Tätigkeitsbericht Datenschutz 2024: Innovation mit Datenschutz. Für Menschen. Einfach machen.

Veröffentlicht am:

Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg vom 17.03.2025

Beschäftigtendatenschutz sowie Datenschutz und KI weiterhin Schwerpunkte

Bildungszentrum für Datenschutz und Informationsfreiheit (BIDIB) verzeichnet Höchstwert bei Anmeldungen

Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg Prof. Dr. Tobias Keber hat im vergangenen Jahr Ministerien, Kommunen und Unternehmen beraten, Bürger_innen bei der Durchsetzung ihrer Rechte unterstützt sowie umfangreiche Unterstützung bei der Nutzung von künstlicher Intelligenz (KI) gegeben. Wo nötig, hat der Landesbeauftragte die Einhaltung des Datenschutzes auch durch Sanktionen durchgesetzt

Datenschutz als tragende Säule der digitalen Gesellschaft
Datenschutz ist fundamentaler Bestandteil der digitalen Gesellschaft in Europa. In einer Zeit, in der immer mehr persönliche Daten online gesammelt und verarbeitet werden, schützen informationelle Selbstbestimmung und Datenschutz vor dem Missbrauch sensibler Informationen. Sicherzustellen ist, dass Bürger_innen die Kontrolle über ihre Daten behalten. Datenschutz sichert Vertrauen in digitale Dienste und Plattformen und ist essenziell für die Wahrung der persönlichen Freiheit und Sicherheit in der vernetzten Welt.

LfDI Prof. Dr. Tobias Keber: „Wenn man vertrauenswürdige Technik, namentlich KI-Systeme bauen und einsetzen will, muss Datenschutz berücksichtigt werden. Informationelle Selbststimmung und Innovation sind keine Gegenspieler, sondern können in positive Wechselwirkung treten. Es ist eine gesamtgesellschaftliche Aufgabe, Innovationen mit Datenschutz für die Menschen zu ermöglichen und so zu digitaler Nachhaltigkeit beizutragen.“

Schwerpunkte Europa, Datenschutz und KI
Ein Schwerpunkt lag im vergangenen Jahr bei europarechtlichen Themen, die unmittelbar auf baden-württembergische Bürger_innen und verantwortliche Stellen wirken. Insbesondere die KI-Verordnung, die im Juni 2024 im europäischen Amtsblatt bekanntgemacht wurde und sukzessive in Kraft tritt, hat die Dienststelle des Landesbeauftragten sehr beschäftigt. Seit Februar 2025 gilt beispielsweise Artikel 4 KI-Verordnung: Er verlangt von denen, die KI einsetzen, dass sie über KI-Kompetenz verfügen. Sehr allgemein gehalten, werden damit auch rechtliche und technische, kulturelle und ethische Kompetenzen angesprochen sein.

Der Landesbeauftragte hat zum Einsatz von KI zahlreiche Stellen beraten, die in vielen Konstellationen die Verarbeitung von personenbezogenen Daten zum Gegenstand haben kann. Schulungen im hauseigenen Bildungszentrum BIDIB wurden ebenso durchgeführt wie Veranstaltungen zum Thema, etwa die mittlerweile dritte KI-Woche unter dem Titel „Wer trainiert die Zukunft“. Seine Fachleute sind mit Vorträgen und Beiträgen auf Konferenzen präsent gewesen, z.B. bei „KI.CKSTART“, einer Veranstaltung vom Bildungswerk der Baden-Württembergischen Wirtschaft e.V. In vier Sonderfolgen seines Podcasts „Datenfreiheit“ hat der Landesbeauftragte über KI im Bildungsbereich informiert. Sein Diskussionspapier „Rechtsgrundlagen beim Datenschutz beim Einsatz von Künstlicher Intelligenz“ erschien aufgrund der hohen Nachfrage in zweiter, aktualisierter Auflage. Zudem hat der Landesbeauftragte mit dem Orientierungshilfen-Navigator KI & Datenschutz eine praxisnahe Übersicht geliefert, die es verantwortlichen Stellen ermöglicht, sich schnell und einfach über rechtlich relevante Aspekte zu Datenschutz und KI zu informieren.

