Jahresrückblick 2025 Teil 1 aus Sachsen-Anhalt – Christina Rost im Datenschutz Talk

Transkript zur Folge:

Herzlich willkommen zu einer neuen Folge unseres Datenschutz-Talk-Podcasts.
Heute mit einem kleinen Jahresrückblick.
Unsere große Jahresrückblick-Show Menschenbilder-Datenschutz mussten wir ja
leider ausfallen lassen dieses Jahr.
Umso mehr freue ich mich, dass ich heute dafür einen kleinen Rück- und Ausblick
mit meinem Gast wagen darf.
Mein Name ist Heiko Gossen und ich habe heute das Vergnügen mit Maria-Christina
Ross, der Landesbeauftragten für den Datenschutz und die Informationsfreiheit
in Sachsen-Anhalt sprechen zu dürfen.
Sie hat ihr juristisches Handwerk von der Pike auf gelernt, nach dem Jurastudium
in Göttingen, Station in der Anwaltschaft und Verwaltung, bis hin zum Schulministerium
in Nordrhein-Westfalen.
Aber sie bringt auch sehr viel Erfahrung im Datenschutz mit.
Das ist das Wichtige für uns heute. über zwölf Jahre Erfahrung in der Datenschutzaufsicht,
nämlich beim hessischen Auftrag für Datenschutz und Informationsfreiheit.
Zuletzt in leitender Funktion und seit 2024 steht sie nun an der Spitze der
Datenschutzaufsicht in Sachsen-Anhalt und das nach einer mehrjährigen Vakanz
des Amtes. Ein spannendes Gespräch über Datenschutzaufsicht und Entwicklung.
Los geht's. Herzlich willkommen, Frau Rost.
Vielen Dank.
Hallo Herr Gossen.
Ich freue mich sehr, dass das geklappt hat und wir jetzt doch noch zusammengefunden haben.
Ich habe es eben schon in der Eingangsvorstellung gesagt, die Stelle,
die Sie innehaben, war mehrere Jahre vakant. Sie kam aus dem hessischen LDI.
Wie kam es zu Ihrer Bewerbung in Sachsen-Anhalt? Gab es da einen besonderen
Moment oder Anlass, der Sie motiviert hat, diesen Schritt zu gehen?
Wie muss man sich das vorstellen?
Das war keine proaktive Bewerbung, sondern es war ein Gespräch.
Wie das manchmal so ist, das sind die Zufälle.
Ich hatte Herrn Professor Ronellenfitsch begleitet zu der ehemaligen Klausur,
die es ja gibt, wo die ehemaligen Datenschutzbeauftragten sich treffen und hatte
ein Gespräch mit einem Menschen, der nicht hier in Sachsen-Anhalt ist und ehemaliger
Beauftragter eines anderen, aber benachbarten Bundeslandes ist.
Und wir hatten gerade Herrn Kohaus zu Gast, der uns erzählte,
dass die Wahl missglückt ist von Herrn Neugebauer.
Das war die letzte Wahljahr, die nicht funktioniert hatte.
Und wir kamen ins Gespräch, derjenige und ich, und dann sagte er,
darf ich deinen Namen mal in den Ring werfen?
Ich könnte mir vorstellen, dass das passen könnte zwischen euch.
Und dann habe ich gedacht, warum eigentlich nicht und habe das Go dafür gegeben.
Und dann entwickelte sich das so über einen längeren Zeitraum.
Ja, eine spannende Geschichte. Ich kann mir auch vorstellen,
dass es dann sicherlich auch noch ein paar politische und organisatorische Hürden
zunehmen gilt, bevor man dann auch dort erfolgreich gewählt wird.
Sicherlich eine spannende Phase, oder?
Das ist eine hochgradig spannende Phase, auf die man sich im Grunde auch nicht vorbereiten kann.
Das ist so, dass man dann verschiedene Lebensläufe einreicht.
Das eine ist der normale Lebenslauf, natürlich über die fachliche Qualifikation.
Es wird aber auch gefragt, ob man politisch engagiert ist.
Das wird auch abgefragt und dann wird es irgendwann so sein,
dass ein Name von einem Namen zum anderen geht und dann ist dann eine Person
an die andere Fraktion herangetreten und hat gesagt, wie ich hätte da jemanden für euch.
Und dann wurde wiederum die nächste Fraktion, die mit im Bunde war,
gefragt, kennst du die? Die kommt aus Wiesbaden.
Und tatsächlich war es dann so, dass ich den einen kannte, weil der bei einer
Fraktion in Hessen im Landtag gearbeitet hat und wir viele Jahre auch zusammengearbeitet
oder gemeinsame Themen hatten.
Und der rief mich dann an, ob ich Zeit auf einen Kaffee hätte.
So fing das Ganze an. Ich kriegte also irgendwann eine kurze Nachricht. Hast du Zeit?
Ich bin das Wochenende in Wiesbaden. Können wir einen Kaffee trinken?
Und da ich ja wusste, dass ich meinen Namen in den Ringen oder den Hut in den
Ring geworfen hatte, dachte ich, jetzt geht's los.
Ich kam gerade aus Neuer von der Urlaubsreise zurück und war dann auch sehr nervös tatsächlich.
Und dann gab es das Gespräch zum Kaffee. Und dann wurde ich auch gleich mit
dem einen Fraktionsvorsitzenden verbunden telefonisch.
Wir haben uns ausgetauscht und vereinbart, dass ich dann die Woche drauf nach
Magdeburg, Magdeburg fahre und mich dort vorstelle und er sich einen Eindruck
von mir machen kann. Und dort traf ich dann die Ersten.
Und im nächsten Schritt geht es dann darum, dass man sich in den Fraktionen vorstellt.
Das heißt, man hat die Chance, sein Programm oder die Idee, wenn man gewählt
werden würde, was man dann anbieten würde.
Und natürlich steht man dann auch für die Fragen zur Verfügung.
Und da ist es von Vorteil tatsächlich, dass ich jahrelang, also ich habe selber
ja auch im Hessischen Landtag als persönliche Referentin des Landtagspräsidenten
in der Verwaltung gearbeitet,
war dann danach auch für unsere Behörde mal so ein bisschen der Austausch,
Kontakt für die Politik, wenn man sich da so ein bisschen schon,
ich sage mal, Erfahrungen mit der ganzen Thematik hat.
Und das ist eine sehr, sehr spannende Phase. Also das kann man nicht lernen
und auch nicht trainieren vorher, sondern entweder bringt man eine Menge Werkzeug
mit, was man dann nutzen kann.
Oder ja, dann andernfalls ist es vielleicht ein bisschen schwieriger auch.
Aber es hat gepasst einfach an der Stelle.
Am Ende hat es gepasst und ich gehe mal davon aus, eine gewisse politische Neutralität
ist dann bei sowas auch nicht schädlich, insbesondere wenn das dann sowieso
schon eine schwierige Situation in dem Landtag ist.
Ja, zumal ich hatte jetzt ja keine Verbindung nach Sachsen-Anhalt,
außer dass meine Mutter von hier kommt.
Und ich habe im Vorfeld, war ich auch im Landesfrauenrat unterwegs,
da ist man ja eh überpolitisch.
Also ich habe immer gerne auch überfraktionell gearbeitet tatsächlich und das ist auch von Vorteil.
Wenn die Stelle als solche auch vakant war, hat die Behörde ja trotzdem gearbeitet.
Aber was bleibt in so einem Fall liegen, wenn die Stelle formal offen ist?
Was mussten Sie sozusagen als erstes anfassen, damit es dann da weitergeht?
