Der Europäische Datenschutzausschuss (EDSA) hat seine europaweite Initiative “Coordinated Enforcement Framework” (CEF) für 2025 zum Recht auf Löschung gestartet. Darüber hatte die Berliner Datenschutzbeauftragte und derzeitige Vorsitzende der Datenschutzkonferenz, Meike Kamp, Anfang März informiert. Bei dieser koordinierten Aktion handelt es sich um die vierte ihrer Art – frühere Initiativen befassten sich beispielsweise mit dem Recht auf Auskunft und der Nutzung von Cloud-Diensten. Über die digitale Kehrwoche und über Kuriositäten beim Datenschutz haben wir mit dem Landesdatenschutzbeauftragten von Baden-Württemberg, Prof. Tobias Keber, gesprochen.
Der Jurist Tobias Keber ist seit Juli 2023 LfDI.
(Bild: LfDI BW)
heise online: Gemeinsam mit dem Europäischen Datenschutzausschuss (EDSA) haben Sie sich für das Recht auf Löschung als Thema entschieden (PDF). Den Vorschlag dazu hatten Sie gemacht, wie ich von Ihren Kollegen erfahren habe. Warum haben Sie sich dafür entschieden?
Keber: Das Recht auf Löschung gemäß Artikel 17 DSGVO ist eine notwendige Folge des Grundsatzes der Rechtmäßigkeit der Verarbeitung gemäß der Datenschutzgrundverordnung. Es ist ein starkes Bürgerrecht und ein Werkzeug zur Durchsetzung der datenschutzrechtlichen Selbstbestimmung der Betroffenen. Es schützt die Privatsphäre und soll eine unzulässige Verbreitung und Nutzung personenbezogener Daten verhindern. Daten sollten nur so lange gespeichert werden, wie es für den Zweck ihrer Erhebung notwendig ist.
Darum haben wir die Idee zum Recht auf Löschung in den Europäischen Datenschutzausschuss eingebracht. Das CEF ist eine gemeinsame Aktion von Datenschutzaufsichten in Europa und dient der koordinierten Durchsetzung einheitlicher Standards in der EU. Die Beteiligung an einer solchen Aktion ist nicht unmittelbar in der Datenschutzgrundverordnung vorgeschrieben, ist aber eine wirksame Form der Kooperation. Insgesamt nehmen 32 Datenschutzbehörden teil. In Deutschland sind es die Aufsichten in Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz und die Bundesbeauftragte für Datenschutz und Informationsfreiheit.
Mit der gemeinsamen Aktion können wir die Rechte der BürgerInnen stärken und verantwortlichen Stellen in Baden-Württemberg, die dieses doch auch komplexe Recht umsetzen müssen, Unterstützung anbieten. Das ist unser Ziel. Wir starten nun mit der Aktion und schicken an verschiedene private und öffentliche Stellen koordiniert einen Fragenkatalog.
Was ist das für ein Fragebogen?
Der Fragebogen wird gemeinsam erarbeitet und auch bald auf der Website des EDSA veröffentlicht. Wir möchten mit den Fragen herausfinden, ob ein Unternehmen oder eine öffentliche Stelle ein Problem mit der Umsetzung des Rechts auf Löschung hat und warum es diese Schwierigkeiten gibt. Mit den Erkenntnissen, die dann auch in den Bericht münden, könnten wir zum Beispiel eine Handreichung erstellen, die anderen Unternehmen helfen. Von Best Practices können alle profitieren. Der Bericht selbst wird ebenfalls veröffentlicht.
Wir wollen Unternehmen verschiedener Größen befragen und verschiedene Branchen abbilden. Nach diesem Vorgehen haben wir insgesamt acht private und öffentliche Stellen in Baden-Württemberg ausgewählt, die wir jetzt mit einem solchen Fragenkatalog versehen.
Die Befragung soll nach unserem Verständnis nicht dazu dienen, konkrete Missstände aufzudecken und Bußgelder zu verteilen. Wir wollen vielmehr wissen: Wo hat ein Unternehmen oder eine öffentliche Stelle ein Problem mit dem Recht auf Löschung bei der konkreten Umsetzung? Da kann es zwischen Behörden und privatwirtschaftliche Unternehmen auch Abweichungen geben.
Wie lässt sich das Recht auf Löschung mit bestehenden Aufbewahrungspflichten vereinbaren?
