Datenschutz im Haus der Daten
Die DNB ist ein Haus der Daten. Daten aller Art sind ihr tägliches Geschäft. Die Grundlage hierfür – nämlich die Medienwerke in ihrem Bestand – bewahrt sie in exakt temperierten Magazinen und Serverräumen gut geschützt auf. War es das schon mit dem Datenschutz? Auf keinen Fall!
Denn auch da, wo man zunächst nicht daran denkt, sind Daten vorhanden. Viele davon sind „personenbezogene Daten“ (pbD) – also alles, was uns als Person identifiziert, wie etwa Name, Adresse oder E-Mail-Adresse, Religionszugehörigkeit oder Gesundheitszustand. Die Benutzungsabteilung verwahrt die Daten der Benutzer*innen, das Personalreferat Mitarbeitenden-Daten. Wieder andere pbD fallen im Bereich der Informationstechnologie an. Die DNB ist für alle diese Daten verantwortlich (und damit, datenschutztechnisch gesprochen „die Verantwortliche“).
Das europäische Datenschutzrecht erlaubt den Umgang mit pbD (die „Verarbeitung“) außerhalb des Kreises von Freunden und Familie nur unter besonderen Voraussetzungen: Für jede Verarbeitung muss der Verantwortliche eine spezielle Erlaubnis haben. Die DNB kann für ihre Zwecke zum Glück ganz unterschiedliche Rechtsgrundlagen anführen: Bei der Pflichtablieferung handelt sie hoheitlich und im gesetzlichen Auftrag – selbstverständlich darf sie auch die damit zusammenhängenden pbD nutzen. Nutzer*innen haben in die Verarbeitung von Namen, Anschrift etc. eingewilligt und somit der DNB ihre Erlaubnis erteilt, die sie freilich jederzeit widerrufen können.
Doch bei dieser ersten Beschränkung bleibt es nicht: Wer pbD verarbeitet, darf dies nur zu vorher festgelegten Zwecken, nur im notwendigen Umfang, nur solange wie nötig. Die Datenverarbeitung muss transparent und zu klar erkennbaren Zwecken erfolgen. Der Verantwortliche muss außerdem dafür sorgen, dass die Daten richtig sind und ggf. vertraulich bleiben. Daraus folgen nicht nur vertragliche oder dokumentative Verpflichtungen, sondern auch praktische Maßnahmen eher „technischer“ Art: Büros sollte man abschließen, wenn sie nicht besetzt sind, PCs sperren, Passwörter ebenso vertraulich behandeln wie die Unterlagen, auf die man mit ihrer Hilfe zugreifen kann. Gerade hier hat der Datenschutz seine Schnittmengen mit der Informationssicherheit.
Diese auf den ersten Blick sperrige Regelungen sind nicht immer angenehm, manchmal kompliziert, aber sie erfüllen einen wichtigen Zweck: Der oder die Einzelne soll die Hoheit über alle Daten behalten, die ihn und sein Leben betreffen. Er oder sie soll – soweit es möglich ist – selbst entscheiden können, was Dritte wissen und welche Folgerungen sie daraus ziehen können. Gerade dort, wo die freie Entscheidung durch staatliche Eingriffsbefugnisse begrenzt ist, folgt aus dieser Machtstellung besonders große Verantwortung für die Verantwortliche.
Damit stehen im Zentrum des Datenschutzes nicht die Daten, sondern der Mensch. Das ist gelebter Grundrechtsschutz.
Datenschutz ist gerade in Deutschland kein Thema der letzten Jahre, sondern schon seit den 1970er Jahren aktuell. Immer wieder ist Datenschutz seitdem ein kontroverses Thema, wobei sich mit vielen inhaltlich begründeten Zweifeln auch Sorglosigkeit, Wahlkampfgetöse und EU-Kritik mischen. Doch oft ist die Vorstellung schlimmer als die Realität: Das Inkrafttreten der umfassenden Datenschutz-Grundverordnung (DSGVO) ab 2018 führte z.B. zu einigen absurden Blüten. So ließ eine Wiener Hausverwaltung wegen einer einzigen Beschwerde auf etwa 220.000 Klingelschilder von ihr betreuter Wohnungen die Namen der Mieter entfernen und durch Nummern ersetzen. So verstanden ist Datenschutz in der Tat schwer praxistauglich – aber solche Maßnahmen verlangt das Gesetz überhaupt nicht.
