Zum Inhalt springen

Jahresrückblick 2025 Teil 2 – Prof. Dr. Roßnagel im Datenschutz Talk

    migosens Themenfolge
    Moderation:
    avatar
    Heiko Gossen
    LinkedIn Icon Instagram Icon
    Zu Gast:
    avatar
    Prof. Dr. Roßnagel

    In dieser Themenfolge des Datenschutz Talk Podcast spricht Heiko Gossen mit Prof. Dr. Alexander Roßnagel, dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit, über die prägenden Datenschutzthemen des Jahres 2025 und einen Ausblick auf 2026.

    Im Mittelpunkt des Gesprächs stehen aktuelle Entwicklungen rund um Digitalzwang, Microsoft 365, DSGVO-Reformpläne der EU sowie der praktische Einsatz von Künstlicher Intelligenz in Verwaltung und Unternehmen.

    Ein zentrales Thema ist der starke Anstieg von Datenschutzbeschwerden – unter anderem durch KI-gestützte Beschwerdeformulare – und die daraus resultierenden Herausforderungen für Aufsichtsbehörden. Prof. Roßnagel erläutert, warum diese Entwicklung europaweit relevant ist und wie Aufsichtsbehörden damit umgehen.

    Ausführlich diskutiert wird der vielbeachtete Fall der Deutschen Bahn: Die Verpflichtung zur Angabe von E-Mail-Adresse oder Mobilfunknummer beim Kauf von Sparpreistickets wurde als unzulässiger Digitalzwang bewertet. Prof. Roßnagel erklärt die datenschutzrechtliche Argumentation, die Bedeutung der Daseinsvorsorge und welche Konsequenzen sich daraus auch für andere Branchen ergeben – etwa beim digitalen Parken oder bei rein app-basierten Verwaltungsleistungen.

    Ein weiterer Schwerpunkt ist der Dialog mit Microsoft. Während die Datenschutzkonferenz 2022 Microsoft 365 noch als nicht datenschutzkonform bewertete, hat die hessische Aufsicht 2025 intensive Verhandlungen mit Microsoft geführt. Ergebnis ist eine Neubewertung: Unter klar definierten Voraussetzungen und mit konkreten Handlungspflichten für Nutzer kann Microsoft 365 datenschutzkonform eingesetzt werden. Prof. Roßnagel macht deutlich, warum dies kein Freifahrtschein ist, sondern ein praxisnaher Leitfaden für öffentliche Stellen.

    Abschließend blickt die Folge auf den geplanten EU-Digital-Omnibus zur Änderung der DSGVO. Prof. Roßnagel ordnet ein, welche Vorschläge sinnvoll sind, wo Bürokratie tatsächlich abgebaut werden kann – und warum die Hersteller großer IT-Systeme stärker in die Pflicht genommen werden müssten. Ein Ausblick auf KI-Themen wie Retrieval Augmented Generation zeigt, wie Datenschutz, digitale Souveränität und Innovation zusammengebracht werden können.

    Themen im Überblick

    • Jahresrückblick 2025 aus Sicht der Datenschutzaufsicht
    • Stark steigende Beschwerdezahlen durch KI-Tools
    • Digitalzwang bei der Deutschen Bahn und Daseinsvorsorge
    • Datenschutz vs. Komfort: Wann ist Datenerhebung wirklich erforderlich?
    • Übertragbarkeit der Bahn-Entscheidung auf andere Branchen
    • Microsoft 365: Von der DSK-Kritik zur hessischen Neubewertung
    • Datenschutz-DPA, EU-Data Boundary und Zweckbindung
    • DSGVO-Omnibus der EU: Entbürokratisierung oder Risiko?
    • Künstliche Intelligenz in Behörden: Datenschutzfreundliche Ansätze

    Die gesamte Folge war zwar als Video geplant, was aber leider nicht so funktioniert hat. Das Audio findet Ihr trotzdem auch auf Youtube: https://youtu.be/7_6S4pcJ_EA

    Weitere Informationen, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    X (vormals Twitter): https://x.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Transkript zur Folge:

