonymisierung und Anonymisierung wichtig sind“.

Datenschutzkonferenz hat zudem Einsatz KI-basierter Systemen in der öffentlichen Verwaltung erörtert

Die DSK habe außerdem den Einsatz von KI-basierten Systemen in der öffentlichen Verwaltung diskutiert. Eine Umfrage unter den Aufsichtsbehörden habe ergeben, dass öffentliche Stellen eine große Breite an KI-Verfahren in unterschiedlichen Bereichen und für vielfältige Zwecke entwickelten oder bereits einsetzten. Die DSK habe beschlossen, dass sich ihr seit Januar 2025 bestehender Arbeitskreis „Künstliche Intelligenz“ mit den daraus entstehenden Fragen befassen solle.

Weitere Informationen zum Thema:

datensicherheit.de, 20.01.2025
Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen / Berliner Beauftragte für Datenschutz und Informationsfreiheit begrüßt Beschluss

[datensicherheit.de, 23.01.2025] Für die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat die Vorsitzende für das Jahr 2025, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, deren Stellungnahme vom 22. Januar 2025 publiziert. Demnach hat am 16. Januar 2025 der Europäische Datenschutzausschuss (EDSA) über die Ergebnisse der 2024 durchgeführten europaweiten Prüfaktion im Rahmen des „Coordinated Enforcement Framework“ (CEF) beraten und seinen Bericht verabschiedet. Bei dieser Aktion sei untersucht worden, „wie Verantwortliche das Auskunftsrecht betroffener Personen umsetzen“.

Verantwortliche berücksichtigen im durchschnittlichen bis hohen Maß die EDSA-Anforderungen des Auskunftsrechts

In Deutschland hätten sich die Landesdatenschutz-Aufsichtsbehörden aus Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beteiligt und insgesamt 116 Verantwortliche geprüft. Auf europäischer Ebene hätten weitere 22 mitgliedstaatliche Datenschutzaufsichtsbehörden teilgenommen. Insgesamt werteten die beteiligten Aufsichtsbehörden laut DSK Angaben von 1.185 Verantwortlichen aus.

So hätten europäische Datenschutzaufsichtsbehörden Erkenntnisse aus der Praxis dazu gewinnen können, inwiefern die EDSA-Leitlinien zum Auskunftsrecht sich auf den praktischen Umgang mit Auskunftsanträgen auswirkten. „Der Abschlussbericht des EDSA zeichnet ein grundsätzlich ermutigendes Bild. Die Mehrheit der teilnehmenden Aufsichtsbehörden stellte fest, dass die befragten Verantwortlichen nach eigenen Angaben in einem durchschnittlichen bis hohen Maß die Anforderungen des Auskunftsrechts berücksichtigen“, berichtet Kamp. Überraschend groß sei jedoch die Zahl an Verantwortlichen, die angegeben hätten, im Jahr 2023 keinen oder nur sehr wenige Auskunftsanträge erhalten zu haben.

Im EDSA-Bericht dargestellte Ergebnisse decken sich weitestgehend mit denen beteiligter deutscher Aufsichtsbehörden

Bei der Vollständigkeit der Auskunft und der Anwendung der Grenzen des Auskunftsrechts gebe es allerdings konkreten Nachbesserungsbedarf. Außerdem stellten einige Verantwortliche zum Teil unzulässige Hürden für die Geltendmachung des Auskunftsrechts auf, etwa indem pauschal Zusatzinformationen oder im Einzelfall nicht erforderliche Identifikationsdokumente bei der betroffenen Person angefordert würden.

Die im Bericht des EDSA dargestellten Ergebnisse deckten sich weitestgehend mit denen der beteiligten deutschen Aufsichtsbehörden. Deren gemeinsame Auswertung könne im Annex zum EDSA-Bericht eingesehen werden.

Gewonnene Informationen stehen mit Veröffentlichung des EDSA-Berichts auch für weiterführende Auswertungen bereit

Unter Berücksichtigung dieser Ergebnisse sei es Aufsichtsbehörden möglich, Verantwortliche zielgerichteter zu sensibilisieren und Handlungsempfehlungen zu geben. Die gewonnenen Informationen stünden mit der Veröffentlichung des EDSA-Berichts auch für weiterführende Auswertungen zur Verfügung.

