Wieviel Macht den Daten?
Transkript anzeigen
00:00:03: Auslegungssache.
00:00:06: Der CT-Datenschutz-Podcast.
00:00:14: Hallo und herzlich willkommen in der Auslegungssache heute mit Episode onehundertsechsundvierzig.
00:00:20: Wir zeichnen auf am siebenzwanzigzehnten zwei tausendfünfundzwanzig und mein Name ist Holger Bleich.
00:00:26: Ich bin Redakteur bei CT die Magazin für Computertechnik, also eher aus der technischen Ecke und juristischer Leier.
00:00:31: Das könnte heute relevanter sein als sonst, weil wir einen Hochkarätigen, eine hochkarätige juristische Gästin haben.
00:00:39: Da muss ich vielleicht ab und zu mal ein bisschen Jörg den Vortritt lassen, was der Einwender angeht, weil ich schlicht vielleicht ein bisschen überfordert sein könnte.
00:00:45: Wir werden es erleben.
00:00:46: Und an meiner Seite ist wie steht es in seinem Homeoffice Jörg.
00:00:49: Hallo Jörg.
00:00:50: Hallo Jörg.
00:00:51: Es geht gleich wieder los.
00:00:52: Ich bin immer bei Eindruck von den zahlenhundertzigsten Folgen.
00:00:55: Wahnsinn.
00:00:55: Wir haben einen... Bannenden Gast und ich habe wie immer die, darf sie mir mal vorstellen.
00:01:01: und unsere Gästin heute ist Frau Prof.
00:01:04: Dr.
00:01:05: Anna Roschmeyer.
00:01:07: Hallo, Anna, herzlich willkommen.
00:01:09: Hallo, ich freue mich hier zu sein.
00:01:11: Ich darf dich kurz vorstellen, du bist Professorin und Inhaberin der Professorveröffentliches Recht am Institut für Staatsverwaltung und Wirtschaftsrecht.
00:01:21: in Osterbrück.
00:01:23: Zuvor war sie Professorin für öffentliches Recht mit Schwerpunkt Datenschutzrecht und Recht der Digitalisierung an der Fern-Uni in Hagen.
00:01:30: Und was du da machst, ist die traditionellen Rechtsfragen des öffentlichen Rechts mit den Herausforderungen der digitalen Transformation zu kombinieren, was ja schon mal sehr spannend und auch durchaus herausfordernd ist.
00:01:43: Und der Forschungsschwerpunkt deines Lehrstuds liegt in den Bereichen KI und Plattformregulierung, Datenschutz, Privatheit, Rechtstheorie sowie Demokratie und Digitalisierung.
00:01:55: Und ganz praktisch machst du das zum Beispiel als Vorstandsmitglied der Robots and AI Law Society, der Rails EV, auch mit Gliedwinnen und dort die super spannende Sachen machen.
00:02:06: An dieser Stelle mal eine große Empfehlung.
00:02:08: und du bist mitherausgeber in der Zeitschaft Legal Tech im Nomus Verlag.
00:02:12: Und zudem leitest du diverse Drittmittelprojekte mit starken Datenschutzbezug unter anderem Regulatory Sandboxes sowie zwei DFG, Deutsche Forschungsgesellschaftprojekte, zur Digitalisierung historischer Dissertation und in Auswirkungen redektiven Wissens.
00:02:30: Meine Güte.
00:02:31: Da wäre mir jetzt auch gleich alles mal so ein bisschen uns anschauen.
00:02:34: Bevor wir uns das anschauen, kannst du uns mal kurz erklären, weil ich glaube, das wissen ganz viele nicht, was denn regulatory Sandboxes sind oder was generell Sandboxes sind.
00:02:44: Man liest es viel.
00:02:44: Ich habe immer den Eindruck, richtig weiß, dass wir die wenigsten
00:02:49: wissen.
00:02:49: Ja, erst mal vielen Dank für die sehr nette Vorstellung und dass wir heute ein bisschen Zeit haben, über diese sehr vielfältigen Forschungsthemen von mir zu reden, die sehr komplex, aber auch unfassbar interessant sind.
00:03:01: Deswegen, also ich bin sehr glücklich, das auch an Osnabrückse weiterführen zu können.
00:03:06: Regulatory Sandboxes sind ein Forschungsprojekt von mir, was gefördert ist von der Daimler und Benz-Stiftung.
00:03:13: Und ich beschäftige mich da insbesondere mit den Vorgaben der KI-Verordnung zu den Realaborren.
00:03:18: Das hattet ihr auch schon im Podcast in der Folge zum Verhältnis DSGVO-KI-Verordnung.
00:03:25: Da gibt es nämlich auch eine... Ausnahmeklausel von der Zweckbindungseinschränkung und für die Verarbeitung besonders sensibeler Daten im Rahmen von Regulatory Sandboxes.
