• Bei der Überarbeitung von Sicherheitsgesetzen sollte Datenschutz mitbedacht werden, fordern die mitteldeutschen Datenschutzbeauftragten.
• Weiterer Druck auf den Datenschutz kommt aus der politischen Entwicklung in den USA.
• Sachsen-Anhalts Landesdatenschutzbeauftragte will das Thema Datenschutz auch an Schulen voranbringen.

"Wir Datenschützer stehen aktuell enorm unter Druck", sagt Juliane Hundert, Sächsische Datenschutz- und Transparenzbeauftragte. Hundert meint damit nicht die mehr als 100 Gesetze und Rechtsakte, die in nächster Zeit wegen neuer EU-Regeln auf sie zukommen, sondern politische Forderungen. Nach den Amokfahrten und Messerangriffen der vergangenen Wochen haben manche Sicherheitspolitiker und -politikerinnen den Datenschutz mal wieder als Gegner ausgemacht. Datenschützer müssten jetzt den Datenschutz hochhalten und gleichzeitig das Sicherheitsgefühl der Bevölkerung berücksichtigen, sagt Hundert.

Den Druck sieht auch Maria Christina Rost, Landesbeauftragte für den Datenschutz Sachsen-Anhalt. "Der Datenschutz sollte bei der Umsetzung für mehr Sicherheit frühzeitig mit am Tisch sitzen und beteiligt werden." Der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, Tino Melzer, wünscht sich, dass die anstehenden Änderungen der Sicherheitsgesetze verhältnismäßig sind.

"Mein Wunsch an den Thüringer Landesgesetzgeber ist, diese Maßnahmen mit Maß und Mitte zu überlegen. Er sollte auch evaluieren, welche Rechtsgrundlagen er für diese politische Agenda braucht", sagt Melzer. So sei ihm die Überarbeitung des zehn Jahre alten Polizeiaufgaben- und des Polizeiordnungsgesetzes in Thüringen auch angekündigt worden.

Gerade Sicherheitspolitiker müssen den Datenschutz immer mitdenken, sagt Sachsen-Anhalts Digitalministerin Lydia Hüskens (FDP): "Natürlich wird man den Umgang mit einzelnen personenbezogenen Daten immer mal nachjustieren müssen." Es gebe immer wieder den Wunsch von Polizeibehörden und Justizbehörden, auf solche Daten zuzugreifen. "Aber genau dafür haben wir den Datenschutz."

Druck auf die Datenschützer erzeugen auch die neuen Aufgaben und Regeln aus Europa. Bei den Regeln geht es um KI und die Regulierung großer digitaler Dienste. Unklar ist für Deutschland teilweise noch, ob die Datenschützer der Länder dabei einbezogen werden. Denn zum einen gibt es Bestrebungen, die Aufsicht zu zentralisieren. Und zum anderen soll zum Beispiel die Bundesnetzagentur die KI-Aufsicht übernehmen. Dadurch drohe eine Zersplitterung des Datenschutzes, sagen die mitteldeutschen Landesdatenschutzbeauftragten und lehnen eine Zentralisierung des Datenschutzes ab.

Maria Christina Rost aus Sachsen-Anhalt und ihre Kollegen aus Sachsen und Thüringen wollen die Datenschutzaufsicht bei den Ländern lassen. Nur so könne man die Menschen und Unternehmen auch vor Ort beraten – jedenfalls besser als eine zentralen Stelle in Berlin oder Bonn.

Für Thüringens Datenschutzbeauftragten sorgt Datenschutz vor allem für mehr Transparenz bei der Digitalisierung. Gebe es den Datenschutz nicht, stünde man quasi in einem dunklen Raum. "Und dann sieht man nicht, wer macht da was in der Ecke", sagt Melzer. Das scheint bei KI derzeit der Fall zu sein. Sie wird oft als Blackbox bezeichnet. Es ist unklar, wie Datenschutz und KI zusammengehen, denn Entscheidungen von KI-Systemen lassen sich oft nicht nachvollziehen, sind also intransparent. Und mit welchen Daten KI-Modelle trainiert wurden, ist mitunter unklar.