Das sind verschiedene Sachen. Also ich sage mal so, der erste Tag,
wenn man in so eine Behörde kommt, ist ja auch die Frage, was finde ich für
einen Arbeitsplatz vor?
Ich war in Hessen jetzt gewohnt, dass ich einen Homeoffice-Arbeitsplatz hatte,
der sehr mobil war und kam also in mein Büro und suchte meinen Laptop und den gab es nicht.
Da gab es erstmal einen Standrechner und auch die Frage, ob ich denn von außerhalb
an meine E-Mails rankomme, wurde erstmal verneint. Eine Frage nach einem Diensthandy
wurde mir die Rückfrage gestellt, wofür ich das denn brauchen würde.
Also das ist einfach, dass sehr viel nicht gemacht wurde, weil man es nicht gewohnt war.
Aber ich es natürlich aus meiner alten Funktion erkannte, sonst hätte ich die
Aufgaben so nicht machen können, die ich hatte.
Und dann war es auch so, ich stellte fest, es gab keine Tätigkeitsberichte aus der Zeit.
Das heißt, wenn man fragt, hat die Behörde gearbeitet oder nicht, das war nicht sichtbar.
Wir hatten eine kommissarische Leitung, aber wenn Sie natürlich immer darauf
hoffen, dass jemand gewählt wird, treffen Sie auch keine Entscheidung.
Sei es Modernisierung, sei es Fragen, Tätigkeitsbericht, wer soll Ihnen denn
schreiben oder sowas. Das bleibt dann liegen unter Umständen.
Und ich habe dann auch nach einer Öffentlichkeitsarbeit gefragt,
weil das ja so eins meiner Steckenpferde auch aus meiner alten Funktion war. Und die gab es nicht.
Also es gab einen Leiter der Behörde und der machte die Pressearbeit.
Aber so klassische Öffentlichkeitsarbeit, wie ich das kannte,
gab es bei uns nicht tatsächlich.
Und natürlich ist dann auch die große Neugier erster Tag. Die Landesbeauftragte ist da.
Ich hatte dann für nachmittags einen Termin zum Kennenlernen angesetzt.
Und dann war aber die Neugier so groß im Haus, dass ich dann schon direkt morgens
durchs Haus gegangen bin und einfach mal Hallo gesagt habe, weil die wissen
wollten, wer ist denn das überhaupt?
Ich durfte vorher nicht in die Behörde. Das war so eine, ja,
weiß ich nicht, hatte so ein, irgendwie war das nicht gewünscht.
Kann ich auch verstehen, weil es ja auch Unruhe reindringt erst mal. Und dann war das am 1.
August da sozusagen mein Entree. Das war sehr spannend und hat viel Spaß gemacht.
Ich kannte ein paar Kollegen schon aus der Zusammenarbeit.
Und habe auch viele neue Kollegen kennengelernt. Wir sind damals zu dem Zeitpunkt 32 gewesen.
Mittlerweile dieses Jahr dürfen wir 37 Leute zählen.
Und das freut mich auch sehr. Das ist auch ein Punkt, den wir jetzt zum Beispiel
in der Zeit erreicht haben.
Also ich habe zu meinem Amtsantritt war es so, dass ich dann nochmal fünf Stellen
dazu bekommen habe, damit wir die Arbeit auch vernünftig umsetzen können.
Und da bin ich auch sehr froh darum, dass wir das so hingekriegt haben.
Haben Sie als erstes geändert? Was war Ihnen da besonders wichtig?
Also was habe ich als erstes geändert? Das waren verschiedene.
Also ganz wichtig war es mir, dass ich ein paar Sachen nicht ändere.
Es gab sowas wie ein Mitarbeiterfrühstück, ein Quartalsfrühstück.
Das habe ich beibehalten, weil mir das ganz wichtig ist, dass wir uns im Haus
auch austauschen und das auch sozusagen das Gemeinsame fördert.
Ich habe darum gebeten, mir ein Diensthandi zu besorgen.
Ich habe gebeten darum, dass wir das schaffen, dass wir diese E-Mail-Erreichung
auch von außen, das heißt, wenn ich unterwegs bin, dass ich dann trotzdem arbeitsfähig
bleibe und nicht die Sachen mehrere Tage liegen bleiben, wenn ich mal aufgrund
von Konferenzen länger weg bin.
Das war so eins. Und ansonsten habe ich, was mir wichtig war,
erstmal die Behörde angeschaut und geguckt, wer kann was, wer macht was,
wer arbeitet wo und den Leuten auch vertraut.
Das finde ich auch ganz wichtig, gerade wenn man neu wo reinkommt.
Mal geschaut, wo sind Kompetenzen, wer macht wo was und was können wir vielleicht
ändern, wo können wir thematisch auch reingehen.
Ich hatte ja am Anfang gesagt, es gibt ein paar Schwerpunkte,
die ich gerne setzen möchte. Die habe ich natürlich auch dann transportiert.
Das war mir auch wichtig, dass da Transparenz ist.
Und zum Jahresende mache ich immer gerne einen Rückblick und einen Ausblick
auf das, was wir vorhaben.
Und ich glaube, das ist auch ganz gut, weil dann klar ist, wo es hingehen soll im Laufe des Jahres.
Das ist auch eine Transparenz, die ich für wichtig halte, dass man die Leute dann auch mitnimmt.
Aber ich habe die Behörde erst mal so gelassen, wie sie war. Ist auch heute noch so.
Ich stelle mir das ja immer sehr spannend vor. Jetzt bin ich Geschäftsführer
von einem Unternehmen, was ich selber aufgebaut habe.
Das heißt, man hat das alles gestaltet und ab und zu stelle ich mir das vor,
wie das denn wäre, wenn man selber jetzt in ein anderes Unternehmen als Chef reinkäme.
Und das ist immer ein ganz seltsames Gefühl. Von daher stelle ich mir das jetzt
relativ vergleichbar vor, mit welchem Gefühl man da wahrscheinlich dann auch
so eine Behörde übernimmt.
Es haben sich ja auch in der Zeit Strukturen gebildet, die ja die Zeit überbrückt
haben und die müssen Sie auch erstmal erkennen tatsächlich, wie was läuft und
wer da welche Aufgaben hat.
Sind Sie fast anderthalb Jahre im Amt? Sie haben natürlich sehr viel Erfahrung
schon in einer Aufsichtsbehörde, aber nun natürlich in der Verantwortung für die Behörde komplett.
Wie fühlt sich der Job mittlerweile an?
Und wenn Sie jetzt auch mal auf das Jahr 2025 zurückgucken oder vielleicht auch
auf die anderthalb Jahre, auf welche Highlights Ihrer Behörde blicken Sie so zurück?
Das sind verschiedene Highlights. Die,
Wo ich sage, ich bin froh, dass wir eingecheckt haben wieder,
also dass wir wieder aktiv sind nach außen sichtbar.
Das ist einmal, ich habe bei uns die Öffentlichkeitsarbeit aufgebaut,
die ist im Moment aber noch Projektmanagement, man sieht das nach außen nicht,
wir haben keine klare Pressestelle, aber es war mir wichtig,
dass wir den Kontakt wieder ins Land bekommen stärk,
dass auch das Vertrauen da ist, dass die Menschen aus den Kommunen,
aus den Unternehmen sich auch an uns wenden und Fragen an uns richten.
Ich habe geguckt, welche Arbeitskreise
haben wir, wo können wir vielleicht auch noch was unterstützen.
