Datenschutzkonferenz schlägt Anpassung der DSGVO an das KI-Zeitalter vor

Das Ziel der deutschen Aufsichtsbehörden: Die DSGVO soll durch zielgerichtete Anpassungen einen noch effektiveren Grundrechtsschutz im Einklang mit den Herausforderungen der technischen Entwicklungen sicherstellen. 

Hinter der DSK verbirgt sich die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“. In diesem Gremium stimmen sich die 17 Landesdatenschutzbeauftragten sowie die Bundesbeauftragte für den Datenschutz (BfDI) ab, um eine einheitliche Anwendung der DSGVO in Deutschland zu gewährleisten. Ihre Entschließungen, Orientierungshilfen und weitere Informationen sind zwar rechtlich nicht bindend, dienen jedoch als maßgebliche Auslegungshilfe für die DSGVO und bieten Unternehmen konkrete Hinweise zur datenschutzkonformen Ausgestaltung ihrer Prozesse.

Eine zentrale Forderung der DSK ist die Einbeziehung von Anbietern bzw. Herstellern in den Adressatenkreis der datenschutzrechtlichen Pflichten. Bisher richtet sich die DSGVO ausschließlich an den „Anwender“ von Software, obwohl wesentliche datenschutzrelevante Weichenstellungen wie Data Protection by Design and by Default in der Sache bereits beim Hersteller, Anbieter bzw.

Importeur getroffen werden. Bislang werden hierbei jedoch ausschließlich die Anwender von Hard- und Software datenschutzrechtlich in die Pflicht genommen In Anlehnung an neuere Rechtsakte wie den Cyber Resilience Act (CRA) und die KI-Verordnung wird daher eine Vorverlagerung datenschutzrechtlicher Pflichten gefordert. Dadurch sollen Hersteller stärker in die Verantwortung genommen werden, insbesondere durch standardisierte Informationen für Verarbeitungsverzeichnisse und Datenschutz-Folgenabschätzungen. Dies könnte insbesondere kleine und mittlere Unternehmen erheblich entlasten und die Rechtssicherheit erhöhen.

Im Bereich der Verarbeitung personenbezogener Daten durch KI-Systeme sieht die DSK einen über die bisherigen Vorschläge auf EU-Ebene hinausgehenden Handlungsbedarf. Insbesondere fordert sie spezifischer Rechtsgrundlagen für die Entwicklung, das Training sowie den Betrieb von KI-Systemen. Zudem sollen die Betroffenenrechte wie Informations- und Auskunftsrechte gestärkt werden, wobei Systemen mit „eingebauter Rechtegarantie“ der Vorzug zu geben ist. Falls die Umsetzung dieser Rechte technisch oder wirtschaftlich unverhältnismäßig ist, schlägt die DSK funktionsäquivalente oder kompensatorische Schutzmaßnahmen vor. 

Im Hinblick auf das Auskunftsrecht nach Art.15 DSGVO empfiehlt die DSK keine Begrenzung seines Anwendungsbereichs, betont jedoch die Notwendigkeit einer präziseren Ausgestaltung seiner Reichweite. Konkret regt sie an, den Vorbehalt zum Schutz von Rechten und Freiheiten Dritter (derzeit nur in Art. 15 Abs. 4 für die Datenkopie geregelt) auf das gesamte Auskunftsrecht zu erweitern. Dies würde es Unternehmen ermöglichen, Auskünfte in begründeten Einzelfällen einzuschränken, wenn Interessen Dritter gefährdet sind.

Außerdem wird ein konkreter Vorschlag zum Bürokratieabbau unterbreitet: So soll die Pflicht zur Meldung von Datenschutzbeauftragten an die Aufsichtsbehörden entfallen, da sie in der Praxis keinen erkennbaren Mehrwert bietet. Zudem fordern die Behörden mehr Ermessensspielraum bei der Bearbeitung von Beschwerden. Angesichts steigender Fallzahlen sollen Ressourcen stärker priorisiert eingesetzt werden können.

Die deutschen Aufsichtsbehörden positionieren sich mit diesen Vorschlägen klar: Die DSGVO ist ein Erfolgsmodell, bedarf aber einer operativen Nachschärfung vor dem Hintergrund des technischen Fortschrittes. Für internationale Unternehmen könnte dies künftig eine Entlastung bei der Nutzung von IT-Produkten bedeuten, sofern die EU-Kommission dem deutschen Vorstoß zur Herstellerhaftung folgt. Die Entschließung unterstreicht den Trend zu einer risikobasierten und herstellerzentrierten Regulierung im europäischen Digitalbinnenmarkt.​