    Herzlich willkommen zu einer neuen Themenfolge des Datenschutz-Talk-Podcasts.
Mein Name ist Heiko Gossen und ich begrüße euch wieder recht herzlich zu einer
neuen Ausgabe des Datenschutz-Talk-Podcasts.
Und ich hatte das ja schon angekündigt, nachdem wir unsere große Silvester-Show
leider ausfallen lassen mussten, gibt es zumindest zwei kleine Jahresrückblicke
mit zwei Aufsichtsbehörden.
Und wir hatten ja letzte Woche, vorletzte Woche schon Frau Rost zu Gast und
jetzt freue ich mich sehr, dass wir einen weiteren Landesdatenschutzbeauftragten
gewinnen konnten für einen kleinen Jahresrückblick.
Als hessischer Datenschutzbeauftragter und langjähriger Professor im IT-Recht zählt Prof. Dr.
Alexander Rossnagel zu den renommiertesten Experten für Datenschutz in Deutschland.
Er verbindet wissenschaftliche Expertise mit praktischer Erfahrung,
denn er hat über Jahrzehnte interdisziplinär zu Privatsphäre und Technikgestaltung geforscht.
Seit 2021 steht er nun an der Spitze der hessischen Datenschutzaufsicht,
sitzt außerdem im Rat für Digitalethik des Landes Hessen und ist Sprecher des Forum Privatheit.
Und damit begrüße ich recht herzlich Herr Prof. Dr. Alexander Rossnagel.
Sie sind Sprecher des Forum Privatheit.
Das ist vielleicht nicht jedem geläufig. Können Sie unseren Zuhörenden vielleicht
in ein, zwei Sätzen einmal ganz kurz schildern, was das Forum Privatheit ist und was der Auftrag ist?
Das wurde vom Bundesforschungsministerium, das seit 2013 Forschungsprojekte
durchgeführt hat zu Themen des Datenschutzes, zu Themen der Privatheit.
Im Jahr 2021 hat das Bundesforschungsministerium dieses Forum geöffnet.
Gruppe von acht interdisziplinären Forschungsinstituten, erweitert zu einer Plattformprivatheit.
Und auf dieser Plattformprivatheit wurden in den letzten Jahren zweimal im Jahr
immer zwischen fünf und zehn Projekten gefördert.
Und die Plattformprivatheit, deren Sprecher ich bin, ist, wenn man so will, das Dach von dem Ganzen.
Also das versucht die Intention all der Projekte, also derzeit etwa 30 Projekte
zu Fragen des Datenschutzes und der Privatheit,
also die Zielsetzungen zusammenzufassen und die nach außen zu vertreten und
nach ihnen zu koordinieren.
Einen kleinen Jahresrückblick zu wagen auf 2025.
Gab es in 2025 besondere Themen für Sie, sei es positiv, auf die Sie besonders
positiv zurückblicken, vielleicht auch stolz sind oder gab es vielleicht auch
irgendwelche Lowlights, wie man heute im Neudeutschen sagt,
wo Sie sagen, das war vielleicht etwas, das würden Sie sich das nächste Mal anders wünschen?
Es ist ja so, dass die Arbeit der Aufsichtsbehörde zum ganz überwiegenden Teil
vorgegeben wird und strukturiert wird durch die Beschwerden,
die bei der Datenschutzaufsicht eingehen.
Und diese Beschwerden haben jetzt von Jahr zu Jahr immer weiter zugenommen.
Im Jahr 2025 haben wir sogar beinahe 50 Prozent mehr Beschwerden,
was zurückzuführen ist darauf,
dass ganz viele Beschwerdeführer sich von ChatGPT oder irgendeinem anderen Chatbot
die Beschwerden schreiben lassen.
Also das hat zu sehr großen Belastungen bei uns geführt und trotzdem haben wir
in jedem Jahr immer irgendein größeres
oder fast in jedem Jahr immer ein größeres Thema, das wir angehen.
Das war im Jahr 2024 das Thema Digitalzwang und die.
Verhandlungen mit der Deutschen Bahn zu den Datenerhebungen zum Sparpreisticket
sind ein Ausdruck dieser Bemühungen gegen den Digitalzwang,
die sich dann im Jahr 2025, also über das wir jetzt reden,
dann noch stark ausgewirkt haben.
Vor allen Dingen aber haben wir im Jahr 2025 umfangreiche Verhandlungen mit Microsoft geführt,
genauer gesagt mit der Rechtsabteilung von Microsoft Deutschland.
Also kurz zu dem Thema Beschwerden und gerade natürlich auch die Möglichkeiten,
die Chatbots heute bieten bei der Formulierung von solchen Beschwerden.
Das ist ja etwas, das scheint sich zumindest ja jetzt erstmal in deutschen Aufsichtsbehörden
flächendeckend so wiederzuspiegeln.
Ich denke oder ich könnte mir vorstellen, dass das aber auch kein rein deutsches
Phänomen ist, sondern dass das wahrscheinlich im europäischen Ausland ähnlich aussieht.
Haben Sie da Erfahrungswerte, wie das in anderen europäischen Ländern ist oder
sind es dann doch die beschwerdefreudigen Deutschen, wo das dann direkt so ausufert?
Nein, das ist europaweit ein Problem.
Sie haben es gerade eben schon angesprochen, das Thema Digitalzwang,
die Deutsche Bahn hatte das ja beim Kauf von Sparpreis- und Supersparpreistickets
über längere Zeit so gehandhabt,