Der Landesbeauftragte Prof. Dr. Tobias Keber: „Behörden und Unternehmen in Baden-Württemberg können nicht darauf warten, bis die KI-Verordnung im Jahr 2026 vollständig zur Anwendung kommt, wenn sie Innovation ermöglichen und weltweit spitze sein wollen. Wenn wir in Baden-Württemberg erfolgreich sein wollen, müssen wir jetzt Datenschutz und Innovation für die Menschen zusammenbringen. Jetzt ist die Zeit dafür, nicht in ein paar Jahren. Wir möchten nicht, dass verantwortliche Stellen künftig kostspielig und unter hohem Zeitdruck gegebenenfalls rechtswidrige Datenverarbeitungen mühsam korrigieren müssen. Wir wollen jetzt dabei helfen, dass das nicht notwendig wird. Deswegen intensivieren wir unsere Bemühungen, unser Wissen zur Verfügung zu stellen und uns mit den zahlreichen Akteuren zu vernetzen.“

Schwerpunkt Beschäftigtendatenschutz
Im Bereich des Beschäftigtendatenschutzes hat der Landesbeauftragte zahlreich beraten und auch darauf hingewirkt, dass etwaige unzulässige Datenverarbeitungen nicht mehr durchgeführt werden. Ein Beispiel:

Durch einen anonymen Hinweis und eine Beschwerde ist der Landesbeauftragte darauf aufmerksam geworden, dass eine PDF-Datei einer Bewerbung über eine Suchmaschine im Internet auffindbar und abrufbar war. Die Bewerbung war auf zwei Webseiten veröffentlicht worden, bei denen man Dateien auf Viren überprüfen kann. Die Prüfung hat ergeben, dass ein Mitarbeiter der IT-Abteilung eines Unternehmens zur Prüfung von E-Mails mehrere Bewerbungen zur Prüfung hochgeladen hatte. Dass die Inhalte in der kostenlosen Variante durch das Hochladen öffentlich zugänglich werden würden, war in den Produktbeschreibungen aufgeführt. Das Unternehmen hat die Datenpanne an dem Landesbeauftragten im Anschluss gemeldet, die betroffenen Personen benachrichtigt und war gehalten, sich um die Löschung (insbesondere auch nach Artikel 17 Absatz 2 DS-GVO) auch bei den Drittanbietern (z. B. vorgenannte Webseiten, gängige Suchmaschinen, Webseiten-Cache-Dienste oder Internet-Archivdienste) zu kümmern. Da es sich um sehr sensible Bewerbungsdaten handelte, hat der Landesbeauftragte eine Verwarnung ausgesprochen.

Schwerpunkt 2025: Recht auf Löschung und „digitale Kehrwoche“
Im vergangenen Jahr hat sich der Landesbeauftragte intensiv auch damit befasst, dass Menschen im Netz durch irreführende Designs von Anbietern beeinflusst werden. Nachdem die Dienststelle im Jahr 2023 federführend an der Formulierung europäischer Leitlinien zu „Deceptive Design Patterns“ gearbeitet hat, stellt der Landesbeauftragte im Jahr 2024 eine umfangreiche FAQ auf seiner Homepage bereit, um Verantwortlichen und Bürger_innen eine Hilfestellung anzubieten, sodass Datenschutz durch Technikgestaltung („Privacy by Design“) möglich ist.

Für das Jahr 2025 setzt der Landesbeauftragte einen Schwerpunkt auf das Thema Löschen. Das Recht auf Löschung („Recht auf Vergessenwerden“) gemäß Artikel 17 DS-GVO ist ein starkes Bürgerrecht. Der Europäische Datenschutzausschuss (EDSA) hat auf Vorschlag des Landesbeauftragten die Umsetzung des Rechts auf Löschung als Thema seiner vierten koordinierten Aktion ausgewählt, insgesamt 32 Aufsichtsbehörden aus ganz Europa nehmen an der Aktion teil.

Der Landesbeauftragte wird noch im März dieses Jahres einzelne öffentliche Stellen und Unternehmen sowie Institutionen aus unterschiedlichen Sektoren wie dem Gesundheits- und Bildungsbereich befragen, um dabei mehr zu erfahren, wie das Recht auf Löschung praktisch umgesetzt wird. Er möchte anhand der Antworten exemplarische Hilfestellungen erstellen, damit alle Verantwortlichen, die personenbezogen Daten verarbeiten, davon profitieren, wie mit dem Recht der Bürger_innen auf Löschung ihrer Daten umgegangenen werden kann. Dies stärkt auch die Bürgerschaft in ihren Rechten.

Um auch die Bürgerschaft für das Thema zu sensibilisieren und Datenschutz einfach und praktisch zu machen, ruft der Landesbeauftragte die „Digitale Kehrwoche“ aus. Ziel der Aktion ist, Menschen dazu einzuladen, sich ab und an zu fragen, ob man alles, was man auf seinem PC, Smartphone oder in der Cloud gespeichert hat, tatsächlich noch braucht – und wenn nicht, auch mal zu löschen. Das urschwäbische Prinzip der Kehrwoche, welches bundesweit bekannt ist, kann auch für die digitale Welt Vorbild sein (https://lfdi-bw.de/digitale-kehrwoche).