Die Aufbewahrungspflichten sind sehr unterschiedlich. Jeder Praktiker weiß das. In verschiedenen Kontexten, etwa aus steuerlichen Gründen oder auch bei Hochschulen im Prüfungsbereich. Wie lange muss ich eigentlich Klausuren aufbewahren? Das ist wirklich unterschiedlich und nicht trivial. Da kann man große Tabellen erstellen, was zu welchem Zweck aufbewahrt wird, wie lange etwas aufbewahrt wird und wann möglicherweise Zugriffsbefugnisse geändert werden müssen. Da das nicht einfach ist, wollen wir dann auch die Handreichungen erstellen, um das Ganze für die Verantwortlichen ein wenig zu erleichtern.
Die Bürger wollen sie auch auf die Problematik aufmerksam machen? Oder wofür ist die digitale Kehrwoche gedacht?
Diese Kehrwoche, das ist wirklich so ein Spezifikum im Ländle, wie wir hier sagen. Wir nehmen das hier sehr ernst. Und man kann sich unter der digitalen Kehrwoche auch etwas vorstellen. Wir wollen niedrigschwellig fragen, wo man bei sich selbst beginnen kann und Daten, die man nicht mehr benötigt, auch löscht. Wie ist das, wenn ich zu Hause unzählige USB-Sticks total “random” herumliegen habe, die auch nicht verschlüsselt sind. Brauche ich die überhaupt? Sollte ich die nicht mal löschen? Und wie mache ich das sicher? Wie sieht es mit meinem E-Mail-Postfach aus? Wie viele Accounts betreibe ich eigentlich bei verschiedenen Diensten? Benötige ich die alle noch oder können die weg?
Das betrifft doch alle?
Genau. Und was nicht da ist, kann auch nicht missbräuchlich genutzt werden. Für verantwortliche Stellen kommt hinzu: Ein Datum, das legitimerweise gelöscht wurde, muss auch nicht mehr beauskunftet werden.
Dieses Recht auf Löschung ist sinnvoll. Es schützt Menschen und erleichtert Unternehmen auch langfristig die Arbeit. Wir werden nicht nur Handreichungen für verantwortliche Stellen schreiben, sondern auch für Bürgerinnen und Bürger Veranstaltungen organisieren. Dabei wollen wir das kleine Einmaleins für das Löschen von Daten zu Hause besprechen und Hilfestellung geben.
Wie funktioniert dann eigentlich genau die Umsetzung des Rechts auf Löschung? Welche Befugnisse haben Sie?
Das betrifft jetzt unsere Arbeit, unabhängig von der koordinierten europäischen Aktion. Wir können zum Beispiel Auskunft verlangen, wir können uns die Datenverarbeitung anschauen, wir können auch vor Ort kontrollieren. Unsere Befugnisse sind in Art. 58 DSGVO geregelt, danach handeln wir.
Müssen die Menschen Ihnen auch Einlass gewähren?
Im Extremfall haben wir die Befugnisse. Ich schaue jetzt aber nicht in alle Datenverarbeitungen hinein und sehe mir an, ob die Löschung richtig ist. Das ist nicht die Idee des Coordinated Enforcement Frameworks, der koordinierten Aktion. Damit wollen wir eher herausfinden, wo die Schmerzpunkte in Behörden und Unternehmen liegen. Wir fragen beispielsweise, wie die Prozesse gestaltet sind. Wie funktionieren die Prozesse intern und extern, wo ist die Löschung vorgesehen?
Mit welchen Ergebnissen rechnen Sie bei dem Fragebogen?
Wir haben zumindest die Erwartungen, dass man systemisch sehen wird, wo zum Beispiel die größten Schmerzpunkte bei Unternehmen sind. Die Schmerzpunkte öffentlicher Stellen sind wahrscheinlich nicht dieselben wie bei Unternehmen. Es wird wahrscheinlich Fragen geben, die eher bei Unternehmen auftauchen, wo möglicherweise auch andere Fristen gelten als bei öffentlichen Stellen, die Daten zu völlig anderen Zwecken verarbeiten. Die Ergebnisse jedenfalls werden uns helfen, auf die Praxis bezogene Handreichungen zu erstellen, die allen nützen.
Sie haben auch Ihren 40. und bisher längsten Tätigkeitsbericht herausgebracht. Da gibt es ein paar Schwerpunkte. Interessant sind darin verschiedene Punkte, wie die Zunahme von Videoüberwachung. Woran liegt das?