Die Zeit der Panikreaktionen ist mittlerweile wohl hoffentlich vorbei. Die DSGVO ist vielmehr ein Exportschlager geworden: Kanada, Brasilien, Japan, Südkorea, Indien sowie Südafrika haben ihre Gesetzgebung mittlerweile deutlich an der DSGVO orientiert und auch der US-Bundestaat Kalifornien hat mit dem „California Consumer Privacy Act“ viele Grundsätze der DSGVO übernommen.
Dennoch bietet die technische Entwicklung immer wieder Herausforderungen für den Datenschutz. Auch die DNB will und muss die Möglichkeiten künstlicher Intelligenz, z.B. generative KI-Anwendungen, für sich und ihre Nutzenden heranziehen. Sie bietet mit ihren qualitativ hochwertigen Beständen und der Vernetzung in die Wissenschaft eine exzellente Ausgangssituation sowohl für Grundlagenforschung als auch für anwendungsorientierte Entwicklung. Wie aber fügen sich KI-Anwendungen in das Datenschutz-Umfeld ein? Einerseits beeindrucken die technischen Möglichkeiten künstlicher Intelligenz: Sie lernen aus riesigen Datenmengen, erkennen Muster und liefern beeindruckend, scheinbar kreative Antworten. Andererseits wirft gerade dieser datengetriebene Ansatz Fragen auf. Wie werden Trainings- und Nutzer*innendaten verarbeitet?
Während die DSGVO Datenminimierung, Zweckbindung und Transparenz verlangt, basiert KI-Training auf riesigen Datenmengen in einem technischen Umfeld, dessen innerer Zustand einer Blackbox gleicht. Zwar geben die Anbieter z.B. der gängigen großen Sprachmodelle an, die enthaltenen Daten seien vollständig anonymisiert. Doch besonders bei detaillierten Datensätzen besteht die Gefahr der Re-Identifikation. Zudem ermöglichen Fortschritte in der KI und Mustererkennung es, auch anonymisierte Daten zu analysieren und Rückschlüsse auf Einzelpersonen zu ziehen. Die Grenze kann fließend sein, die Möglichkeiten einer missbräuchlichen Datenverarbeitung und (zukünftig) rückwirkenden Identifikation bleiben. Zusätzlich bleiben auch bei der alltäglichen Nutzung von KI-Tools Risiken, je nachdem welche Daten wir darin teilen. Dieser Gefahr begegnet die DNB mit einer internen KI-Policy, die auch aufzeigt, wie mit In- und Output von KI-Anwendungen umzugehen ist.
Auch ein umfangreiches Paragraphenwerk wie die DSGVO zeigt sich im Bereich KI sehr „menschlich“: Die automatisierte Entscheidung über wichtige Angelegenheiten Einzelner allein durch Computerprogramme wie KI, wie z.B. beim „Scoring“ oder einem gerichtlichen Urteil, verbietet sie ganz ausdrücklich. Der Mensch soll nur durch seinesgleichen bewertet, beurteilt und gerichtet werden können. Er steht auch hier im Mittelpunkt. Am Ende bleibt die Balance zwischen Innovation und Datenschutz eine Herausforderung, die technische Raffinesse ebenso wie Pragmatismus verlangt. Das haben auch die Datenschutz-Aufsichtsbehörden erkannt (für die DNB ist das die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) und erste Wege aufgezeigt, wie KI rechtssicher eingesetzt werden kann. Hier öffnen sich Räume, innerhalb derer die DNB ihre Aufgaben mithilfe von KI effizienter gestalten und ihre Möglichkeiten erweitern kann.
In diesem Sinne: Alles Gute zum Europäischen Datenschutztag am 28.01.2025!
Christoph Wohlstein
Christoph Wohlstein ist Jurist im internen Justiziariat und behördlicher Datenschutzbeauftragter der DNB.
Simon Herrmann
Simon Herrmann ist Bibliothekar, zuständig für die Rechteklärung digitaler Bestände und stellvertretender behördlicher Datenschutzbeauftragter der DNB