dass man zwingend die E-Mail-Adresse oder eine Mobilfunknummer angeben musste,
auch dann, wenn das Ticket am Schalter gekauft wurde und ohne diese Angaben
gab es das günstige Ticket dann auch nicht.
Gegen diese Praxis gab es ja auch früh Kritik.
Sie haben es schon gesagt.
2020.
2024 haben Sie da schon mit dem Thema auch als Schwerpunktthema begonnen.
Wir haben auch hier bei uns ja regelmäßig darüber berichtet.
Jetzt gab es ja aber auch parallel, zumindest so wie ich das jetzt verstanden
habe, ja auch eine Klage von den Verbraucherzentralen, obwohl das Thema datenschutzrechtlich
ja bei Ihnen bereits auf dem Tisch lag.
Das wirft für mich natürlich erstmal eine interessante Frage auf,
warum die Verbraucherzentralen dann nochmal auch vor Gericht parallel ziehen.
Ging es da um unterschiedliche rechtliche Perspektiven, fehlende Durchsetzungsmöglichkeiten?
Hat man da sozusagen Ihnen nicht getraut, dass Sie es dann auch mit der Bahn
datenschutzfreundlich gelöst kriegen oder ging es da nochmal um andere Themen
oder war es einfach vielleicht auch nur Zufall?
Also das Thema des Digitalzwangs hat ja verschiedene Perspektiven,
die da einzunehmen sind.
Das eine ist die Datenverarbeitung, die hatten Sie ja schon angesprochen.
Das andere ist aber auch sowas vom Typ Barrierefreiheit und ist natürlich auch
ein Verbraucherschutzthema.
Also von daher ist das schon sinnvoll, es sind unterschiedliche...
Die Deutsche Bahn hatte ja argumentiert, dass sie die E-Mail-Adressen oder Mobilfunknummer
benötigt, um den Ticketverkauf effizient abzuwickeln.
Etwas für die Zustellung des Tickets, für Informationen bei Verspätungen oder Änderungen.
Insgesamt für einen reibungslosen digitalen Vertriebsprozess.
Aus Sicht der Bahn also wahrscheinlich ein funktionaler, nachvollziehbarer Zweck.
Ich war aber beteiligt als Sachverständige, Auskunftsperson,
das Gericht hat die Argumentation wahrscheinlich auch übernommen,
dass das nicht ausreicht, um diese Daten zu erheben.
Können Sie uns vielleicht kurz
erläutern, wo es Ihrer Sicht an der Erforderlichkeit konkret gehapert hat?
Als die im Herbst 25 dann ihr Urteil getroffen haben.
Also die Deutsche Bahn darf Daten erheben und verarbeiten, die erforderlich
sind, um ihre Vertragspflichten zu erfüllen.
Und die Vertragspflichten, die die Bahn mit einem Beförderungsvertrag hat,
ist, den Bahnfahrer, die Bahnfahrerin von A nach B zu transportieren.
Dafür ist der Hinweis, dass ein Gleiswechsel stattfindet oder die Bahn sich
um 10 Minuten verspätet hat, hilfreich, komfortabel, aber nicht notwendig.
Also man kann Menschen auch transportieren, ohne dass ihnen auf ihr Smartphone
eine Nachricht geschickt wird, dass das Gleis setzt oder die Bahn jetzt statt
von Gleis 2, von Gleis 3 fährt.
Und der Europäische Gerichtshof hat bei der Entscheidung über die Frage,
unter welchen Bedingungen Daten für die Vertragserfüllung erhoben werden können,
gesagt, man muss sich orientieren an dem Hauptzweck des Vertrags.
Und das ist hier jetzt die Beförderung.
Und das hat jetzt, also diese Rechtsprechung des EuGH hat dann das OLG Frankfurt
übertragen auf die konkrete Situation beim Kauf von Sparpreistickets.
Man kann Tickets auch kaufen am Schalter, man kann Tickets auch kaufen am Automaten,
ohne dass man eine Mailadresse oder eine Mobilfunknummer angeben muss.
Und das zeigt, dass man auch Menschen transportieren kann ohne diese Angaben.
Und deswegen hat das OLG Frankfurt dann auch so entschieden,
dass das nicht notwendig ist.
Und der OLGH fordert ja da immer absolute Notwendigkeit, sondern die.
Hilfreich ist. Also das will ich ja in keinster Weise streiten,
aber es sollte dann dem Einzelnen überlassen bleiben, ob er diese Hilfe in Anspruch nehmen will,
diesen Komfort und dann die Daten dafür liefert oder ob er das nicht will.
Man muss bei alledem jetzt nochmal sehen, die Beförderung mit der Deutschen
Bahn ist ein Akt der Daseinsvorsorge.
Also wer Mobilität nutzen will und kein eigenes Auto hat, ist auf die Bahn angewiesen.
Und wir müssen berücksichtigen, dass etwa 5% der Bevölkerung in Deutschland
keinen Internetanschluss hat, also keine E-Mail-Adresse.
Und dass,
18% in Deutschland kein Smartphone haben.
Wenn man jetzt die Älteren zum Beispiel betrachtet, sagt eine Studie von Bitkom,
die gestern oder vorgestern in den Zeitungen veröffentlicht worden ist,
dass 25% der Menschen über 65 keinen Internetanschluss haben.
Das heißt, man würde, wenn man diese Zahlen dann mal richtig auf die 83 Millionen
in der Bundesrepublik lebenden Lebenden runterrechnet, kommt man auf mehrere Millionen Menschen,