Wir beobachten definitiv eine Zunahme von Videoüberwachung. Das ist auffällig, wenn man unseren Bericht liest. Das Thema Videoüberwachung sieht man an unterschiedlichen Stellen mehrfach. Videoüberwachung nimmt im öffentlichen Bereich und zu unterschiedlichen Zwecken zu: aus Sicherheitsgründen an Bahnhöfen, zur Überwachung von Müllablagerungen an bestimmten Stellen. Auch die Videoüberwachung im privaten Kontext nimmt zu. Große Wohneinheiten mit beispielsweise 90 Wohnungen werden sowohl im Außenbereich überwacht als auch innen, im Treppenhaus oder in der Waschküche. Das wird dann mit Brandschutz begründet.
Aber benötigt man dazu wirklich Videokameras, die einem auf die Wäsche schauen? Ein Brandmelder tut das doch vielleicht auch. Wir haben da auch auf den ersten Blick Skurriles in unserem Datenschutzbericht, zum Beispiel Videoüberwachung auf dem Friedhof.
Warum findet die Videoüberwachung auf dem Friedhof statt?
Weil Grabschmuck gestohlen und Blumen geklaut werden – kann man sich nicht ausdenken, das ist tatsächlich so. Und dann werden einzelne Gräber videoüberwacht. Jetzt kann man sagen: Wir machen das zu Beweiszwecken, wenn die Blumen wegkommen. Aber wenn das Nachbargrab auch videoüberwacht wird, weil der Einstellwinkel der Kamera eben so gewählt ist und dann Personen zum Beispiel beim Trauern überwacht werden, dann ist das einfach unangemessen.
Der nächste Punkt ist: Technik wird erst mal günstiger und ist überall zu sehen. Wenn sie bestimmte Fahrzeuge von bestimmten Herstellern haben, die dann das Fahrzeugumfeld überwachen und die Polizei darauf zugreifen möchte, dann haben sie auch eine Videoüberwachung, zunächst im privaten Kontext und dann im öffentlichen Kontext für Strafverfolgungszwecke. Das wirft auch ganz schwierige Rechtsfragen auf.
Sie erwähnen auch KI im Schwimmbad. Inwiefern ist das ein Problem?
Das ist mehr als eine klassische Videoüberwachung. Das heißt, die Kameras, die Sie da haben, sind mit Datenbanken und mit KI-Systemen verbunden. Die Idee dahinter ist, dass man durch Erkennung von bestimmten Bewegungsmustern in der Lage ist zu prognostizieren, dass ein bestimmtes Schwimmverhalten oder Bewegungsverhalten nicht normal ist und jemand zu ertrinken droht.
Die Idee ist zunächst gut – wenn es denn funktioniert. Aber man muss hier schon genau hinschauen, welche Bilddaten verarbeitet werden. Auch muss man fragen, ob und mit welchen Bilddaten, also von schwimmenden Personen die eher leichter bekleidet sind zum Beispiel, dann auch das System weiter trainiert wird. Und wo wird das System weiter trainiert? Habe ich noch einen Drittstaaten-Transfer in die USA, in Israel, wo diese Unternehmen ihren Sitz haben? Das heißt also: Man muss da sehr genau in den Maschinenraum gucken, ob das an der Stelle akzeptabel ist.
Dafür könnte es auch Alternativen geben?
Ja, natürlich. Das muss man sich im Einzelfall anschauen. Am Ende des Tages zieht die Kamera Sie auch nicht aus dem Wasser. Das Personal muss vor Ort bleiben. Und wenn da vielleicht auch eine Sicherheit versprochen wird, die es gar nicht gibt, ist das auch ein Problem. Die Hersteller versprechen auch unter Umständen sehr viel.
Das Thema KI wird uns ja wahrscheinlich noch weiter beschäftigen, gerade jetzt auch mit KI-Verordnung und Co. Da tun Sie auch eine Menge.
Wir tun da vor allem deswegen viel, weil wir beraten wollen. Wir erhalten hier vor Ort unheimlich viele Anfragen. Die Unternehmen sind sich manchmal nicht sicher, fragen uns etwa: Wie kann ich das System betreiben? Und da sehe ich uns in der Pflicht, zu helfen, vor Ort Beratung anzubieten. Zu Datenschutz und KI, die vielfach mit der Verarbeitung personenbezogener Daten einhergeht. Die KI-Verordnung tritt sukzessive in Kraft – 2026 ist die Endausbaustufe. Aber die Unternehmen und öffentlichen Stellen wollen jetzt wissen, was in welchem Rahmen funktioniert und nicht in ein paar Jahren.
Muss man sich keine Sorgen mehr machen, wenn man alles selbst hosted und nicht in die Cloud zieht, wie das alle gerade tun?
