Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in Kiel hat seine Sommerakademie 2025 ganz unter die durchaus kontroverse Ausgangsfrage gestellt: „Im Alarmmodus: Sicherheit und Datenschutz?“. Das Verhältnis zwischen Sicherheit und Freiheit wurde damit auf eindrucksvolle Weise in den Mittelpunkt der Veranstaltung gerückt.
Vorträge bei der Sommerakademie 2025
Die Begrüßung der Anwesenden zu Beginn der Veranstaltung übernahmen Dr. h. c. Marit Hansen (Landesbeauftragte für Datenschutz von Schleswig-Holstein) und, mit einem Grußwort, Dr. Ulf Kämpfer (Oberbürgermeister von Kiel). Anschließend gab, unter der Moderation von Henry Krasemann (ULD), Staatssekretärin Magdalena Finke (Ministerium für Inneres, Kommunales, Wohnen und Sport des Landes Schleswig-Holstein) einen Überblick über aktuelle Gesetzesentwürfe und deren Umsetzungsstand. Dies bot die Grundlage für die anschließenden Ausführungen von Meike Kamp (BlnBDI) zur Verhältnismäßigkeit, im Rahmen derer sie auf überzeugende Art und Weise darauf hinwies, dass Risiken allein nicht zu massiven Grundrechtseingriffen berechtigen, vielmehr bedürfe es effektiver Überprüfungen und Evaluierungsmaßnahmen. Sie zeigte damit das Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und datenschutzrechtlichen Vorgaben eindringlich auf und stellte zum Ende klar, dass die DSK zu Recht fordert: „Zur Sicherheit gehört auch, dass sich die Menschen im Land darauf verlassen können, dass der Staat und seine Institutionen ihre Rechte und Freiheiten achten, sich an verfassungskonforme Gesetze und gegebene Garantien halten“. David Werdermann (Gesellschaft für Freiheitsrechte e. V.) machte darüber hinaus in seinem Vortrag „Verfassungserosion durch Sicherheitspakete“ darauf aufmerksam, dass wir uns immer häufiger mit einer technikgetriebenen Politik auseinandersetzen müssen: Was geht, soll gesetzlich auch erlaubt sein. Diese Beiträge boten anschließend die Grundlage für die gemeinsame Diskussion, an der neben Meike Kamp und David Werdermann, auch Barbara Körffer (ULD) teilnahm. Auch wenn aus Zeitgründen eine Beteiligung der Teilnehmenden an der Diskussion leider nicht möglich war, machte die thematische Auseinandersetzung mit Fragen der Sicherheit im Verhältnis zum Datenschutz durchaus deutlich, dass die Vorstellung, eine technikgesteuerte Überwachung wäre besser, weil objektiver und damit weniger subjektiv als menschliches Verhalten, sich in der Praxis nicht tragen lässt. David Werdermann wies in diesem Zusammenhang nochmals ausdrücklich darauf hin, dass subjektives oder objektives Verhalten einer Künstlichen Intelligenz generell abzusprechen ist. Im Ergebnis schienen sich alle Diskussionsbeteiligten einig, dass die Einschränkung zukünftiger Freiheitsrechte durch Sicherheitsmaßnahmen, wie sie bspw. mithilfe einer Life-Gesichtserkennung im öffentlichen Raum erfolgen könnte, auch aufgrund durchaus nachvollziehbarer Sicherheitsgedanken nicht generell erlaubt sein darf.
Nach einer gemeinsamen Pause wurde durch Dr. h.c. Marit Hansen (ULD) in ihrem Vortrag die durchaus berechtigte Frage aufgegriffen, inwieweit die Umsetzung von Sicherheitsmaßnahmen ohne entsprechende Rechtsgrundlage sowie die Einhaltung datenschutzrechtlicher Vorgaben einen Datenschutzverstoß darstellen kann und welche Lösungsansätze die derzeitige Gesetzeslage überhaupt bietet. Prof. Dr. Dennis-Kenji Kipker (cyberintelligence.institute) zeigte überdies auf eindringliche Weise in seinem Vortrag, wo wir in Bezug auf Datensicherheit und Datenschutz im transatlantischen Verhältnis stehen. Mit entsprechenden Zahlen stellte er klar: Digitalisierung war gestern, Cloudifizierung ist heute! Digitale Resilienz stellt damit im Ergebnis einen zentralen europäischen Wert dar. Prof. Dr. Peter Wedde (Institut für Datenschutz, Arbeitsrecht und Technologieberatung in Wiesbaden) zeigte sodann noch einmal die Schwierigkeit auf, Sicherheitsmaßnahmen so umzusetzen, dass der Beschäftigtendatenschutz geachtet wird. Maßnahmen aus dem Bereich der Cybersicherheit sind demzufolge zwar sinnvoll und notwendig, müssen aber mithilfe klarer und wirksamer gesetzlicher Regelungen so begrenzt werden, dass Beschäftigte nicht noch „gläserner“ werden, als sie ohnehin schon sind. Zuletzt wurde durch Dr. Sven Polenz (ULD) nochmals verdeutlicht, wo die Unterschiede von Protokolldaten zu Protokollierungsdaten liegen und welche rechtlichen Konsequenzen damit verbunden sind.
In der anschließenden Diskussion mit Dr. h.c. Marit Hansen, Prof. Dr. Dennis-Kenji Kipker, Prof. Dr. Peter Wedde und Dr. Sven Polenz, unter der Moderation von Henry Krasemann, wurde u. a. die Abhängigkeit von Microsoft thematisiert. Dabei wurde darauf hingewiesen, dass eine Nutzung von Microsoft Teams zumeist unkritisch erfolgt. Die mangelnde Sensibilität sei aus Sicht der Diskutierenden vor allem auch an den gemeldeten Sicherheitsvorfällen sichtbar, wobei nochmals ausdrücklich vor hohen Schadensersatzforderungen aufgrund des großen Betroffenenkreises bei Datenschutzvorfällen gewarnt wurde.