die, wenn ein Smartphone oder eine E-Mail-Adresse erforderlich ist,
um Bahn zu fahren, vom Bahnfahren ausgeschlossen werden.
Das ist vielleicht ein bisschen böse, aber wer schon mal Bahn gefahren ist,
der weiß ja auch, dass selbst mit digitalen Informationen das nicht immer zwingend
zu einem grandiosen Erlebnis werden muss, mit den Deutschen Bahn zu reisen, aber ein anderes Thema.
Nein, aber es ist ja durchaus nachzuvollziehen, dass man sagt,
das grenzt bestimmte Gruppen aus, auch wenn es immer wieder für Menschen,
die tagtäglich mit Smartphone und Internet regieren, man sich das kaum vorstellen
kann, dass die Zahl noch so groß ist, aber sie ist so groß, wie sie es beschrieben haben.
Und man darf ja auch nicht vergessen.
Und das ist natürlich das.
Was auf der anderen Seite hier steht, so habe ich es zumindest verstanden,
es war ja nur für das Sparpreis und das Supersparpreisticket so und andere normale
Tickets konnte man ja nach wie vor auch ohne diese Angaben kaufen,
was ja das auch finde ich dann sehr schwierig macht in der Argumentation zu sagen,
da ist es jetzt aber besonders wichtig, dass man diese Daten hat,
um die Betroffenen über Verspätungen zu informieren.
Ich habe überhaupt keinen Datenpreis. Ich will anonym fahren.
Ist auch von der informationellen Selbstbestimmung unseres Grundgesetzes gedeckt.
Also man hat einen großen Kranz von betroffenen Personen, die...
Wenn man das so machen würde, wie die Bahn das ursprünglich gedacht hat,
nur wer digital handelt oder handeln kann, kann auf Bahn fahren,
dass das einfach zu kurz gegriffen ist.
Und datenschutzrechtlich habe ich es ja schon erklärt, das ist mit der Vertragsdatenverarbeitung
nichts zu rechtfertigen.
Jetzt haben Sie schon gesagt, es war ein Schwerpunktthema, dieser Digitalzwang bei Ihnen.
Da haben Sie aus der Entscheidung heraus auch Konsequenzen noch für andere Branchen
oder Geschäftsmodelle ableiten können, wo Sie sagen, da haben Sie das auch beobachtet,
dass es sehr stark zum Beispiel nur digitalisierte Vertriebsmodelle gibt,
die man aber jetzt hier auch gut übertragen kann.
Also das wird für unsere Zuhörer, die vielleicht jetzt nicht alle ein Bahnunternehmen
betreuen, da vielleicht auch nochmal Hilfestellungen geben können,
worauf man dann achten sollte?
Wenn ich das vielleicht zum Abrunden noch sagen darf, Also die Bahn hat hier
erstmal ein eigenes Interesse verfolgt,
die Prozesse zu effektivieren.
Sie war dann, als wir ihr in Aussicht gestellt haben, hier eine Anordnung zu
treffen, dass sie das nicht mehr darf, dann auch kooperationsbereit und hat
sich bemüht, Lösungen zu finden.
Und die werden ja jetzt auch seit einem Jahr praktiziert.
Ansonsten gilt natürlich auch das, was Sie vorhin schon angerissen haben,
das Urteil Anfang des Jahres, letzten Jahres vom EuGH zur französischen Bahn und der Frage,
ist die Anrede bei einem Kontaktformular zum Beispiel erforderlich,
in dem Fall jetzt auch für den Transport von Personen.
Ich glaube, das ist das, was natürlich dann auch weiterhin man allgemein gültig
bei allen Datenerhebungen prüfen sollte, die zwingende Erforderlichkeit der Datenerhebung.
Da würde ich aber nochmal auf die Themenfolge, die wir mit Michael Will letztes
Jahr aufgenommen haben, verweisen.
Vielleicht schauen wir nochmal auf das andere Thema, was Sie angesprochen haben,
das Thema Microsoft 365.
Die Datenschutzkonferenz hat ja bereits 2022 festgestellt.
Dass Microsoft in der damaligen Ausgestaltung datenschutzrechtlich das anscheinend
nicht ausgereicht hat, um in der DSK zu dem Ergebnis zu kommen,
dass man Microsoft 365 datenschutzkonform einsetzt.
Hinsetzen kann.
Konkret wurden ja sieben Punkte benannt, bei denen die vertraglichen und tatsächlichen
Rahmenbedingungen als umzureichend bewertet wurden.
Unter anderem auch bei Transparenz.
Zweckbindungen und Drittstaatentransfers. Für diesen Hintergrund ist der hessische
Weg jetzt ja ein bisschen bemerkenswert.
Also statt bei der grundsätzlichen Unzulässigkeit stehen zu bleiben,
haben Sie, Herr Professor Osnagel, den direkten Dialog mit Microsoft gesucht
und sich sehr konkret mit den offenen Kritikpunkten auch auseinandergesetzt.
Vermutlich wird auf der Highlight-Liste, hatte ich schon vermutet,
steht das, nämlich eine Neubewertung, die den Einsatz von Microsoft 365 unter
bestimmten Voraussetzungen als datenschutzkonform einstuft.
Und ich glaube, über dieses Ergebnis werden sich auch sehr viele gefreut haben.
