Der Koalitionsvertrag steht; aller Voraussicht nach wird Friedrich Merz in wenigen Tagen neuer Bundeskanzler. Was hat die neue schwarz-rote Bundesregierung in Sachen Datenschutz vor? Im ewigen Dilemma Freiheit vs. Sicherheit gibt es eine eindeutige Tendenz – denn schon in der Präambel zum Kapitel zur Innenpolitik heißt es im Koalitionsvertrag, dass die Regierung die „europa- und verfassungsrechtlichen Spielräume ausschöpfen“ möchte und das „Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und datenschutzrechtlichen Vorgaben“ neu austariert werden müsse.
So soll z.B. die Vorratsdatenspeicherung (wieder) kommen – in Form einer „verhältnismäßigen und europa- und verfassungsrechtskonformen dreimonatigen Speicherpflicht für IP-Adressen und Portnummern“. Im Allgemeinen will man den Sicherheitsbehörden Zugriff auf mehr Daten gewähren und vertraut auf deren eigene Datensensibilität. Die Bundespolizei soll den Staatstrojaner „zur Bekämpfung schwerer Straftaten“ bekommen und auch die umstrittene biometrische Internetfahndung, die eine riesige biometrische Datenbank erfordert, soll kommen: Die Sicherheitsbehörden sollen unter Umständen eine „automatisierte Datenrecherche und -analyse sowie den nachträglichen biometrischen Abgleich mit öffentlich zugänglichen Internetdaten, auch mittels Künstlicher Intelligenz, vornehmen können“.
Auch im öffentlichen Raum möchte man Gesichtserkennung und Biometrie ausweiten, um zum Beispiel Risikopotenziale bei Personen mit psychischen Auffälligkeiten frühzeitig zu erkennen und so Amokfahrten und Attentate wie in den letzten Monaten zu verhindern. Die Koalition möchte hierzu „eine gemeinsame Risikobewertung und ein integriertes behördenübergreifendes Risikomanagement“ einführen – was nach Gefährder-Datenbanken klingt. Letztendlich soll es wohl auf die sehr umstrittene Überwachungs-Software Palantir hinauslaufen.
Kritiker warnen: Darf die Polizei einmal punktuell KI einsetzen und mit biometrischer Bildersuche uns alle online durchsuchen, werden solche Befugnisse erfahrungsgemäß nicht auf Einzelfälle beschränkt, sondern irgendwann auch in der Fläche angewandt. So könnten Aufnahmen von Fußballspielen oder Demonstrationen, wo routinemäßig gefilmt wird, irgendwann dafür genutzt werden, selbst kleine Delikte wie Schwarzfahren oder Beleidigung aufzuklären.
In diesem Sinne soll auch der Verfassungsschutz bei der Bekämpfung von Cyberkriminalität, Spionage und Sabotage gestärkt werden. Auch der Datenaustausch im Nachrichtendienstrecht soll „effektiv“ und „effizient“ neu geregelt werden. Für ethische Hacker:innen und Sicherheitsforschende soll im Computerstrafrecht endlich Rechtssicherheit geschaffen werden.
Auch bei der Digitalisierung der Verwaltung wird geklotzt, und nicht gekleckert: Behörden sollen in Zukunft ausschließlich digital und antragslos arbeiten und Abläufe durch den Einsatz von KI effizienter werden. Dazu sollen die Verfahrensabläufe auf allen staatlichen Ebenen vereinheitlicht werden und jeder Bürger verpflichtend ein Bürgerkonto und eine digitale Identität erhalten. Dienstleistungen sollen dann über eine zentrale Plattform abrufbar sein, über die auch Unterlagen nur einmal eingereicht werden müssen. Ein „Doppelerhebungsverbot“ soll Behörden zum Datenaustausch verpflichten und bewirken, dass Bürger ihre Daten nur ein Mal eingeben müssen.
Bisher ist die Datenschutzaufsicht in Deutschland föderal organisiert, sodass in der Praxis oft dieselben Sachverhalte rechtlich unterschiedlich bewertet werden – gerade für bundesweit tätige Unternehmen birgt das erhebliche Unsicherheiten. Vor Kurzem hatten sich die Landesbehörden noch darüber beschwert, dass die Bundesdatenschutzbeauftragte für die Durchsetzung des Data Act zuständig sein soll. Nun soll auch die allgemeine Datenschutzaufsicht beim Bund zentralisiert werden und die Bundesbeauftragte für Datenschutz und Informationsfreiheit auch für Datennutzung zuständig sein; also wohl eher die Nutzung von Daten ermöglichen anstatt Datenschutz als Innovationsbremse zu sehen. Die bislang informell arbeitende Datenschutzkonferenz von Bund und Ländern soll im Datenschutzgesetz verankert werden – wenn die Aufsicht bei der Bundesbeauftragten gebündelt wird, wäre das jedoch weitgehend überflüssig.
Zum ersten Mal wird schließlich ein eigenständiges Bundesministerium für Digitales geschaffen, das ressortübergreifende Digitalvorhaben koordinieren soll. Für Unternehmen, Behörden und beratende IT-Dienstleister ist diese Neustrukturierung von erheblicher praktischer Bedeutung. Sie erfordert ein Umdenken nicht nur in technischer, sondern vor allem in rechtlicher Hinsicht: Alle Digitalgesetze und -verordnungen sollen künftig aus einer einheitlichen strategischen Feder stammen und wird zu einer neuen steuernden Instanz, mit der sich insbesondere Unternehmen, die mit der öffentlichen Hand zusammenarbeiten, auseinandersetzen müssen. Ein Datengesetzbuch, das bestehende Vorschriften systematisiert und neue Instrumente zur Datenverfügbarkeit, -verarbeitung und -nutzung schafft, soll entstehen. Dabei steht die Legitimation von Datenteilhabe im Vordergrund: Wer darf Daten verwenden, auf welche Weise, mit welchen Rechten für die Betroffenen?
Apropos: Meta nutzt quasi ab sofort die Daten aller volljährigen User von Facebook und Instagram in der EU für das Training der eigenen KI-Anwendungen. Dies umfasst öffentliche Beiträge, Kommentare, Fotos und Bildunterschriften – auch aus der Vergangenheit. In beiden Netzwerken stellt Meta spezielle Online-Formulare bereit, über die man Widerspruch einlegen kann. Microsoft hingegen hat eine EU-Datengrenze gebaut, damit bestimmte Daten ausschließlich innerhalb dieser Grenze gespeichert verarbeitet werden.
Wie es in Deutschland tatsächlich weitergeht, werden wir in den Tagen nach dem offiziellen Amtsantritt der Regierung sehen.