Infobörsen
Die Infobörsen der Sommerakademie 2025 boten am Nachmittag den Anwesenden die Möglichkeit, sich mit verschiedenen Themen vertiefend auseinanderzusetzen. Insgesamt konnten zwei der parallel angebotenen Vorträge nacheinander besucht werden. Alle Beiträge der Infobörsen finden Sie auch hier auf der Website des ULD.
Infobörse 06: Die Auskunft nach Art. 15 DSGVO als elementares Recht der Betroffenen. Lena Struck / Torben Dierks (ULD), unter der Moderation von Heiko Behrendt (ULD), wiesen in ihrem Beitrag zunächst einmal darauf hin, dass mit Art. 15 DSGVO (im Vergleich zu § 19 BDSG a.F.) das Recht betroffener Personen deutlich gestärkt und erweitert wurde. Das Ziel der betroffenen Personen, sich einer Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können, wird durch den ErwG 63 nochmals deutlich unterstrichen, auch wenn im Vortrag zu Recht darauf hingewiesen wurde, dass sich diesem Erwägungsgrund kein eigenständiges Recht der betroffenen Personen entnehmen lässt. Das Auskunftsrecht dient damit dem Grundsatz der Transparenz. Die durch die Anwesenden gestellten Fragen zeigten auf, dass mit dieser zu erfüllenden Pflicht zahlreiche Umsetzungsfragen in der Praxis aufgeworfen werden. Einige wenige Fragen konnten im Rahmen des Vortrages beantwortet werden, so wurde u. a. ausdrücklich darauf hingewiesen, dass Verantwortliche unbedingt nachweisen können müssen, wenn einem Auskunftsersuchen rechtzeitig und korrekt nachgekommen wurde (Rechenschaftspflicht Art. 5 Abs. 2 DSGVO). In diesem Zusammenhang wurde die in der Praxis zumeist bereits genutzte Aufbewahrungsfrist von drei Jahren nochmals als zulässig bestätigt, mit Hinweis auf die regelmäßige Verjährungsfrist nach § 195 BGB; wobei bei der Aufbewahrung der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) zu beachten ist. Ebenso für die Praxis vielleicht nicht neu, aber dennoch nicht unwichtig, ist der Hinweis, dass eine etwaige Unrichtigkeit einer Erfüllung des Auskunftsrechts nicht entgegensteht. Auch ist es wichtig zu berücksichtigen, dass der bloße Verdacht einer betroffenen Person, die Auskunft sei unvollständig oder sogar falsch, einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründet. Vielmehr ist für die Erfüllung der Auskunft die Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist, maßgebend (hierzu erfolgte der Hinweis auf den BGH, Urteil vom 15.06.2021 – VI ZR 576/19). Zuletzt gilt es weiterhin zu beachten, dass Auskunftsersuchen durchaus in angemessenen Abständen erneut geltend gemacht werden können (ErwG 63). Für Beschäftigungsverhältnisse ist zudem der im Vortrag gegebene Hinweis auf die Entscheidung des OVG Saarland (Urteil vom 13.05.2025 – 2 A 165/24) relevant, wonach im Rahmen eines arbeitsgerichtlichen Vergleichs, welcher zur Beendigung eines Arbeitsverhältnisses führt, ein Verzicht auf den Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO grundsätzlich möglich sein soll.
Infobörse 08: Pseudonym, anonym, synonym? Neuigkeiten aus dem Europäischen Datenschutzausschuss. Im Beitrag von Benjamin Walczak / Dr. Thomas Probst (ULD) wurden die Unterschiede zwischen Pseudonymisierung und Anonymisierung nochmals deutlich herausgearbeitet. Die Notwendigkeit, diese Art der Datenverarbeitung datenschutzrechtlich zu durchdringen, wurde im Rahmen der Diskussion und der gestellten Fragen der Teilnehmenden besonders deutlich. Wichtig für den praktischen Umgang mit Daten war hierbei insbesondere der Hinweis, dass die Löschung einer Zuordnungsdatei bei vorheriger Pseudonymisierung der Daten nicht automatisch zur uneingeschränkten Nutzung der Daten berechtigt. Vielmehr ist es wichtig, sich der „Pseudonymisierungsdomäne“ (Bereich) bewusst zu sein.
Fazit: Wieder eine gelungene Veranstaltung
Insgesamt war die Sommerakademie 2025 des ULD wieder einmal eine gelungene Veranstaltung, mit einer Vielzahl von Vorträgen und hochkarätigen Referent*innen aus ganz unterschiedlichen Tätigkeitsbereichen, die es den Teilnehmenden ermöglichten, sich einen allgemeinen Überblick über aktuelle Themen zu verschaffen. Die angebotenen Infobörsen zeigten darüber hinaus, wie wichtig es ist, dass Aufsichtsbehörden der Gesellschaft die Möglichkeit geben, Fragen zu stellen und diese durch kompetente Mitarbeitende einer Behörde in einer weniger offiziellen Umgebung beantwortet zu bekommen. Ganz im Sinne von „mehr Behördennähe“ lässt sich daher auch das Angebot des ULD verstehen: „Frag‘ für ’ne Freundin“.
Es darf sich schon jetzt auf die Sommerakademie 2026 in Kiel gefreut werden – mit sicherlich wieder interessanten Themen!