Die koordinierte Aktion zum Auskunftsrecht sei die dritte Initiative im Rahmen des CEF, welches darauf abziele, die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) und die Zusammenarbeit zwischen Datenschutzbehörden innerhalb der EU zu optimieren. Frühere koordinierte Aktionen befassten sich laut DSK im Jahr 2022 mit der Nutzung von „Cloud“-Diensten durch den öffentlichen Sektor und im Jahr 2023 mit der Benennung und der Rolle von Datenschutzbeauftragten.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 20.01.2025
CEF 2024: EDPB identifies challenges to the full implementation of the right of access

EDPS EUROPEAN DATA PROTECTION SUPERVISOR, 20.01.2025
Coordinated Enforcement Action: EDPS findings highlight challenges on right of access to personal data

edpb European Data Protection Board, 20.01.2025
Coordinated Enforcement Action, implementation of the right of access by controllers

edpb European Data Protection Board, 18.01.2025
Coordinated Enforcement Action, use of cloud-based services by the public sector

edpb European Data Protection Board, 17.01.2025
Coordinated Enforcement Action, Designation and Position of Data Protection Officers

[datensicherheit.de, 20.01.2025] Laut einer aktuellen Mitteilung begrüßt die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, die Leitlinien des Europäischen Datenschutzausschuss (EDSA) zur Pseudonymisierung. Die BlnBDI war demnach an der Erarbeitung dieser Leitlinien federführend beteiligt.

Effektiver Weg, Vertraulichkeit personenbezogener Daten zu bewahren

„Pseudonymisierung bietet einen effektiven Weg, die Vertraulichkeit personenbezogener Daten zu bewahren. Gleichzeitig ermöglicht es Weiterverarbeitungen von Daten, die ansonsten wegen der mit ihnen verbundenen Risiken nicht durchgeführt werden dürften“, erläutert Kamp. In Zeiten der Digitalisierung könne effektive Pseudonymisierung dabei helfen, die Risiken von Datenverarbeitungen zu minimieren und das Vertrauen der Menschen in den Schutz ihrer Daten zu stärken.

Kamp kommentiert: „Daher freue ich mich sehr, dass der Europäische Datenschutzausschuss nun Leitlinien zur Anwendung dieser wichtigen Technischen und Organisatorischen Maßnahme erlassen hat. Ich verspreche mir davon mehr Rechtssicherheit für Unternehmen und andere Organisationen, die auf Pseudonymisierung setzen.“

Verarbeitung personenbezogener Daten in einer Weise, dass diese nicht mehr ohne Weiteres einer spezifischen Person zugeordnet werden können

Unter „Pseudonymisierung“ verstehe die Datenschutz-Grundverordnung (DSGVO) eine Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden könnten. „Die Identität der betroffenen Personen soll denjenigen verborgen bleiben, die keinen Zugang zu solchen zusätzlichen Informationen haben.“

Für eine Pseudonymisierung würden die Daten umgestaltet, Namen und andere identifizierende Angaben würden entfernt und in der Regel durch Pseudonyme ersetzt. „Eine Tabelle, die Pseudonyme den Daten gegenüberstellt, die sie ersetzt haben, stellt eine typische Zusatzinformation dar.“ Verantwortliche schützten die von ihnen gehaltenen Zusatzinformationen durch Technische und Organisatorische Maßnahmen (TOM), um die Fähigkeit zur Zuordnung der pseudonymisierten Daten zu spezifischen betroffenen Personen zu kontrollieren.

Dachorganisation der nationalen europäischen Datenschutzbehörden und des Europäischen Datenschutzbeauftragten nahm Leitlinien an

In seiner Sitzung am 16. Januar 2025 habe der EDSA die Leitlinien zur Pseudonymisierung angenommen. Der EDSA sei die Dachorganisation der nationalen europäischen Datenschutzbehörden und des Europäischen Datenschutzbeauftragten. „Die Leitlinien bestehen aus zwei Teilen, von denen der erste einen rechtlichen und der zweite einen technischen Schwerpunkt hat.“

Ein Anhang veranschauliche anhand von Fallbeispielen aus der Praxis die Verwendung und die Vorteile der Pseudonymisierung. Pseudonymisierung und Anonymisierung seien die Schwerpunktthemen der BlnBDI für ihren diesjährigen Vorsitz der Datenschutzkonferenz (DSK).