Wie kam es aber, dass Sie als Land Hessen hier allein vorangeschritten sind
und nicht im Rahmen der Datenschutzkonferenz zum Beispiel die Abstimmung mit
Microsoft gesucht haben.
Sönn, ja. Til. Sönn, ja. Sönn, ja. Sönn, ja.
Habe ja diese,
Stellungnahme der Datenschutzkonferenz.
Ich bin ein Mitglied der Datenschutzkonferenz. Ich habe die damals mitgetragen im November 2022.
Eine Arbeitsgruppe der Datenschutzkonferenz hatte dieses Ergebnis,
das sie genannt haben, festgestellt.
Also Verantwortliche können nicht nachweisen, dass sie mit Microsoft 365 alle
Anforderungen der Datenschutz-Grundverordnung für Auftragsverarbeiter einhalten.
Wir haben dann in Hessen...
Diese Regelung oder diese Feststellung der Datenschutzkonferenz versucht umzusetzen.
Ich habe seinerzeit viele öffentliche Stellen darüber informiert,
in Videokonferenzen, in Stellungnahmen, in schriftlichen, in Webmitteilungen und so weiter.
Ich habe mit allen Industrie- und Handelskammern gesprochen,
mit vielen Kommunen, mit allen Landkreisen und so weiter und so weiter.
Wie die Situation, die datenschutzrechtliche Situation bezogen auf Microsoft ist.
Und wir haben einige Aufsichtsverfahren auch durchgeführt mit dem Ergebnis,
dass wir von den Nutzern von Microsoft gefordert haben.
Dass sie gegen Microsoft entsprechend diese Kritik gelten machen und eine Änderung
des Datenschutz-AGBs durchsetzen.
Was hat dann dazu geführt, dass Microsoft gefragt hat, ob ob wir denn die Bedingungen,
die das Datenschutzrecht fordert, ob wir die mit Microsoft direkt besprechen
können, was wir dann sofort zugesagt haben, weil das immer viel besser ist,
als wenn man über Bande spielt und jetzt die Nutzer von Microsoft quasi als Instrument verwendet,
Microsoft unter Druck zu setzen.
Ganz direkt gegen Microsoft können wir ja nicht vorgehen, weil Microsoft in
Europa, in Irland niedergelassen ist, sodass wir ja eigentlich nur mit den Anwendern
von Microsoft arbeiten.
Über Datenschutz führen können. Also haben wir jetzt diese Anfrage von Microsoft
genutzt und haben seit Januar 25 bis zum November 12,
13 intensive Runden gedreht, in denen wir die sieben Kritikpunkte der DSK intensiv behandelt haben.
Also uns ging es darum, die Verunsicherung,
die dadurch entstanden ist, dass die DSK festgestellt hat, dass Microsoft unter
Verwendung der Datenschutz-AGB nicht datenschutzgerecht betrieben werden kann,
dass wir diese Verunsicherung beseitigen.
Und wir hatten ja die offenen oder laufenden Aufsichtsverfahren,
die ich schon erwähnt habe und die wollten wir zu Ende bringen.
Also haben wir mit Microsoft da intensiv diskutiert über diese sieben Kritikpunkte.
Und haben halt berücksichtigt, dass es jetzt drei Jahre her ist,
dass die DSK das festgestellt hat und dass die Welt sich weitergedreht hat in
diesen drei Jahren und es gibt eine Reihe von Veränderungen,
die berücksichtigt werden mussten.
Wenn Sie möchten, kann ich auf die kurz eingehen.
Also.
Also wenn ich vielleicht das kurz noch sagen darf, es gibt ja den Angemessenheitsbeschluss
bezogen auf das Data Framework mit den USA.
Microsoft hat seine Datenverarbeitung angepasst, zum Beispiel EU Boundary in Europa.
Sie haben mit uns
diese AGBs verhandelt und haben für die öffentlichen
Stellen in Hessen als Angebot für alle öffentlichen Stellen in Deutschland eine
Neufassung der AGBs durchgeführt und sie haben konkrete Datenschutzmaßnahmen
ergriffen und Verbesserungen vorgesehen.
Das Schwierigste war das Thema, ob Microsoft-Daten aus Microsoft 365 für eigene
Zwecke verwendet und ob es dafür eine Rechtsgrundlage gibt.
Und da haben wir dann...
Mit Microsoft zusammen feststellen können, dass sie da ihre Prozesse verändert haben.
Sie nehmen nur Daten aus Log- und Diagnose-Daten, also Daten,
die bei Ihnen ohnehin anfallen.
Keine Inhaltsdaten, wie das in der Zeit vermutet oder befürchtet wurde,
und verarbeiten die nur für Zwecke, die auch Zwecke des Unternehmens oder der
Behörden, die Microsoft nutzt.
Es ist aber vor allen Dingen natürlich auch in dieser Kombination mit dem Bericht,
den Sie vorgestellt haben, finde ich eine sehr greifbare Anleitung,
Leitfaden, mit dem man dann auch genau das abarbeiten kann.
Aber wie Sie schon sagen, man darf jetzt nicht einfach blauäugig sagen,
Microsoft ist damit datenschutzkonform und jetzt kann man das einfach ohne Bedenken einsetzen und nutzen.
Da ist noch viel zu tun vorher.
Die Ergebnisse, die sie erarbeitet haben und ihre Bewertung,
die hat sich meines Wissens nach die Datenschutzkonferenz bisher aber noch nicht
irgendwie übernommen in einer eigenen Position.