Ich habe den Kontakt zur IHK wieder aufgebaut. Das war sehr wichtig,
weil wir da auch das Thema KI und Datenschutz angehen konnten,
um auch zu zeigen, Datenschutz ist nicht nur der Verhindererfaktor,
sondern im Gegenteil, das unterstützt.
Und so schlimm ist es gar nicht, wie alle denken. Also, dass so diese Angstschwelle auch weg ist.
Ich fand es sehr, sehr gut, dass durch dieses Networking, was natürlich am Anfang
ganz wichtig ist, dass man rausgeht auf Veranstaltungen, Menschen kennenlernt.
Ich bin ja neu ins Land gekommen.
In Sachsen-Anhalt geht das sehr gut, sich leicht zu vernetzen,
weil wir ein kleines Land sind und man trifft sich überall wieder.
Und dann ist es gut, wenn man quasi auch empfohlen wird nach dem Motto,
wend dich doch mal an die Datenschutzbeauftragte, frag doch dort nach.
Und das funktioniert sehr gut, sodass ich Projekte, die angesetzt wurden,
wie zum Beispiel einen WhatsApp-Kanal für die parlamentarische Arbeit in den
Kommunen und die Frage, wie gestalten wir das.
Solche Fragen werden dann offen gestellt und man kann das auch diskutieren,
bevor sozusagen etwas in die Welt gesetzt wird und man nachher nicht mehr das korrigieren kann.
Und da haben wir eine gute Zusammenarbeit gehabt.
Das hat gut geklappt, auch wenn Fragen zum Datenschutz waren. Da hat sich viel getan.
Wir haben die Formate beibehalten, die schon da waren. Das gibt ja regelmäßig
einen Austausch mit der Wirtschaft.
Natürlich auch gab es einen Austausch zur IHK, aber nicht in dem Format,
dass man dann auch auf Veranstaltungen das mit Reden und dergleichen unterstützt hat.
Ich habe auch die Unterstützung erfahren von Veranstaltungen wie dem Mitteldeutschen
Digitalisierungstag oder Merseburger Digitaltage, die gesagt haben,
wir wollen die neue Datenschutzbeauftragte kennenlernen, sie vorstellen oder
aber auch wissen, wo sie hin will, in welche Richtung.
Das hat gut funktioniert. Wir haben mittlerweile Flyer, die große Resonanz gefunden
haben und zwar nicht so hochkarätig, fachlich hochkompetent,
sondern das für den Bürger, dass wir sagen, Datenschutz im Klassenchat ist uns wichtig.
Wir wollen informieren und das kam also sehr gut an bei den Schulen.
Da haben wir eine hohe Nachfrage.
Wir haben Datenschutz im Urlaub als Thema gehabt, was es vorher halt nicht gab.
Wir haben einen Mastodon-Account eingerichtet, weil wir gesagt haben,
wenn wir von den anderen das fordern, dass sie als alternative,
als datenschutzkonforme Alternative noch eine andere Social Media Medium nutzen,
dann müssen wir auch selber Vorbild sein und versuchen das zumindest mit den
Bordmitteln, die wir im Moment haben, auch zu bedienen tatsächlich.
Und das hat auch sehr gut funktioniert. Ich bin viel auch zu Veranstaltungen
draußen für Vorträge, um auch Sachsen-Anhalt nach außen wieder sichtbar zu machen,
weil wir das vorher auch nicht hatten.
Wir haben mit dem Schulbereich guten Austausch. Mir ist es wichtig,
Datenschutz von Anfang an mit in die Schule reinzubringen.
Und da haben wir den Kontakt aufgenommen und zum Beispiel jetzt im Februar auch
eine Auftaktveranstaltung für die Lehrer- und Lehrerausbildung,
wo wir das Thema Datenschutz mit direkt reinbringen in diesen Bereich.
Und ich hatte letztes Jahr auch
die Jahrestagung des Projekts Datenschutz geht zur Schule bei mir hier.
Und das Tolle, und da sieht man auch, was sich entwickelt hat,
es waren sowohl bildungspolitische Sprecher zum Austausch da,
als auch der Bildungsminister.
Also der Datenschutz wird positiv gesehen, nicht mehr so als Drohgebärde.
Und das ist ein Erfolg, den hätte ich so schnell nicht erhofft.
Da bin ich also sehr, sehr froh drum.
Und auch die frühe Beteiligung bei Verfahren, das funktioniert jetzt auch,
also Gesetzgebungsverfahren vor allen Dingen.
Ich bin mit meinem, ich habe es fast gar nicht glauben wollen,
wir haben ja die Tätigkeitsberichte nachgeholt.
Und es ist tatsächlich so, dass die an die Ausschüsse überwiesen wurden und
ich da also auch mit in die Ausschüsse gehen kann und den Tätigkeitsbericht vorstellen kann.
Hier in Sachsen-Anhalt ist es so, dass die Landesbeauftragte in die Ausschüsse
reingeht, aber nicht ins Plenum.
In Hessen war es zum Beispiel so, dass der Landesbeauftragte seinen Tätigkeitsbericht
auch im Plenum vorgestellt hat.
Das ist hier anders, aber es ist ein sehr schöner Austausch,
ein sehr guter Austausch.
Ich glaube, da gibt es tatsächlich, man vergisst das manchmal,
aber da gibt es schon sehr viele Parallelen
auch mit der Tätigkeit von Datenschutzbeauftragten im Unternehmen.
Das ist natürlich nochmal eine andere Ebene, auf der sie da tätig sind und mit
einer ganz anderen Sichtbarkeit.
Aber so dieses Thema, frühe Einbindung in Vorhaben, das ist ja etwas,
was sehr viele Datenschutzbeauftragte ja teilen.
Nämlich man möchte ja gar nicht immer der sein, der meckert oder der irgendwie
sagt, das geht nicht, sondern idealerweise wird man früh involviert und kann direkt mitgestalten.
Dann haben eigentlich alle was davon.
Und ich finde das immer sehr schön,
wenn das dann auch auf Landes- und auf Bundesebene auch funktioniert.
Und man damit als betrieblicher Datenschutzbeauftragter natürlich auch darauf
verweisen kann, dass man da sozusagen auch im Unternehmen sich ähnlich positionieren kann.
Wenn Sie jetzt, also es ist ja schon sehr beachtlich, was Sie da alles aufgezählt
haben, was Sie in der kurzen Zeit geschafft haben.
Das ist natürlich, wie gesagt, nach anderthalb Jahren Zeit, das ist gar nicht
so lange, wenn man sich überlegt, dass Sie dann in der Zeit doch sehr viel schon
auf die Beine gestellt haben, Respekt.
Jetzt, wenn wir nochmal auf die fachliche Ebene datenschutzseitig zurückkommen,
war ja auch 2025 ein Jahr, was doch sehr viel mit sich gebracht hat,
sei es Rechtsprechung, sei es aber natürlich auch im Bereich vom Bußgeldverfahren und so weiter.
Was waren so Ihre persönlichen bewegenden Momente im Datenschutz im letzten
Jahr, wo Sie gesagt haben, die verdienen es vielleicht auf eine Highlight- oder
Lowlight-Liste zu kommen?
Es gibt so viele Highlight- und Lowlight-Listen, dass man eigentlich den Sachen
auch mal einen Blick gewähren möchte, die so am Rande gelaufen sind.
Bußgeldverfahren haben Sie gerade angesprochen. Also ich nehme wahr,
dass die Bußgelder immer höher werden, dass sich Geldbußen viel tut.
Ich habe gelernt, dass wir von den Bußgeldern zu Geldbußen umgestiegen sind.