Weitere Informationen zum Thema:

edpb European Data Protection Board, 17.01.2025
EDPB adopts pseudonymisation guidelines and paves the way to improve cooperation with competition authorities

edpb European Data Protection Board, 17.01.2025
Guidelines 01/2025 on Pseudonymisation

[datensicherheit.de, 08.01.2025] Laut einer eigenen Meldung übernimmt die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, für das Jahr 2025 den Vorsitz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Inhaltliche Schwerpunkte ihres Vorsitzes werden demnach die Themen Anonymisierung und Pseudonymisierung sein. Weitere Schwerpunkte seien die Wechselwirkung zwischen der Datenschutzgrundverordnung und den Europäischen Digitalrechtsakten in der Praxis sowie die Standardisierung von Prüfkriterien der Datenschutzaufsichtsbehörden.

Effektive Technologien zur Anonymisierung und Pseudonymisierung personenbezogener Daten gefordert

Kamp führt aus: „Die Europäische Datenstrategie ist darauf gerichtet, das Potenzial von Daten auszuschöpfen. ,Data Act’, ,Data Governance Act’ und weitere Rechtsakte fördern den Zugriff auf große Datenmengen und das Teilen von Daten. Gerade in der medizinischen Forschung, im KI-Bereich, in der Mobilität oder bei Handelsunternehmen besteht ein hoher Bedarf an der Nutzung von Daten.“

Um diese Ziele zu erreichen und gleichzeitig den Schutzstandard für die Rechte und Freiheiten von Menschen zu erhalten, brauche es effektive Technologien zur Anonymisierung und Pseudonymisierung personenbezogener Daten, welche den Vorgaben der Datenschutzgrundverordnung entsprechen müssten. „Hier möchte ich als Vorsitzende der Datenschutzkonferenz praktische Hilfestellungen für Unternehmen und Behörden erarbeiten, die auf den kommenden europäischen Leitlinien aufbauen.“

Datenschutzkonferenz hat vor allem die Aufgabe, das Grundrecht auf Informationelle Selbstbestimmung zu wahren und zu schützen

Die DSK, bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, hat die Aufgabe, das Grundrecht auf Informationelle Selbstbestimmung zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Dazu arbeiteten die Aufsichtsbehörden auf verschiedenen Ebenen in der Datenschutzkonferenz selbst sowie in zahlreichen Arbeitskreisen und „Taskforces“ eng zusammen. Der jährlich wechselnde Vorsitz der DSK koordiniere die Zusammenarbeit und vertrete die DSK nach außen.

Weitere Informationen zum Thema:

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
DSK DATENSCHUTZKONFERENZ BERLIN ‘25

DSK
DATENSCHUTZKONFERENZ

[datensicherheit.de, 09.05.2024] Die Datenschutzkonferenz (DSK) besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder und hat nach eigenen Angaben die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten: „Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.“ In einer aktuellen Meldung erinnert die DSK daran, dass im März 2024 das Europäische Parlament die „Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO)“ angenommen hat – nach Inkrafttreten der KI‐VO müsse in Deutschland innerhalb von zwölf Monaten eine behördliche Aufsichtsstruktur eingerichtet werden. Es bestehe Handlungsbedarf für die Gesetzgeber in Bund und Ländern, um die Frage zu klären, wer die Aufsicht wahrnehmen soll.

Grundsätzlich sollten Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden nach der KI-VO benannt werden

In diesem Zusammenhang weist die DSK darauf hin, dass die KI-VO in vielen Fällen bereits eine sektorspezifische Zuständigkeit der Datenschutzbehörden als Marktüberwachungsbehörden vorsehe. Ziel sei eine einheitliche Anwendung der KI-VO. Die DSK hält es für sinnvoll, „aufgrund der langjährigen Erfahrung im Bereich der Beratung, Beschwerdebearbeitung und Kooperation auf nationaler wie europäischer Ebene grundsätzlich die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden nach der KI-VO zu benennen“. Ausgenommen seien einzelne Sektoren wie etwa der Finanzsektor oder die Kritische Infrastruktur (KRITIS).