Datenschutz bei Gesetzgebungsverfahren
Der Landesbeauftragte wurde an zahlreichen Gesetzesvorhaben der Landesregierung beteiligt, auch zu Verwaltungsvorschriften und weiteren Regelungen hat er datenschutzrechtlich Stellung genommen. Insgesamt waren es im Jahr 92 Beteiligungen des Landesbeauftragten. Manche sind aufwändiger, andere erfordern ein geringfügigeres Maß an Beurteilung. Ein Beispiel ist die Einführung einer neuen Methode zur Standorterhebung beim Rufen der Notrufnummer „110“. Der Landesbeauftragte hatte zunächst zum Einsatz der Technologie an sich beraten, dabei aber festgestellt, dass der Gesetzgeber hierfür eine eigene Regelung einführen muss. Denn anders als bisher wird mit der neuen Technologie jeder Standort jeder notrufenden Person durch die Polizei erhoben. Dieser Automatismus ist von den derzeitigen Regelungen nicht erfasst. Wie eine zukünftige gesetzliche Regelung nunmehr aussehen könnte, ist Gegenstand eines fachlichen Austauschs mit dem Innenministerium, der in diesem Jahr konstruktiv fortgesetzt wurde.

Bildungszentrum BIDIB
Das Bildungszentrum BIDIB hat sich im vergangenen Jahr sehr gut weiterentwickelt. Es verzeichnete ein substanzielles Wachstum bei den Teilnehmendenzahlen und erreichte einen neuen Höchstwert. Insbesondere das Fortbildungsangebot „Schule digital“ wurde intensiv in Anspruch genommen. Wermutstropfen insoweit: Im Jahr 2025 wird „Schule digital“ nur noch in geringem Umfang weitergeführt werden können. Hintergrund ist, dass für dieses Angebot bis Ende des Jahres 2024 befristet bewilligte Stellen dem Landesbeauftragten zur Verfügung standen, die aus haushälterischen Gründen nicht verlängert werden konnten. Gleichwohl blickt das Bildungszentrum in eine gute Zukunft: Es feiert Anfang Juli sein 5jähriges Bestehen. Das Bildungszentrum konnte durch die starke Unterstützung des Landtags gegründet werden und ist nach wie vor bundesweit das einzige Schulungszentrum eines Landesbeauftragten.

Das Jahr 2024 in Zahlen
Im Berichtszeitraum erreichten den Landesbeauftragten 4.034 Beschwerden (2023: 3.817, +217). Die Zahl der Kontrollen liegt bei 54 (2023: 71, -17). Die Zahl der Datenpannenmeldungen ist deutlich gestiegen auf 3.559 (2023: 2.913, +646). Es wurden 243 Bußgeldverfahren eingeleitet (2023: 185, +58). Insgesamt hat der Landesbeauftragte 53 Bußgeldbescheide mit Bußgeldern in Höhe von ca. 626.700 Euro erlassen. Die Zahl der konkreten Einzelfallberatungen lag bei 1.360 (2023: 1.682, -322), die strukturelle Beratung durch der LfDI-Bildungszentrum BIDIB lag bei 4.470 Anmeldungen (2023: 3.732, +738). Künftig wird der Landesbeauftragte auch über Beteiligungen an Gesetzgebungsverfahren berichten, dabei werden die Norm- und Gesetzgebungsverfahren sowie Verordnungen und Verwaltungsvorschriften gezählt. Im Jahre 2024 waren es 92 Beteiligungen.

Das Internetangebot des Landesbeauftragten erfreut sich weiterhin großer Beliebtheit. Die Seite etwa mit dem Diskussionspapier „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“ wurde seit Erstellung im November 2023 schätzungsweise knapp 40.000 Mal aufgerufen. Im Jahr 2024 wurden die FAQ Cookies & Tracking über 10.000 Mal aufgerufen, die FAQ zum Hinweisgeberschutzgesetz ebenfalls knapp 10.000 Mal. Die direkten Aufrufe der PDF-Dateien zum Beispiel über Suchmaschinen oder andere direkte Verlinkungen werden nicht gezählt, sodass davon auszugehen ist, dass es insgesamt mehr Aufrufe der Dokumente gab. Die Seite der KI-Woche wurde knapp 6.000 Mal aufgerufen, die Seite mit dem Orientierungshilfen-Navigator Datenschutz & KI rund 2.500 Mal. Dass KI ein relevantes Thema ist, zeigt sich damit nicht zuletzt an der hohen Nachfrage nach Wissen durch den Landesbeauftragten.

Weitere Informationen:

40. Tätigkeitsbericht Datenschutz 2024
Alle Tätigkeitsberichte