Ich weiß, einige andere Bundesländer haben sich der Meinung schon angeschlossen.
Ist es noch nicht Thema gewesen oder gibt es tatsächlich aber auch noch andere Bundesländer.
Die das einfach anders einschätzen.
Also andere Landeszahnschutzbeauftragte, die es anders einschätzen und das deswegen
auch nicht zur DSK-Position werden wird?
Wir haben keine Technikuntersuchungen durchgeführt,
also dass wir bestimmte Datenverarbeitungsprozesse jetzt technisch analysiert
haben, sondern uns ging es um
die Datenschutz-AGBs, das war ja auch der Gegenstand der Kritik der DSK.
Und die positive Feststellung von uns gilt nur unter der Voraussetzung,
dass die Nutzer von Microsoft auch das Ihre dazu beitragen. Also wir haben in
dem Gutachten, das wir am 15.
November veröffentlicht haben, 20 Seiten Empfehlungen an die Nutzer von Microsoft,
die dann bestimmte Maßnahmen ergreifen müssen, damit zusammen mit den Veränderungen,
die Microsoft durchgeführt hat, dann am Schluss tatsächlich eine datenschutzkonforme
Datenverarbeitung möglich ist.
Also das ist kein Freifahrtschein für Microsoft.
Jetzt wäre Microsoft datenschutzgerecht, sondern die Nutzer,
die unsere Handlungsempfehlungen befolgen, können Microsoft 365 datenschutzgerecht einsetzen.
Also das ist mir sehr wichtig, dass man diese Bedingung auch berücksichtigt
und nicht davon ausgeht,
wir hätten jetzt Microsoft reingewaschen und alle Bedenken außer Acht gelassen.
Ob Microsoft aber diese Variante des DPAs auch für Unternehmen zukünftig anbietet,
da haben Sie wahrscheinlich auch keine Erkenntnis drüber.
Der Hintergrund für diese Entwicklung oder die Folie, vor der man das sehen
muss, ist die Überlegung, dass die Datenschutzkonferenz mehr und mehr nach dem
EVA-Prinzip vorgehen will, also einer für alle.
Insofern ist das, was wir gemacht haben, schon von Anfang an,
von uns aus, so gedacht gewesen, dass das übernehmbar ist.
Jetzt ist die Situation aber in fast jedem Land ein bisschen anders.
Also, um ein paar Beispiele zu nennen, Schleswig-Holstein hat sich entschieden,
nur Open Source und vollständig digital souverän zu handeln.
Die werden Microsoft für ihre Zwecke dort nicht einsetzen. Die Diskussion in
Berlin geht in eine ähnliche Richtung.
Zum Schluss dann vielleicht nochmal auf das, was kommt. Oder vielleicht kommt
der Digital-Omnibus der EU.
Soll ja auch DSGVO-Änderungen beinhalten.
Wie schätzen Sie das ein? Sind das aus Ihrer Sicht dringend notwendige Schritte.
Die DSGVO anzupassen?
Oder sehen Sie die DSGVO eher als bewährt und nicht überarbeitungswürdig an?
Oder passt man mit der EU? den Vorschlägen gar die falschen stellen,
vielleicht aus Ihrer Sicht.
Sind vor uns schon entsprechende Verträge geschlossen worden zwischen dem Land
und Microsoft, sodass die zu anderen Bedingungen Microsoft-Lizenzen gekauft haben.
Also insofern ist die Situation in den einzelnen Ländern etwas jeweils unterschiedlich.
Wir haben Rückmeldungen von einigen, die sagen, sie wollen diese hessische Lösung
übernehmen. von anderen,
Die sind noch nicht bereit dafür oder da ist es nicht notwendig,
wie zum Beispiel in Baden-Württemberg.
Andere wollen gar nichts mit Microsoft zu tun haben.
Also insofern ist jetzt eine einstimmige Verabschiedung innerhalb der DSK weder
notwendig noch sinnvoll.
Sondern es gibt jetzt unser Beispiel und da kann jeder, der möchte, kann,
also Microsoft hat zugesagt, diese neue Fassung der AGBs für öffentliche Stellen
ist für alle öffentlichen Stellen in Deutschland möglich, die das nutzen wollen.
Also da kann sich jeder drauf berufen und unsere Erkenntnisse,
auf die kann auch jeder zurückgreifen.
Es sind, wenn ich es richtig im Kopf habe, 137 Seiten.
Das ist alles keine Gute-Nacht-Lektüre, da muss man sich richtig durcharbeiten.
Also insofern ist das jetzt auch nichts, wo man sofort sagen kann,
da bin ich mit 100% und jedem Buchstaben einverstanden, sondern das ist ein
Text, den man je nach Problemlage aufgreifen kann und für sich selbst nutzen kann.
Nein, Microsoft hat, da muss man jetzt ganz konkret sein, Microsoft Deutschland
kann über den weltweiten von Microsoft verwendeten DPA nicht entscheiden.
Sie können für die öffentlichen Stellen in Deutschland die Anpassung von Artikel
25 zum Beispiel zu erweitern und zu sagen.
Man nimmt die Hersteller viel mehr in die Pflicht und auch die Dokumentationspflichten
verlagert man auf die, die die Datenverarbeitung tatsächlich durchführen.
Das wäre also der Kern dessen.
Was Sie sagen, das müsste eigentlich angefasst werden.