Mit dieser Konzeption könnten Doppelstrukturen und zusätzlicher Bürokratieaufwand vermieden werden: „Die Datenschutzaufsichtsbehörden haben ohnehin in allen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, die Aufsicht nach der Datenschutz-Grundverordnung.“ Nur durch die Zuständigkeit der Datenschutzaufsichtsbehörden nach KI-VO werde eine Beratung und Aufsicht aus einer Hand möglich. „Unabhängig davon, welche Behörden die Marktüberwachung im Bereich der KI übernehmen sollen, müssen diese mit angemessenen Ressourcen ausgestattet werden.“

Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert einheitlichen Ansprechpartner vor Ort

Die DSK empfiehlt, als Marktüberwachungsbehörden nach der KI-VO den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden zu benennen. Der BfDI solle nach Vorstellungen der DSK Deutschland im Europäischen Ausschuss für KI vertreten.

„Die Aufsicht über den Einsatz von Künstlicher Intelligenz sollte aus einer Hand erfolgen“, betont Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI). Wenn Berliner Unternehmen und Behörden KI-Systeme einsetzen, sollten sie einen einheitlichen Ansprechpartner vor Ort für die Beratung und Aufsicht haben. Sie erläutert: „Immer dann, wenn personenbezogene Daten im Spiel sind, sind gemäß DSGVO ohnehin die Datenschutzbehörden zuständig. Zur Vermeidung von Doppelstrukturen und zusätzlicher Rechtsuntersicherheiten empfehle ich daher, die Datenschutzbehörden grundsätzlich auch als Aufsicht über KI-Systeme festzulegen.“

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 03.05.2024
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. Mai 2024 / Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO) / Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. Mai 2024

datensicherheit.de, 06.05.2024
DSK-Orientierungshilfe für Unternehmen und Behörden zum datenschutzkonformen KI-Einsatz / Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich an Unternehmen, Behörden und andere Organisationen

[datensicherheit.de, 21.03.2024] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) bietet nach eigenen Angaben auch 2024 wieder „kostenlose Schulungen zum Thema Datenschutz“ an. Die Fortbildungsreihe für Berliner Start-ups, Kleinunternehmen und Vereine startet demnach im April 2024 – die Anmeldung für die ersten sechs Termine ist laut BlnBDI ab sofort über die Website möglich.

Praxisorientierte Schulungen für spezifische Bedürfnisse der Zielgruppe in Berlin

Für viele junge Unternehmen und Vereine stelle sich besser früher als später die Frage, wie mit den personenbezogenen Daten ihrer Mitglieder, Beschäftigten und Kunden umzugehen ist.

„Die rechtssichere Verarbeitung der Daten, die Erstellung einer Datenschutzerklärung oder das richtige Löschen von Daten sind oft Herausforderungen, denen sie sich mit begrenzten finanziellen Mitteln für rechtliche Beratung gegenübersehen.“

Hier nun möchte die BlnBDI ansetzen, „indem sie praxisorientierte Schulungen anbietet, die auf die spezifischen Bedürfnisse dieser Zielgruppe zugeschnitten sind“.

Alle Termine in den Räumen der BlnBDI in Berlin-Moabit

Die BlnBDI, Meike Kamp, betont: „Den Datenschutz von Anfang an mitzudenken, ist für viele Unternehmen und Vereine entscheidend, um ihre Organisation auf eine rechtlich sichere Basis zu stellen. Dies unterstützen wir durch unsere ,Start-up-Schule’, in der wir über die geltenden Datenschutzbestimmungen informieren und an Beispielen aus der Praxis aufzeigen, wie diese umgesetzt werden können.“

Die Auftaktveranstaltung soll am 11. April 2024 stattfinden und sich den Grundlagen des Datenschutzrechts widmen. Danach folgten im zweiwöchigen Rhythmus weitere Schulungen zu den Rechtsgrundlagen von Datenverarbeitungen, dem Einsatz von „Cloud“-Diensten oder Löschkonzepten.

„Alle Termine finden in den Räumen der BlnBDI in Berlin-Moabit statt, eine Anmeldung über die Website ist erforderlich.“ Die Schulungen bauten aufeinander auf, könnten aber auch einzeln besucht werden. Ebenso sei ein späterer Einstieg möglich. „Kenntnisse des Datenschutzrechts werden nicht vorausgesetzt, die Teilnahme ist kostenfrei.“

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Service / Datenschutz für Berliner Start-ups und Vereine