Wie bei allen digitalen Vorhaben sollte auch bei KI-Systemen der Datenschutz von Anfang an mitgedacht werden, sagt Sachsen-Anhalts Digitalministerin Hüskens. Sie zeigte sich auf dem ersten mitteldeutschen Datenschutztag als Datenschutz-Fan – trotz des Streits, den sie mit Sachsen-Anhalts Datenschutzbehörde wegen der Energiepauschale für Studierenden austrägt. Die Behörde wirft dem Digitalministerium vor, unnötig Daten von Studierenden erhoben zu haben.

Zum ersten mitteldeutschen Datenschutztag hat Sachsen-Anhalts Datenschützerin ihren Kanal bei Mastodon gestartet – einem sozialen Netzwerk, das ohne Konzern und Werbetracking auskommt. Auch das begrüßt die Digitalministerin, deren Haus den Mastodon-Server für alle Behörden im Land betreibt. Hüskens sagt aber auch: "Ich halte es wirklich für wichtig, dass wir als öffentliche Hand natürlich auf den verschiedenen Social-Media-Kanälen unterwegs sind. Auch bei denen, die etwas kritischer gesehen werden." Damit meint sie die Angebote der riesigen US-Konzerne. Dort müsse man präsent sein und könne es nicht den anderen überlassen.

Sachsens Datenschutzbeauftragte ist den Diensten der Konzerne deutliche kritischer eingestellt als Hüskens. "Wir haben gesehen, dass die sozialen Netzwerke auch von einer Behörde nicht datenschutzgerecht betrieben werden können", sagt Hundert. Sie liegt deshalb sogar seit zwei Jahren im Rechtsstreit mit der sächsischen Staatskanzlei. Nach ihrer Auffassung muss die Staatskanzlei den Facebook-Auftritt abschalten.

Anders als in Sachsen-Anhalt betreibt Sachsens Datenschutzbehörde den Mastodon-Server im Land. Alle Behörden in Sachsen können sich dort ein Konto anlegen. Bislang wird das nur wenig genutzt. Thüringens Landesdatenschützer hat bislang keinen Social-Media-Auftritt.

Bei der Diskussion um datenschutzkonforme Social-Media-Angebote können die Datenschützer also den Druck herausnehmen, weil es Alternativen gibt. Aber weiterer Druck auf den Datenschutz kommt wohl aus der politischen Entwicklung in den USA. Das sei eine besondere Herausforderung, sagt Thüringens Datenschützer Melzer. Er betrachte Äußerungen der US-Administration derzeit mit einer gewissen Sorge. "Die sind natürlich sehr, sehr aufgeregt, haben das Ziel keine Regulierung und keine Regeln." Das könne die Datenübermittlung an die USA infrage stellen.

Die EU und die USA haben ein so genanntes Datenschutzabkommen, auf dessen Grundlage viele Clouddienste angeboten werden. Melzer sieht es als Aufgabe der Europäischen Kommission an, jetzt genauer hinzuschauen. Er selbst sei bei den Äußerungen aus den USA zurückhaltend: "Das ist ein bisschen Buzzword-Kultur und die Aura Trump steckt darin.

Geht es um Clouddienste, ist Sachsen-Anhalts Digitalministerin entspannt: "Die Frage, ob wir Daten der öffentlichen Hand auf Servern in den USA speichern können, haben wir für uns in Sachsen-Anhalt bereits mit Nein beantwortet." Es gebe entsprechende Verträge über Rechenzentren mit Dataport. "Ich würde eine solche Lösung auch Unternehmen und Privatmenschen empfehlen. Aber ich bin nur für die öffentliche Hand zuständig."