Sondern Sie wollen, dass für Sie, egal wo Sie sind, die gleichen AGBs gelten.
Insofern sind die Möglichkeiten jetzt von Microsoft auf die deutsche Diskussion
einzugehen im nicht öffentlichen Bereich beschränkt.
Also ich sehe das alles sehr differenziert.
Also man kann jetzt nicht sagen, das ist alles wunderbar oder das ist alles
sehr, sehr schlecht und da muss man komplett dagegen sein.
Ich fange vielleicht mal so an, der größte Mangel, den die Datenschutzgrundverordnung
hat, wird nicht angegangen.
Die Überlegung ist doch, man will hier Rechtssicherheit schaffen,
man will Bürokratie abbauen und will alle denen die Informationstechnik verarbeiten,
helfen, dass sie das einfacher und leichter tun können.
Und das Beispiel von Microsoft zeigt es ja,
wenn die Hersteller oder die großen Anbieter von Cloud-Diensten,
wenn die auch berücksichtigt würden,
in der Datenschutzgrundverordnung auch verpflichtet würden und nicht nur die Verantwortlichen,
die personenbezogene Daten verarbeiten, dann wäre es vollkommen ausreichend,
wenn ein großer Hersteller bestimmte Dokumentationspflichten,
bestimmte Gestaltungspflichten,
bestimmte Organisations- oder Technikorganisationspflichten erfüllen würde,
dann müsste ein einziger was tun und Millionen würden davon entlastet werden.
Jetzt haben wir die umgekehrte Situation, dass sehr viele oder Millionen Nutzer
von großen IT-Systemen,
dass jeder für sich ein Verarbeitungsverzeichnis machen muss,
jeder für sich ein Verarbeitungsverzeichnis.
Datenschutzfolgenabschätzung und so weiter und so weiter, die wird millionenfach
gemacht, obwohl die jedes Mal, was die Nutzung des großen Systems angeht.
Immer das Gleiche ist. wo man durchaus drüber nachdenken kann,
ob die überhaupt einen Effekt haben.
Also zum Beispiel in der Ausnahme von der Informationspflicht formuliert,
die aber, wenn ich mir das so angucke, in der Praxis wahrscheinlich wiederum
aufgrund der Rückausnahmen wieder nur sehr wenig wirklich konkrete Fälle beinhalten,
wo man dann als Unternehmen vielleicht auch eine Erleichterung hat.
Haben Sie bestimmte Themen.
Wo Sie sagen, naja.
Da sehen Sie schon eigentlich den größten Effekt. an Erleichterungen für Unternehmen.
Also irgendwas, wo Sie sagen, also der Vorschlag, der ist auf jeden Fall wert,
dass man ihn erhält und auch durchbringt.
Genau. Ansonsten gibt es Vorschläge, die die Kommission macht,
die man akzeptieren kann.
Also beispielsweise die Nutzung biometrischer Daten für die Verifikation ist
ein wichtiges Sicherheitsinstrument.
Und wenn die betroffenen Personen allein über die biometrischen Templates verfügen,
ist das ein Verfahren, das man unbedingt unterstützen muss.
Dass man die Meldungen bei Datenschutzverstößen erleichtert,
dadurch, dass man eine einheitliche Meldestelle vorsieht oder ein einheitliches
Formular, ist auch unterstützenswert.
Man kann in der Frist von 72 Stunden auf 96 Stunden hochgehen,
wie die Kommission vorschlägt. Das ist okay.
Was nicht akzeptabel ist, ist, dass diese Meldepflicht nur besteht bei hohem Risiko.
Wenn wir jetzt von der europäischen Ebene nochmal runterspringen zur hessischen
Betrachtung, wenn es 2026 angeht,
gibt es Themen, die Sie in diesem Jahr zum Schwerpunkt Ihrer Tätigkeit machen?
Geht es um bestimmte KI-Regulierungsthemen, vielleicht auch für die Datenschutzverwaltung?
Was sind so Ihre Themen für dieses Jahr in der hessischen Aufsicht?
Dass man da Backlists und Whitelists durch den ETSA erstellen lässt,
damit man da eine einheitliche Anwendungsgrundlage hat.
Also das sind Beispiele für sinnvolle Vorschläge.
Widerspruch muss man einlegen gegen alle die Regelungen, in denen der ETSA,
also der Europäische Datenschutzausschuss, irgendwelche Vorschläge machen muss
und die Kommission die dann verändern kann.
Das ist ein Thema...
Also diese Beispiele, die betreffen dann die Auslegung der Datenschutzgrundverordnung
und dafür sind die Aufsichtsbehörden zuständig und dann europaweit halt ihr Ausschuss,
der Europäische Datenschutzausschuss und da ist nicht die Exekutive,
die Europäische Kommission für zuständig.
Deswegen sollte an der Stelle der Europäische Datenschutzausschuss abschließend
entscheiden und nicht nur Vorschläge machen für die Europäische Kommission.
Es gibt noch zwei, drei weitere Punkte, denen man widersprechen muss aus Datenschutzsicht.
Und dann gibt es eine Fülle von Vorschlägen, die von der Intention unterstützenswert sind,
in denen aber die eine oder andere Korrektur angebracht werden muss,
damit das Datenschutzniveau nicht durch den Omnibus gesenkt wird,