Und ich bin sehr, sehr froh, dass wir auch Rechtsprechungen inzwischen haben,
die unsere Arbeit, die wir über die Jahre geleistet haben im Zusammenhang auch
mit den Geldbußenleitlinien, dass sich da was getan hat.
Ich habe mich sehr gefreut, dass wir auf der Ebene der auch zum Beispiel solche
Sachen wie wir Einigungsverfahren durchführen im Geldbußenverfahren,
die ja auch da sind, dass wir uns da Rahmenbedingungen für gesetzt haben,
dass sich da einiges bewegt hat.
Ich möchte gerne eine der letzten Entscheidungen nennen, nämlich die in dem
Kontext mit dem Schufa, die BGH-Entscheidung tatsächlich, wo die Code of Conducts bestätigt wurden.
Weil das war ja immer so die Frage, welche Rolle sollen denn die Code of Conducts
überhaupt einnehmen? Muss die Rechtsprechung sich daran halten?
Und diese BGH-Entscheidung zeigt ja auch, wie wichtig dieses Instrument ist
und vielleicht ermuntert das oder ermutigt das auch, dass Verbände sich mit
dieser Fragestellung auseinandersetzen, ob so ein Code of Conduct vielleicht hilfreich wäre.
Und was ich hoffe, ich weiß nicht, ob Sie die kennen, die Rechtsprechungssammlung
des EuGH zu der Rechtsprechung zum Datenschutz.
Da gibt es eine Rechtsprechungssammlung, die kennt kaum einer tatsächlich.
Ja, ich auch nicht.
Sehen Sie, das sind die Sachen, die dann wirklich spannend sind.
In solch einem Moment das andere können Sie überall nachlesen.
Aber es gibt eine Rechtsprechungssammlung des EuGH.
Die gab es 2024 zu meinem größten Bedauer nur auf Französisch.
Und die ist inzwischen auf Deutsch da, hat aber natürlich den Stand 2024.
Ich hoffe, die wird vor Ort geschrieben, weil da hat man wirklich die Rechtsprechung
mal gesammelt vor Ort. Die gibt es beim EuGH auf der Homepage.
Und das war für mich so auch ein Punkt, wo ich sage, wunderbar.
Aber ich habe mit großem Interesse natürlich auch die Entscheidung in der Sache
Bundespresseamt verfolgt und Social Media,
weil ich hier in Sachsen-Anhalt direkt nach meinem Antritt mit der Frage auch
beschäftigt wurde, wie gehen wir damit um?
Also sprich, wie können wir Social Media nutzbar machen und haben uns da also
auch an Baden-Württemberg orientiert.
Und ich habe mit einer Arbeitsgruppe der Regierungssprecher,
haben wir da auch ein gutes Verfahren ausgearbeitet, dass man da vernünftig mit umgehen kann.
Und ja, da war natürlich die Entscheidung aus Köln schon mal sehr positiv.
Jetzt muss man immer noch mal gucken, was so kommt. Aber solche Sachen,
ja, ich weiß gar nicht, ob das in die Zeit auch noch reinfällt.
Die Frage, ob die Aufsichtsbehörde tätig werden muss.
Das war eine Entscheidung, die habe ich noch als Justiziarin begleitet in Hessen.
Die kam ja dann auch zum EuGH.
Das war für uns, ich meine, die wäre im März gewesen. Das ist auch so eine für
die Aufsichtsbehörden sehr entscheidende Entscheidung tatsächlich.
Mein Lowlight war die Frage, wie wir mit Datenschutz und Datennutzung umgehen,
aber das werden wir ja wahrscheinlich nochmal separat aufgreifen können.
Vielleicht positiv, dass wir den ersten parlamentarischen Amt zum Datenschutz hatten.
Ich glaube, das hat es noch nie gegeben. Wir haben zwei parlamentarische Amten
zum Datenschutz im Jahr 2025 gehabt. Das ist ein Novum.
Und da sieht man auch, dass sich einiges entwickelt hat und was ich halt noch
sehr, sehr gut finde, ist, dass Artikel 57, nämlich die Frage der Aufgaben der
Aufsichtsbehörde, deutlich anders inzwischen ausgelegt wird, als das am Anfang war.
Das ist nämlich nicht nur um die Aufsicht und die Frage, ob der Datenschutz
umgesetzt wird, geht, sondern auch weitere Aufgaben wie Öffentlichkeitsarbeit
und dergleichen mit in unseren Aufgabenbereich gehören.
Und ich freue mich, dass das Thema Kinder, was ja gesondert aufgegriffen werden
soll in diesem Jahr, denke ich, Fahrt aufnehmen wird, wenn man sieht,
wie die Veranstaltungen jetzt so reinkommen, aber auch, wenn man die Diskussionen
der letzten Monate so verfolgt.
Das Thema Fanpage angesprochen und gesagt, dass Sie da auch was entwickelt haben.
Ist das ein Thema, wo Sie auch mit den Landesbehörden durchaus Kontroversen
haben, wie damit umzugehen ist oder ist das alles noch on hold,
bis wir da eine finale Entscheidung sehen?
Ich denke, es ist on hold. Nur das Problem ist, wir müssen ja eine Lösung für die Länder finden.
Und wenn Sie mal schauen, auch das, was die Bundesbeauftragte hat,
ja auch eine Empfehlung für die Verwaltung rausgegeben.
Baden-Württemberg hat verschiedene Papiere rausgegeben und wir haben uns dann
in diesen Kanon mit eingebunden und haben überlegt, wie kann man die Situation
jetzt vorläufig, wenn irgendwann eine Gerichtsentscheidung kommt final,
dann müssen wir es so hinnehmen, wie es kommt.
Aber im Moment ist es so, dass man ja eine Lösung finden muss.
Also ich weiß nicht, ob sie die Veranstaltung der Stiftung Datenschutz im letzten
Jahr verfolgt haben zum Thema Social Media und Fanpages.
Und da sind ja, man muss das ganze Thema letztlich auch aus verschiedenen Perspektiven,
wissenschaftlichen Perspektiven betrachten, damit man auch so es einsortieren kann tatsächlich.
Ich weiß leider nicht den Autor des Gutachtens, aber es gibt auch ein Gutachten,
was sich mit der Frage intensiv auseinandersetzt des Informationsbedürfnisses
des Staates gegenüber dem Bürger und der Frage, wie erreiche ich den Bürger?
Und das rechtfertigt das dann
offensichtlich, also zumindest ist das Gutachten so positiv zu bewerten.
Also es ist schwierige, es bleibt natürlich der Rest mit den Datenschutzproblemen
bleibt. Wir müssen nur bei den Geldbußen gucken.
Da gibt es immer wieder Fragestellungen, aber es ist auf der anderen Seite natürlich
auch die Frage, wie gehe ich mit der Praxis um, mit der Lage,
also mit der gesellschaftlichen Entwicklung, die wir haben.
Ich meine, diese ganze Fanpage-Thematik ist ja ein Stück weit auch Ausfluss
aus einer EuGH-Entscheidung, die ja auch mittlerweile einige Jahre alt ist,
nämlich zur gemeinsamen Verantwortlichkeit,
was ja aus meiner Sicht erst ganz viele der datenschutzrechtlichen Herausforderungen
für Unternehmen ja mit sich bringt.
Vor der Entscheidung konnte man sich da ja immer gut distanzieren von,
aber mit der gemeinsamen Verantwortlichkeit, die der EuGH da gesehen hat,
hat sich ja doch auch sehr viel geändert dann in dem, womit wir zu kämpfen haben.
Jetzt haben Sie eben auch schon gesagt, EuGH-Rechtsprechungsdatenbank finde
ich natürlich auch ganz hervorragend.