00:03:36: Und die Idee dahinter ist, dass man in Experimentierraum schafft für die KI-Vorgung, sprich von innovativen KI-Anwendungen, die in Zusammenarbeit mit der Aufsichtsbehörde getestet werden sollen.
00:03:47: Das gibt es schon relativ lange.
00:03:50: Die britische Financial Conduct Authority, die Finanzaufsichtsbehörde, macht das schon sehr, sehr lange.
00:03:56: Die testen dann so finanzmarktrelevante Apps oder neue Angebote, Websites etc.
00:04:04: Um zu schauen, ist das in Übereinstimmung mit den bisherigen Vorgaben.
00:04:07: Es läuft auch sehr erfolgreich in Skandinavien.
00:04:09: Da ist das die Datenschutzbehörde, die ja dafür zuständig ist.
00:04:12: Also gibt es auch sehr starke Erfahrungsmärkte im Datenschutzsektor.
00:04:15: Und mich interessiert weniger die Innovationsförderung, die auch wichtig ist.
00:04:21: Aber mich interessiert vor allem, und da kommt mein Örechts-Background raus.
00:04:25: sind wir heute, glaube ich, noch öfter mal stark merken werden, mich interessiert das regulatorische Lernen.
00:04:31: Also was haben denn eigentlich die Aufsichtsbehörden von der Regulatory Sandboxes, wenn es da schon, ja, eigentlich ja, kein Datenschutz-Discount gibt, aber zumindest Ausnahmenabschwächung der bisherigen Vorgaben?
00:04:46: Davon profitieren die Unternehmen.
00:04:47: Was haben die Behörden davon?
00:04:48: Können sie davon was lernen, für das zu bessere Aufsicht, bessere Gesetzgebung, bessere Unvollzucht?
00:04:52: Das ist so der Fokus meines Forschungsprojekts.
00:04:55: Hallo Hannah, erst mal noch mal willkommen auf von meiner Seite.
00:04:59: Eine kurze Nachfrage, wo wir jetzt gerade bei diesem Thema sind, das ist ja eine breite Diskussion im Moment hierzulande.
00:05:06: Wer am besten geeignet ist für die Aufsicht über die KI-Verordnung, sind es die Datenschutzbehörden, die es hier fordern und wollen?
00:05:12: Oder glaubst du, es ist doch besser bei der allgemeinen technische Regulierung bei der Bundesnetzagentur aufgehoben, auf die es hier rausläuft?
00:05:19: Was denkst du, wie ist da deine Meinung?
00:05:20: Super komplexe Frage.
00:05:22: Aber starten wir gerne so.
00:05:24: Der Referentenentwurf, der im Moment zirkuliert, sieht ja die Bundesnetzagentur als Aufsichtsbehörde auf.
00:05:30: Das macht aus verschiedenen Gründen Sinn.
00:05:33: Ich glaube, dass es aber dann eine ganz enge Zusammenarbeit mit den Datenschutzbehörden geben muss.
00:05:37: Und das geht schon so ein bisschen rein in die grundsätzlichen Komplikationen der KI-Verordnung.
00:05:42: Wir haben natürlich eine starke Ausrichtung am Produkt Sicherheitsrecht.
00:05:45: Ja, und wir haben da auch gewisse infrastrukturelle Komponenten,
00:05:49: etc.,
00:05:50: wo es schon Sinn macht.
00:05:51: zu sagen, man bündelt das zum Beispiel bei einer Behörde wie der Bundesnetzagentur.
00:05:55: Andererseits mixt die KI-Verordnung diesen produkt-sicherheitsrechtlichen Approach auch mit Grundrechtschützenden Elementen.
00:06:02: Und aus meiner Sicht sind die Aufsichtsbehörden im Digitalbereich, die sich am meisten mit Grundrechtschutz auskennen, die Datenschutzbehörden.
00:06:08: Von daher ist es, glaube ich, wichtig, dass es da eine entsprechende Kooperation gibt.
00:06:13: Die Bundesnetzagentur ist ja auch zuständig für die Aufsicht über den Gittische Services Act.
00:06:18: Also ich weiß nicht, was die noch alles machen sollen.
00:06:20: Ich glaube, sich gesagt, da ist natürlich viel Kompetenz vorhanden oder wird gerade auch aufgebaut, wird man sehen.
00:06:27: Also ich sehe jetzt kein zwingendes, lächliches Argument für die eine oder andere Variante.
00:06:32: Das ist letztendlich auch der rechtspolitischen Entscheidung und Diskussion überlassen.
00:06:36: Aber diese Grundrechtskonponente sollten wir dringend im Blick behalten.
00:06:39: Wir
00:06:39: kommen, glaube ich, hinterher nochmal zu dem Thema, wie wir jetzt mit den Datenschutzbehörden weiter um, weil das ist ja, glaube ich, über das Thema.