sondern dass man das Datenschutzniveau beibehalten kann. Ja, auch nicht.
Ja, bezogen auf die Forschung zum Beispiel sind Erleichterungen vorgesehen.
Das würde Forschungsprojekte, die die Arbeit erleichtern, würde da Bürokratieersparendes.
Auch das klingt wieder nach einem sehr praxisrelevanten und aber auch konstruktiv
angehen mit dem ganzen Thema,
sodass, wie Sie schon sagen, das Ganze dadurch für Behörden und Unternehmen
nachher datenschutzfreundlich auch anwendbar ist.
Also wir sehen, sie behalten die Linie bei, sehr konstruktiv an das Thema Datenschutz
ranzugehen als Aufsichtsbehörde, was auch finde ich als Unternehmensperspektive
natürlich immer sehr förderlich ist,
nicht nur für die Akzeptanz mit der Aufsichtsbehörde zusammenzuarbeiten, sondern natürlich,
das hat man ja beim Thema Microsoft, finde ich auch schön gesehen,
als Aufsichtsbehörde da dort nochmal vielleicht ein anderes Gewicht hat,
um auch mit Unternehmen über Lösungen zu sprechen.
Als man das vielleicht als... Das wird nicht so sein, wenn man es ernst nimmt,
dass man dann über den Omnibus jetzt schnell innerhalb des nächsten Semiljahres
dann zu Ergebnissen kommt.
Die die Praxis des Datenschutzes verändern.
Deswegen wird es dann doch leider keine Videoaufnahme zu dieser Frage geben.
Aber Herr Professor Rossnagel, ich danke Ihnen trotzdem ganz herzlich.
Sie wären bereit gewesen dafür.
Es war meine Nachlässigkeit, dass ich vorher nicht kontrolliert habe,
ob wir mit Video aufnehmen.
Von daher sehen Sie es mir nach.
Auch Ihr liebende Zuhörenden seht es mir hoffentlich nach. Ich glaube,
inhaltlich hat Professor Rossnagel trotzdem alles gut rübergebracht.
Von daher Ihnen einen ganz herzlichen Dank, Herr Professor Rossnagel und natürlich
alles Gute für das neue Jahr.
Und die gebe ich direkt weiter, auch an unsere Zuhörenden.
Ich freue mich natürlich, wenn ihr dranbleibt, wenn ihr wieder einschaltet,
wenn ihr aber auch Feedback habt, Kommentare, schreibt es gerne auf die Kommentarseite.
Wir packen auch den Link zu dem Dokument, zu dem nicht von Professorus Wagen,
zum Beispiel der Aufsicht, zum Beispiel der 365-Ingisch-Show.
Und wir freuen uns dann auf Feedback und wenn wir damit vielleicht im einen
oder anderen wieder ein Stück weiterhelfen.
In diesem Sinne, herzlichen Dank, bleibt uns vorbei und auch bald.
Also wir interessieren uns momentan für Retrieval Augmented Generation,
wo man die Large Language Models oder dann würden sogar Small Language Models ausreichen.
Benutzt, um in natürlicher Sprache zu kommunizieren, also Fragen zu stellen
und Antworten zu bekommen.
Aber die inhaltliche Basis für die Antworten,
können dann Unternehmen oder Behörden aus ihren eigenen Datenbeständen verwenden, die,
ich mache mal ein Beispiel, eine Behörde, die.
Ihre eigenen Daten aus ihrer Praxis der letzten Jahre zur Verfügung stellen kann,
kann dann selbst entscheiden, dass diese Daten anonym antrainiert werden,
dass bestimmte Praktiken, Erfahrungssätze oder sowas zur Geltung kommen und dafür dann sorgen,
dass die Antworten viel passgenauer sind, Die Behörde könnte dann die Richtigkeit
der Antworten auch viel besser überprüfen.
Also das wäre eine Möglichkeit, wie man bestimmte Formen von digitaler Souveränität
umsetzen kann und Datenschutzgerechtheit, weil die Daten, die verwendet werden,
in der Hand der jeweiligen Behörde oder Verwaltung sind oder Unternehmen,
sodass ein Abfluss von Informationen vermieden wird.
Die keine personenbezogenen Daten verarbeitet werden und ähnliches.
Also das hätte Vorteile und wir sind momentan dabei, das noch stärker rauszuarbeiten,
um dann damit auch zu werben, dass man auf die Art und Weise KI einsetzt,
die Vorteile von KI nutzt, sogar verbessert und verhindert, dass diese Daten
dann zum weltweiten Training von großen Sprachmodellen benutzt werden.
Auch Ihnen vielen Dank und die guten Wünsche für das neue Jahr gebe ich sehr gern zurück.

    Das könnte Sie auch interessieren

    Themenfolge migosens

    Jahresrückblick 2025 Teil 1 aus Sachsen-Anhalt – Christina Rost im Datenschutz Talk

    Löschung, Auskunft, Einwilligung in der Aufsichtspraxis – Prof. Dr. Kugelmann im Datenschutz Talk

    Cover Themenfolge Max Hermann zur europ. Datenstrategie

    Datenschutz trifft KI-Compliance – Synergien nutzen statt Doppelarbeit – Max Hermann im Datenschutz Talk

    Podcastcover Themenfolge Datenschutzfreundliche Webseitentools

    Datenschutzfreundliche Webseitentools Teil 2 – Philipp Roth im Datenschutz Talk Podcast