Das ist etwas, wo man ja ein paar Entscheidungen immer ganz gut parat hat,
aber dann doch bei dem einen oder anderen Thema immer doch gerne nochmal auch
die eine Entscheidung wieder recherchieren und suchen muss. Zumindest geht das mir so.
Und von daher finde ich den Tipp schon mal sehr hilfreich. Nichtsdestotrotz,
wenn wir so auf die EuGH-Rechtsprechung jetzt nicht nur im letzten Jahr,
sondern auch in der Vergangenheit schauen, wie nehmen Sie die wahr?
Wie gesagt, ich habe ja gerade schon gesagt, ich habe da so an der Heidel-Anstelle Schwierigkeiten.
Im letzten Jahr hatten wir ja zum Beispiel auch die Entscheidung zur französischen
Bahn und der Frage, dürfen wir die Anrede noch erheben für eine sozial adäquate
Ansprache von Kunden und Kundinnen.
Wie blicken Sie auf die EuGH-Rechtsprechung im Fragendatenschutz?
Es gibt natürlich so Fragen, genau wie diese Entscheidung, die Sie ansprechen,
wo man sich schon fragt, wo kommt das her?
Ich hatte das Glück, dass ich einen Besuch beim EuGH machen konnte mit ein paar
Kollegen und ich habe was gelernt, was ich nicht gedacht hätte.
Ich bin immer davon ausgegangen, dass auch beim EuGH der Amtsermittlungsgrundsatz gilt.
Okay, kann man drüber reden, dass da Fachleute sitzen, die sich mit Datenschutz
auskennen und die Entscheidungen treffen, dass es von Relevanz ist,
wenn man Dokumente mitliefert.
Also ich denke zum Beispiel an die Entscheidung zum parlamentarischen Datenschutz,
die mich teilweise sehr verwundert haben, wenn man sich mit Parlamentsrecht
mal beschäftigt hat. weiß ich noch nicht, ob ich diese Entscheidung gut finden möchte, kann.
Das hängt damit zusammen, man muss auch die Arbeitsweise des EuGH einmal kennengelernt
haben, damit man das vielleicht auch einordnen kann, wie so Entscheidungen zustande kommen.
Und das EuGH-Verfahren ist ja, wir haben in Hessen auch zwei Entscheidungen,
oder durfte ich mit begleiten, wo wir von Anwälten vertreten wurden und wo man
dann aber das Verfahren auch mal kennengelernt hat.
Das ist nämlich sehr speziell und die Frage ist, wie viel Informationen transportiere
ich. Natürlich werden die Verfahrensakten zum EuGH gereicht,
aber die werden auch nicht komplett übersetzt unter Umständen.
Dann ist die Frage, spricht derjenige die nationale Sprache des Verfahrens?
Dann ist die Frage, kennt er sich im Datenschutz aus? Und dann ist die Frage,
über welche Fragen darf überhaupt entschieden werden?
Und das prägt meines Erachtens die Entscheidung ganz stark.
Man muss sich darauf einlassen, dass das Verfahren ein anderes ist als das,
was wir national hier kennen.
Das ist auch nachvollziehbar und dadurch werden dann Entscheidungen vielleicht
auch besser verständlich.
Wobei es natürlich, wie Sie schon sagen, es ist ein bisschen die Erwartung,
dass wenn man Unterlagen einreicht, dass die natürlich auch komplett zur Kenntnis
genommen werden können zumindest unter Sprachbarriere-Gesichtspunkten,
also dass es keine Barrieren geben sollte.
Es ist natürlich auch ein bisschen erschreckend, finde ich, wenn man es vielleicht
auch damit erklären kann.
Aber andererseits ist es natürlich auch schade, wenn Dinge außen vor bleiben,
nur weil Dokumente nicht übersetzt werden.
Naja, also das kann schon sein, dass man das verlangen kann.
Ich glaube, das Spannende aber hier jetzt in einem Gerichtsverfahren auf nationaler
Ebene ist, dass man ja oftmals vielleicht auch nochmal einen Aufsatz platziert zu einem Thema.
Und wenn Sie den, damit können Sie ja auch Informationen transportieren,
die vielleicht nicht so bekannt sind.
Also man muss sich schon mit dem parlamentarischen Recht auskennen,
um das vielleicht auch einordnen zu können.
Dann ist es ja auch so, dass es national unterschiedlich sein kann,
wie Parlamentsrecht ausgestaltet ist.
Und wenn ich dann sozusagen über Datenschutz entscheide, ohne diese Punkte zu
berücksichtigen, habe ich eine Entscheidung, die ich nicht mehr aus der Welt bekomme.
Und im Zweifelsfall verstetigt sie sich, weil die nächste Entscheidung wieder darauf aufbaut.
Und das fand ich so ein bisschen überraschend. Also ich hätte es mir anders vorgestellt.
Also ich fand aber die Entscheidungen, die wir jetzt hatten,
waren gut nachvollziehbar gelöst.
Da waren die Verfahren gut vorbereitet. Also es hängt dann auch viel davon ab,
dass man die gut vorbereitet. Dazu muss ich aber das Verfahren kennen und wissen,
womit ich es zu tun habe tatsächlich, ja.
Ja, spannend, dass es doch nochmal ein bisschen anders läuft.
Wenn wir vielleicht mal so Rückblick, Ausblick ein wenig verheiraten.
Ich meine, die Welt ist ja gefühlt im Moment an vielen Stellen an einem Wendepunkt.
Aber mal abseits der geopolitischen Diskussionen und Ereignisse ist ja jetzt
auch im letzten Jahr in Deutschland die Reform der Aufsicht diskutiert worden.
Auf europäischer Ebene zeichnen sich auch Anpassungen der DSGVO ab.
Das ist zumindest ein kleiner Silberstreifen vielleicht am Horizont.
Aber schauen wir erstmal nach Deutschland. Wie bewerten Sie die aktuellen Diskussionen
um die Reform der Aufsicht und wo sehen Sie vielleicht auch Chancen da drin?
Ich muss sagen, mit der Entwicklung bin ich in der Diskussion zufrieden,
weil wir sind gestartet Anfang im letzten Jahr ja mit einem klaren Appell,
es soll eine Zentralisierung der Datenschutzaufsicht im nichtöffentlichen Bereich
bei der Bundesbeauftragten geben.
Das war so ein Appell, wo ich dachte, das kann jetzt nicht euer Ernst sein.
Ich würde ungern die Aufsicht über den nicht öffentlichen Bereich in meinem
Bundesland aufgeben, weil wir kurze Wege haben, weil wir einen guten Austausch
mit den Unternehmen haben, weil wir unsere Unternehmen auch kennen und weil
ich glaube, dass die Ferne,
nämlich die Anordnung in Bonn oder in Berlin, das würde ein Unternehmen auch zurückschrecken.
Das heißt, es würde wahrscheinlich alles etwas formeller werden,
weil auch das Thema Beratung in den Bereichen, der kurze Weg,
der Anruf nicht mehr stattfinden würde.
Und wir haben außerdem, ich sehe auch nicht den Vorteil, wenn man es jetzt zentralisiert,
weil wir haben die Mitarbeiterinnen und Mitarbeiter, die sich auskennen.
Wir haben die Kompetenz in den Häusern.
Und letztlich, wenn man es vernünftig gestalten wollte, müsste man wohl wieder Außenstellen machen.
Und dann sehe ich den Gewinn tatsächlich nicht. Ich glaube, dass halt zunächst
erstmal Fragen sind, die man anderweitig klären kann.