“Sorglos” ist so eine Sache… Das Hosting ist ein wichtiges Thema. Es ist natürlich ein Problem, wenn Sie nur Dienste haben, die am Ende des Tages cloudbasiert sind und in bestimmten Staaten betrieben werden. Natürlich wäre es besser, seine eigene Infrastruktur zu betreiben, um die Kontrolle zu haben.
Wenn man es sich leisten kann…
Ja, das ist dann die nächste Frage. Es gibt aber Initiativen. Der KI-Assistent F13 nutzt etwa die Technologie von Aleph Alpha und ist in Baden-Württemberg bei der Landesverwaltung im Einsatz. Die Idee war, so etwas für die Verwaltung abzubilden, was auch in lokalen Strukturen bei unserem Rechenzentrumsanbieter für öffentliche Stellen betrieben wird. Die Llama-Modelle von Meta lassen sich auch herunterladen und testen.
Wie läuft es mit der Cloud im Gesundheitswesen?
Zunächst haben wir den europäischen Gesundheitsdatenraum, das Gesundheitsdatennutzungsgesetz und auf Landesebene zum Teil die Landeskrankenhaus-Gesetze und so weiter. Das müssen Sie alles übereinanderlegen, was juristisch gar nicht mal so trivial ist. Mit der Forschung gibt es weitere datenschutzrechtliche Fragen. Haben sie vielleicht sogar genetische Daten? Wir führen Debatten darüber, was möglich ist. Da wird es möglicherweise Änderungen bei uns in Baden-Württemberg geben. Wir müssen auch ausbuchstabieren, zu welchen Zwecken auch KI im Training möglich sein soll, was in einem Datenpool einbezogen werden kann und was nicht.
Zahlreiche Unternehmen ändern auch gerade ihre Datenschutzerklärungen, um KI einsetzen zu können, beispielsweise eBay. Wird das jetzt zunehmend mehr zum Thema?
Das sehen wir tatsächlich bei vielen Unternehmen. Jeder kann selbst entscheiden, ob er seine Daten für ein Training von einer KI zur Verfügung stellt. Das ist Selbstbestimmung. Allerdings müssen Nutzer über die Zwecke aufgeklärt werden. Das ist wichtig. So etwas darf nicht heimlich geschehen. Bei X war es zum Beispiel nicht transparent, dass man auf einmal mit den Nutzendendaten trainiert hat. Bei den irischen Kollegen bei der DPC (Anm. d. Red.: Data Protection Commission) führte das dazu, sich mit dem Sachverhalt zu befassen. Wir haben im Europäischen Datenschutzausschuss dann auch über die Frage diskutiert, ob KI-Modelle Personenbezug haben oder nicht. Das ist in die Opinion geflossen, die wir im Dezember verabschiedet haben.
Ein anderes, in Ihrem Bericht, prominentes Thema war noch der Beschäftigtendatenschutz. Bewerbungen wurden da mit einem kostenlosen Virenscanner überprüft?
Ja, das ist solch ein Beispiel. Das passiert schnell. Sie sind in einem Unternehmen und derjenige, der das gemacht hat, hat sich erst einmal wahrscheinlich auch nichts Böses dabei gedacht. Und jetzt findet er im Internet ein Angebot, das ihm sagt: So einen Virenscan kannst du machen. Du musst die Dateien dafür hochladen und das kostet nicht mal etwas. Spätestens dann müsste man bei einem kommerziellen Angebot normalerweise aufhorchen und sagen: Moment mal, da stimmt doch etwas nicht. Und dann würde man das Kleingedruckte lesen. Und wenn im Kleingedruckten steht: Wir behalten uns vor, die Daten, die bei uns hineingegeben werden, auch gegebenenfalls zu veröffentlichen – ja, dann ist es jedenfalls keine wirklich gute Idee, Bewerbungsdaten hochzuladen. Das ist so ein Beispiel dafür, dass Technik mit ganz wenigen Klicks etwas möglich macht, was massive Folgen haben kann.
Als Unternehmen ist man hier gut beraten, Software zu nutzen, die sich lokal kontrollieren lässt und dann gegebenenfalls auch Geld kostet.
Das ist bei kostenlosen Datei-Konvertern sicherlich das Gleiche?
Ja, ich hatte auch gesehen, dass davor gewarnt wird. Bei Diensten, die man ohne Geld zu bezahlen nutzt, und die etwas tun, was einen Wert darstellt, muss man sich immer fragen, ob man hier nicht mit seinen Daten zahlt. Und das ist in der Regel so.
(mack)