Sollte das Datenabkommen der EU und der USA aufgekündigt werden, wäre die Digitalisierung insgesamt in ihrem Kern betroffen, sagt Melzer aus Thüringen: "Es geht um Cloud-Dienste, Social-Media-Anbieter und die klassische Datenverarbeitung zum Beispiel im Bereich Krankenhaus-Informationssysteme, die in den nächsten Jahren neu aufgestellt werden müssen."

Melzer sagt aber auch, er vermisse die Feinheiten. In Kalifornien gelte beispielsweise ein Recht, das sehr stark an die europäische Datenschutzgrundverordnung angelehnt und teilweise sogar schärfer sei. "Vielleicht erklärt das aber, warum jetzt einige Unternehmen nach Texas oder andere Bundesstaaten gehen und sich aus den Verantwortlichkeiten herausnehmen."

Was beim mitteldeutschen Datenschutztag klar wurde: Datenschützer lehnen digitale Lösungen nie grundsätzlich ab, sondern versuchen, datenschutzkonforme Lösungen zu entwickeln. Denn mit neuen digitalen Lösungen ließe sich vieles verbessern, sagen alle drei mitteldeutschen Datenschutzbeauftragten. Sie sehen zum Beispiel großes Potenzial bei der elektronischen Patientenakte. "Es ist Teil meiner Agenda, Gesundheitsdaten und Forschung nach vorne zu bringen", sagt Thüringens Datenschützer Melzer.

Aber wegen der vor kurzem erneut bekannt gewordenen Lücken sei er bei der elektronischen Patientenakte derzeit zurückhaltend und abwartend. "Die Lücken, die gefunden wurden, sind wahr und echt und haben ein technologisches Problem aufgezeigt." Er gehe aber davon aus, dass die Fehler abgestellt würden. Datenschützer und Bürgerinnen und Bürger sollten das Projekt weiter kritisch begleiten.

Melzer, Rost und Hundert betonen, dass jeder gesetzlich Versicherte selbst entscheiden müsse, ob er oder sie Widerspruch gegen die elektronische Patientenakte einlegten. Sachsen Datenschutzbeauftragte Juliane Hundert sagt: "Ich persönlich habe mich entschieden, nicht zu widersprechen. Aber das ist keine Empfehlung für alle, sondern eine Empfehlung, sich damit zu beschäftigen." Sie hofft, dass die Sicherheitsfragen in den nächsten Monaten und Jahren abschließend geklärt würden und dass das Projekt funktioniere.

Sachsen-Anhalts Landesdatenschutzbeauftragte Rost sagt, bei der Digitalisierung gebe es immer die Gefahr von Hackern. "Das kann man nicht ganz hundertprozentig ausschließen. Deswegen muss jeder für sich entscheiden, ob er die Sache nutzen möchte oder nicht."

Der Hackerangriff auf den Landkreis Anhalt-Bitterfeld im Juli 2021 war Deutschlands erste Cyberkatastrophe. Wie konnte es dazu kommen und was heißt das für die IT-Sicherheit von Deutschlands Verwaltungen? Darum geht es im Podcast "You are fucked – Deutschlands erste Cyberkatastrophe":

Sachsen-Anhalts Landesdatenschutzbeauftragte Rost wünscht sich mehr Datenschutzbildung. Sie kündigte an, mit Schulen zusammenzuarbeiten. Datenschutz im Lehrerzimmer, nennt sie ihre Idee: "Auf die vielen Fragen von Lehrern aus dem Alltag muss man Antworten geben." Nach dem Lehrerzimmer sei der nächste Schritt Datenschutz im Klassenzimmer. "Ich glaube, es ist wichtig, schon in der Schule über Datenschutz zu reden. So wird er ein fester Bestandteil des Lebens." Außerdem sorge mehr Wissen über Datenschutz dafür, dass Schüler und Lehrkräfte neue digitale Werkzeuge besser einschätzen könnten.

MDR (Marcel Roth, Kalina Bunk)