Ich habe auch beobachtet bei der Debatte, dass vielfach auf alte Erfahrungen
zurückgegriffen wurde aus der Anfangszeit der DSGVO, wo wir alle,
sag ich mal, am Schwimmen waren letztlich,
wo es mal vorkam, dass vielleicht ein Bundesland eine andere Entscheidung in
derselben Sache als ein anderes getroffen hat.
Mittlerweile ist ja auch die Datenschutzkonferenz deutlich weiterentwickelt.
Wir haben einen wöchentlichen Jurofix der Landesbeauftragten.
Wir haben nicht nur zwei Konferenzen im Jahr, sondern wir haben zwei Konferenzen
und mehrere Zwischenkonferenzen.
Wir haben kurze Wege, wenn wir Themen aufgreifen wollen. Wir haben eine Geschäftsordnungsänderung
gehabt, sodass die Entscheidungen auch verbindlicher sind.
Wir diskutieren, und das hoffe ich, dass sich da was tut, darüber,
ob wir eine zentrale Meldung der Datenschutzbeauftragten ermöglichen können
an einer Stelle. Das wäre dann,
wenn wir eine Geschäftsstelle zum Beispiel hätten, gut koordinierbar.
Auch die Frage der Datenpannenmeldung. Ich verstehe vollkommen,
wenn ein Unternehmen sich darüber ärgert, wenn es in mehreren Bundesländern
tätig ist, dass es an verschiedenen Stellen eine Datenpanne melden muss,
gerade wenn jetzt noch die Herausforderungen
von NIST 2 dazu kommen und dergleichen. Das gibt nur Chaos.
Da ist es einfacher, man meldet und dann wird es entsprechend an die Datenmeldung.
Wir haben Aufsichtsbehörden verteilt, die es angeht. Wir haben mittlerweile
Formulare, auch für Datenpannmeldung, sind in der Überarbeitung, in der Anpassung.
Da ist viel geschehen und ich glaube, wenn wir eine Konstituierung,
also eine Bestätigung durch eine Geschäftsstelle hätten, würde auch in der Koordination
nochmal einiges besser laufen.
Wie das jetzt letztlich diskutiert wird, wie ein Entwurf aussehen könnte, wird man sehen.
Es ist jedenfalls an vielen Stellen diskutiert worden. Ich bin eingestiegen,
Herbst 2024, auf einer Veranstaltung, wo man mich fragte, ob ich meine Datenschutzaufsicht
nicht in eine Datennutzungsaufsicht umbenennen möchte.
Woraufhin ich sagte, nein, das kann ich mir nicht vorstellen.
Ich glaube, dass der Datenschutz nach wie vor dort sein sollte.
Aber Datennutzungsaufsicht zusätzlich noch dazu könnte ich mir vorstellen.
Weil im nächsten Jahr haben wir es ja dann auch im Koalitionsvertrag in der
Konstellation gesehen.
Aber das zeigt halt auch dieses Spannungsverhältnis, was wir zurzeit haben.
Und ich denke, es darf nicht verkannt werden, dass wir Landesdatenschutzbeauftragten
auch miteinander im Austausch sind. Und zwar eng.
Und das ist nicht mehr so wie früher, wo jeder Einzelne seine Unabhängigkeit
wie eine Monstranz vor sich hergetragen hat. Das war noch Vorzeiten der DSGVO.
Sondern es ist tatsächlich ein Gemeinsam und wir werfen Kompetenzen zusammen
und das macht richtig viel Spaß, auch zusammen zu arbeiten.
Und da hoffe ich ganz stark, dass die Entwicklung, die sich jetzt abzeichnet,
dass man nicht mehr diese ganz harte Zentralisierung sucht, sondern den Mittelweg
oder auch überlegt, was macht Sinn, ob man Schwerpunkte setzt oder dergleichen,
dass sich das in die Richtung entwickelt.
Jedenfalls halte ich es so, ich hatte jetzt in einem Papier gelesen,
Dass man die Abschaffung der Beauftragten komplett überlegen wollte,
das halte ich für großen Nonsens.
Dass man nur einen Bundesbeauftragten oder eine Bundesbeauftragte hat,
das glaube ich nicht, dass das funktioniert.
Und da war es auch wichtig, im letzten Jahr viele Gespräche zu führen und den
Austausch auch mit der Wirtschaft zu suchen.
Das hätten wir vielleicht noch stärker früher machen können zu dem Thema,
weil man stellt dann doch fest, dass die Fragen, die wirklich beschäftigen,
dass man da auch was tun kann, ohne dass man komplett alles umstrukturiert.
Ja, Abschaffung der Datenschutzbeauftragten. Es gab ja auch in der Ministerpräsidentenkonferenz ein Papier,
wo ja die Landestatenschutzbeauftragten, natürlich einerseits aber auch die
betrieblichen Datenschutzbeauftragten, zumindest die Regelungen,
die wir in Deutschland haben,
im BDSG zur Benennungspflicht eines Datenschutzbeauftragten abgeschafft werden
sollen, sodass wir auch in Deutschland auf die europäischen Regelungen in der
DSGVO zurückfallen würden.
Wie schätzen Sie das ein?
Das heißt, man muss vielleicht den Gedanken sehen, warum man das gerne hätte.
Das ist natürlich ein Wunsch aus der Wirtschaft, nehme ich jetzt mal stark an.
Und dann wird das ja leichter mit dem Datenschutz. Das ist aber mitnichten so tatsächlich.
Denn die Pflichten bleiben und die Pflichten treffen die Verantwortlichen.
Und wenn man dann keinen Ansprechpartner mehr im Unternehmen hat, bringt das nichts.
Ich glaube, aus meiner Sicht wäre es eher die Frage, kann ich meinen Datenschutz
beauftragen, was Gutes tun, in denen ich ihnen mehr Kompetenz durch Schulung
oder dergleichen, wenn da Fragen sind, aneigne.
Ich brauche den Datenschutzbeauftragten, wenn ich KI-Projekte im Unternehmen
umsetzen möchte, aber zusammen mit den Digitalisierungsbeauftragten oder IT-Sicherheitsbeauftragten
der Rechtsabteilung, weil die Herausforderungen, die sich aus dem Data Act oder
auch aus der KI-Verordnung ergeben,
bedürfen halt, dass man einen Überblick darüber hat, was im Unternehmen ist.
Ich halte auch Verarbeitungsverzeichnisse und Datenschutzfolgenabschätzung nicht
für was Schlimmes, sondern das ist was Gutes, das hilft, um gerade in dieser
Digitalisierungszeit eine vernünftige Basis zu schaffen.
Es geht ja auch darum, Bürger zu schützen oder die Bürger zu ihrem Recht zu verhelfen.
Ich habe ja im Grunde, wenn ich Entscheidungen treffe, habe ich im Datenschutz
immer die Frage einer praktischen Konkordanz.
Einerseits das wirtschaftliche Interesse des Unternehmens, auf der anderen Seite der Bürger.
Und die Herausforderung, das irgendwie in einen vernünftigen Ausgleich zu bringen.
Und ich glaube, dass es wäre schön, wenn man von diesem Vorurteil Datenschutz
verhindert oder wegen Datenschutz geht es nicht. Das ist so ein Satz,
den höre ich immer wieder und sehr häufig.
Und dann freue ich mich besonders, mit demjenigen in den Austausch zu gehen.
Aber es ist halt auch wichtig zu gucken, wie kriege ich das zusammen?
Denn eins darf man nicht vergessen. Die EU hat in ihren Strategien immer den
Datenschutz als Partner der Digitalisierung gesehen. Und deswegen haben wir
auch eine KI-Verordnung, wo drinsteht, der Datenschutz bleibt davon unberührt
oder auch ein Data Act, der sich dieses Nebeneinander fordert.
Und die Herausforderung ist halt, da eine Balance zu kriegen und das schaffen
sie ohne einen Datenschutzbeauftragten in ihrem Unternehmen nicht vernünftig.
Und dann darf man auch nicht vergessen, technischer Datenschutz,
Datensicherheit im Unternehmen, auch da ist ein Datenschutzbeauftragter mit Augenmerk wichtig.
Es gibt sicherlich kleine mittelständische Unternehmen, wo das eine Herausforderung
ist, aber die sind ja auch nicht in dem Fokus sozusagen.
Ja, ich sehe das ähnlich und wir kriegen das natürlich auch sehr oft mittlerweile
mit, dass natürlich Unternehmen...
Schlecht beraten sind, also ohne jetzt Datenschutzbeauftragte per se schlecht machen zu wollen,
aber es hat natürlich schon eine sehr große Bandbreite an Qualifikationen in
der Praxis und ich kann mir schon vorstellen,
dass da tatsächlich eine große Motivation dann wahrscheinlich herkommt,
weil man genau das am Ende als Unternehmer natürlich oft wahrnimmt,
Datenschutz verhindert.
Was aber, wie Sie schon sagen, nicht unbedingt an der Sache selber,
des Datenschutzes liegt, sondern in meiner Einschätzung nicht selten natürlich
auch eine einfach schlechte Beratung ist.
Und ich glaube, das ist etwas, an dem man auch arbeiten sollte,
dass, wie Sie schon sagen, man vielleicht da mehr in die Ausbildung auch von
solchen Personen investiert und nicht dabei belässt, dass man ihn nur benennt
und vielleicht mal zu einem Zweitageskurs schickt.
Jetzt haben Sie eben auch schon angesprochen in der DSK die Überlegungen,
das Thema Meldungen von Vorfällen zum Beispiel zu vereinheitlichen.
Wir haben auf der anderen Seite auf europäischer Ebene jetzt Ende des Jahres
ja auch den ersten Entwurf für den sogenannten Digitalomnibus gesehen.
Also auch hier sind ja Anpassungen zur DSGVO vorgesehen und da gibt es dann
unter anderem Anpassungen auch zu den Meldepflichten, auch zu einer einheitlichen Meldeformularen.
Es gibt aber auch Ideen, die Informationspflichten anzupassen für bestimmte
Arten von Verarbeitungen.
Aber es soll auch bei den DSFA zum Beispiel mehr in Einheitlichkeit gehen.
Regelungen zur Online-Einwilligung und Cookies sind enthalten.
Also es ist ja schon einiges drin, viel mehr als man vorher erwartet hatte,
weil ursprünglich dieses Jahr, es geht ja nur an die Grenze,
wann man ein VVT führen muss.
Wenn man jetzt den Ansatz dahinter sieht, also Schaffung von Rechtssicherheit,
Erleichterung für Bürger, Behörden und Unternehmen,
Was würden Sie spontan sagen, welchen Vorschlag in dieser ganzen Riege sehen
Sie denn die größte Erleichterung für Unternehmen bzw.
Welcher Vorschlag, glauben Sie, hat den größten positiven Effekt?
Das ist eine gute Frage. Das eine ist, ich glaube, dass ich die gewünschte Rechtssicherheit
nicht in allen Punkten hinkriegen kann.
Mich persönlich reizt tatsächlich der Vorschlag im Kontext mit dem Missbrauch
von betroffenen Rechten oder dergleichen oder auch Missbrauch der Datenschutzaufsicht.
Das sind so die Punkte, wo ich jetzt sage, das wäre toll, wenn da was käme.
Ob das in der Umsetzung so funktioniert, muss man nochmal diskutieren tatsächlich.
Die Vorschläge aber alle so ihre Vor- und Nachteile tatsächlich.
Also schwer das rauszukristallisieren, würde ich mich jetzt ungern festlegen wollen tatsächlich.
Ja, aber es ist genau das, was ich auch so als Eindruck hatte.
Von den Themen her sind es eigentlich die richtigen Themen.
Also natürlich sind Behörden genauso wie Unternehmen natürlich oft geplagt von
einer Penetranz von einzelnen Auskunftsbegehren,
die jetzt gar nicht mal das Datenschutzthema und die Rechtmäßigkeit der Verarbeitung
offensichtlich im Vordergrund stehen haben, sondern wo es oft eher darum geht,
den Unternehmen oder den Behörden Steine in den Weg zu legen oder andere Dinge
zu erreichen, sei es in Kündigungsschutzprozessen und nochmal die eigene Verhandlungsposition
zu verbessern und so weiter. Das kennen wir alles.
Und dann denke ich aber auch, dann lese ich
Mir den Vorschlag.
Durch und genau das, was Sie sagen. Die Frage, hilft das denn jetzt wirklich, um dem vorzubeugen?
Da hat man dann bei einigen Punkten doch so seine berechtigten Zweifel.
Also vielleicht muss man auch
mal abwarten, ob man nicht auch was mit Leitlinien noch schaffen kann.
Das Problem ist ja auch, wenn wir Leitlinien aus EU kommen, aus dem Europäischen
Datenschutzausschuss, die müssen ja noch eine Praxisübersetzung bekommen.
Das weiß ich nicht, was, sag ich mal, wichtig und schön wäre,
was ich auch immer wieder in meiner Arbeit erlebe, ist der Vorschlag,
den wir ja noch als Datenschutzkonferenz gemacht haben,
nämlich die Überlegung, diese verbindliche, für die Hersteller verbindlich in
Artikel 25 mit aufzunehmen, Datenschutz von Anfang an mit einzubauen,
datenschutzkonform zu sein.
Es gibt ja auch Unternehmen, die sich damit rühmen, datenschutzkonforme Lösungen
zu haben, DSGVO-konform.
Aber das wäre für die KMU zum Beispiel eine unglaubliche Erleichterung,
wenn hier diese Fragen von vornherein mitgedacht würden.
Denn es ist ja dann auch immer, es kommt das Produkt. Wenn alles gut läuft,
sind die Einstellungsmöglichkeiten da, dass man das datenschutzkonform einstellen
kann, das Produkt in der Nutzung.
Aber es muss noch geschehen. Und da wäre die Frage, ob man an der Stelle nicht
mehr machen kann, weil wenn ich es richtig im Blick habe, hat die KI-Verordnung
das für einen Bereich bereits gefordert, dass da gewisse Voraussetzungen da sind.
Und sowas im Datenschutz ist bisher nicht verbindlich in Artikel 25,
die so diesen ganzen technischen Datenschutz angehen.
Und das wäre halt schön, wenn da noch was aufgenommen werden könnte tatsächlich.
Das wäre so ein Wunsch, wenn ich einen frei hätte.
Dem kann ich beipflichten. Ich glaube, da würde man wirklich vielen Unternehmen,
kleineren insbesondere, mithelfen, wenn sie sich darauf verlassen könnten,
dass wenn sie ein bestimmtes Produkt nehmen, dass sie das quasi out of the box
datenschutzkonform nutzen können.
Aber ja, das ist tatsächlich eine Schwäche vom 25. Das war ja auch von Anfang
an einer der Kritikpunkte, wo man gesagt hat, die Hersteller von Produkten sind
da eigentlich viel zu wenig in der Pflicht und die Unternehmen müssen es ausbaden.
Und ja, das sehen wir ja dann auch in der Praxis sehr häufig,
dass man sich damit rumschlägt, ob man jetzt Microsoft 365 nutzen darf oder nicht oder so.
Andere Produkte, ja.
Das ist ein sehr schönes Thema. Wir können auch darüber reden,
dass die digitale Souveränität,
die wir ja schon früher als Datenschutzkonferenz mal in einer unserer Entschließungen
hatten, heutzutage wirklich Relevanz erfährt und dass sich immer mehr der Verwaltung
Gedanken dazu gemacht wird,
wie man digitale Souveränität gestalten kann.
Ja, auch da ist es ja wie beim normalen Bürger ja auch.
Es muss dann die ersten Fälle geben, wo einem was auf die Füße fällt und dann
fängt man doch an, drüber nachzudenken, wie man das dann ändern kann.
Jetzt gibt es ja auch Stimmen.
Die in den Vorschlägen zum Digitalomnibus schon die Abschaffung des Datenschutzes
und der Grundrechte sehen.
Wie schätzen Sie das ein? Sind das aus Ihrer Sicht wirklich so massive Einschränkungen
in den betroffenen Rechten?
Oder ist es eigentlich eher eine Korrektur in Richtung, wir kommen wieder in
den ausgewogenen Bereich zwischen betroffenen Rechten und Unternehmensinteressen andererseits?
Das wird sich jetzt noch im Einzelnen, wir sind ja, das ist ja noch nicht durch.
Es finden ja im Moment gerade die Abstimmungen auf der europäischen Ebene zum
Omnibus statt. Man muss gucken.
Man muss jeden Vorschlag kritisch betrachten, denn der Wunsch der Wirtschaft
bleibt, ganz stark da einen Datenschutz zurückzufahren.
Das ist das, was ich so im Moment wahrnehme, dass der Datenschutz einen schweren Stand hat tatsächlich,
weil er so ein bisschen als der Verhinderer für die Entwicklung von Innovationen
gesehen wird, aber auch von Datennutzung, statt ihn als positiven Marktfaktor zu erkennen.
Und natürlich muss dann jeder Vorschlag, der jetzt gekommen ist,
auch nochmal kritisch betrachtet werden im Einzelnen, ob man ihn so stehen lassen kann oder nicht.
Ich würde jetzt nicht so hart sehen, dass der Datenschutz abgeschafft wird,
aber wir müssen sicherlich nochmal in einzelne Vorschläge reingehen.
Lassen Sie uns noch ein bisschen Ausblick auf Ihr Bundesland und Ihre Behörde wagen.
Welche Themen werden im kommenden oder jetzt in diesem Jahr,
wir sind schon in 26, werden Schwerpunkt Ihrer Tätigkeit sein?
Was wird Sie beschäftigen?
Also zum einen würde mich die Frage beschäftigen, dass wir im Gegensatz zum
Jahr 2024 58 Prozent Beschwerden haben, als wir hatten.
Das ist etwas, was ich nicht erwartet habe. Wir werden, was mir wichtig ist, rausgehen auf Termine.
Wir werden mit anderen Kollegen aus anderen Bundesländern zusammen zum digitalen Start gehen.
Wir haben den zweiten Mitteldeutschen Datenschutztag, wo wir es schaffen,
also hier auch im Austausch mit den Behörden gehen.
Der ist für die Verwaltung ausgerichtet. Wir haben verschiedene neue Formate.
Das heißt, wir bieten für den kommunalen Bereich an, dass wenn Themen da sind,
die beschäftigen, dass wir dazu Videokonferenzen machen, zusätzlich zu den,
Zu den normalen Treffen, sodass man da auch nochmal Themen intensiver diskutieren kann.
Wir hatten kürzlich Videoüberwachung im Schulbereich als ein Thema ausgemacht.
Gleiches soll es auch so eine Art Sprechstunde für Vereine geben.
Da sind wir jetzt an der Konzeption dran gerade.
Es wird so sein, dass natürlich die voranschreitende Digitalisierung immer mehr
Thema werden wird, was wir uns da im Land auch mit einbringen müssen, können, sollen.
Da tut sich auch einiges. Wir haben jetzt hier in Sachsen-Anhalt LL Moin zur Nachnutzung auch.
Also das ist inzwischen, wird hier jetzt auch gerade in der Projektphase eingeführt.
Das werden wir natürlich begleiten müssen.
Und dann ist es so, dass natürlich die Themen, die die Datenschutzkonferenz
insgesamt beschäftigen, auch uns beschäftigen werden.
Wir haben aber zusätzlich noch den Fokus Schule tatsächlich,
wo ich noch einiges machen möchte im Laufe des Jahres.
Und dann müssen wir mal gucken. Wir haben ja bei den Gesetzgebungsverfahren
hier in Sachsen-Anhalt irgendwann einen Punkt, wo nicht mehr so viel läuft,
weil wir kurz vor der Wahl sind.
Denn hier in Sachsen-Anhalt wird am 6. September gewählt.
Und bis dann alles wieder so normal läuft, das dauert ja dann auch immer einen Moment.
Insofern wird es wahrscheinlich auch Themen geben, die eher außerhalb von Sachsen-Anhalt
dann sind, die uns dann zusätzlich in der zweiten Hälfte beschäftigen werden.
Aber wir werden auch mit der Landeszentrale für politische Bildung,
haben wir eine gute Kooperation jetzt aufgebaut seit meinem Amtsantritt.
Und da ergeben sich auch immer wieder Gelegenheiten für Veranstaltungen im medizinischen Bereich.
Wollen wir die OHKIS, Krankenhausinformationssysteme, ist ja entweder schon
verabschiedet oder ist im Werdegang. Wenn die kommt, wollen wir dazu nochmal
eine Informationsveranstaltung machen, um dann die Umsetzung weiter zu unterstützen.
Aber es sind natürlich auch so Themen wie medizinische Versorgungszentren und Krankenhäuser.
Wie kann man da vielleicht auch eine vernünftige Handhabung des Datenschutzes
finden, die, sage ich mal, dieser Besonderheit dieser Zentren auch Rechnung trägt?
Denn es ist teilweise schon ein ganz großer Papierwust und dann,
dass man einfach prüft, was können wir dort verbessern, was kann man da vielleicht verändern.
Oder vielleicht kommen wir auch zu dem Ergebnis, das geht nicht,
aber ich vermute ganz stark, dass man da schon Synergieeffekte auch nochmal erreichen kann.
Ist dann eine Frage der Regelung und auch der Systeme und der Computersysteme,
aber das werden wir dann sehen. Wunderbar.
Erdrücken Ihnen die Daumen, dass Sie weiterhin viel Erfolg haben.
Es klingt auf jeden Fall alles sehr gut. Von daher danke ich Ihnen ganz herzlich
für Ihren Einblick, für Ihre Zeit, für die Rückschau, den Ausblick und ganz herzlichen Dank.
Danke Ihnen, Herr Gossen. Vielen Dank.
Damit ist der erste Teil unseres Jahresrückblicks, unseres kleinen Jahresrück-
und Ausblicks schon mal im Kasten.
Wir haben noch einen zweiten Teil, der wird auch in Kürze veröffentlicht und
da freue ich mich sehr, dass wir den ehemaligen Chef von Frau Rost dann auch begrüßen dürfen,
Herrn Professor Rostnagel aus Hessen und ja, da werden wir dann weiter schauen,
wie er auf das Jahr zurückblickt und was seine Themen sind.
In diesem Sinne ganz herzlichen Dank fürs Zuhören, fürs Einschalten.
Bleibt uns gewogen und auf bald.