00:06:45: Das habe ich noch gar nicht genannt, über das wir hauptsächlich reden wollen, auch eines der zentralen Themen, zumindest bei der praktischen Auswirkung.
00:06:51: Wir wollen nämlich so ein bisschen als Überschrift haben wir uns hier mal überlegt, Datenschutz zwischen Macht, Begrenzung und Innovationshindernis.
00:06:58: Das ist, glaube ich, ein wichtiges Thema, was in der öffentlichen Diskussion auch relativ selten darstellt, ist der Datenschutz.
00:07:08: Dein Vortrag, auf dem wir dich boddels aufgefallen bist und wir dir eingeladen haben, hast du übersrieben mit Stadenschutz Tod.
00:07:16: Und das wollen wir uns gleich mal anschauen.
00:07:18: Bevor wir das tun, kommen wir aber zu unserer allseits beliebten Rubrik.
00:07:23: Das Bußgeld der Woche.
00:07:27: Unser Bußgeld der Woche kommt heute aus den Niederlanden und getroffen hat es ex- Experien ist ein Unternehmen, was mit dem schönen Slogan, we're focused on a clear purpose to create a better tomorrow for consumers, for businesses, for our communities and for our people.
00:07:53: Und es ist ein Datenhändler, können wir das glaube ich nennen, und zwar ein ziemlich großer, wie Heuger ausgefunden hat.
00:08:00: Heuger schüttelt den Kopf, kein Datenhändler.
00:08:02: Unter anderem, also geschwäßig, webpunktmäßig machen sie halt Risikobewertungen im B zu C Bereich, das heißt, schätzen Kreditwürdigkeiten ein und so weiter.
00:08:13: Aber genau, es hat mich auch überrascht, vielleicht zu einer Ordnung ist Perien ein irisches, ein irischer Konzern, die in zwei und dreißig Ländern aktiv sind und haben satte sieben Milliarden Euro Jahresumsatz, also das war der Jahresumsatz, zwei tausend vierundzwanzig, ist also kein kleiner Krauter.
00:08:28: Legt man diesen Umsatz zugrunde, den weltweit erzielten Gesamtumsatz, dann sind die hier verhängt in zwei Komma sieben Millionen Euro doch relativ gering.
00:08:41: Hintergrund sind Verstöße gegen Datenschutzregel im Rahmen der Vergabe von Kreditsscorings für Kunden.
00:08:48: Das ist natürlich in der Fakt ein unheimlich wichtiges Thema.
00:08:52: Und was haben die gemacht?
00:08:54: Dieses Unternehmen hat Daten gesammelt und zwar ganz massive Daten, um Leute daraus einen Kreditschor geben zu können und sie haben da Daten wie negatives Zahlungsverhalten, Schulden, der betroffene unterschiedlichen Quellen gesammelt, darunter auch aus nicht öffentlichen Quellen und daraus haben sie eine Bonitätsbewertung umgesetzt, typisches Weiling und eigentlich vor meiner Blick so Genau dagegen ist die DSGVO gemacht ein bisschen.
00:09:28: Hier kam noch so ein bisschen dazu, dass die Betroffenen nicht ausreichend oder gar nicht über die Verwendung ihrer Daten informiert haben und diese Daten aber ganz massiv Vertragsentscheidungen bei Unternehmen beeinflusst haben, Telekom, Webshops, also wenn ich irgendwas kaufen will, denn das gibt es natürlich hier in Deutschland genauso.
00:09:51: Menschen mit niedrigen Scores wurden abgelehnt oder müssten zum Beispiel höhere Kautionen hinterlegen und es gab daraufhin ziemlich zahlreiche Beschwerden und der Betroffenen, die wurden erst nachträglich über die Gründe informiert von Ablehnungen und dieses Unternehmen konnte, zumindest nach dem Schreiben der NL, also der niederländischen Behörde, nicht begründen, warum bestimmte sensible Informationen notwendig waren.
00:10:21: Und dementsprechend hatten sie diese Unzutreffen verwendet und dadurch entstand natürlich erhebliche Risiken auch für die betroffenen Personen.
00:10:31: Man war dann ganz freundlich, hat sich auf den Bauch gedreht und hat die eigenen Rechtsverschlüsse eingestanden, auf einen Rechtsmittelweg verzichtet und die entsprechenden Tätigkeiten in den Niederlanden beendet, die Löschung der personenbezogene Daten soll im
00:10:46: Zeitnah
00:10:47: erfolgen.
00:10:48: Ja.
00:10:49: Anna, das geht schon ziemlich in deine Richtung, so Datenmacht und Datenmissbrauch.
00:10:56: Braucht man solche Unternehmen?
00:10:58: Und wenn ja, wie sollten sie gestaltet werden?
00:11:00: Wir sind uns, glaube ich, alle eigentlich so eher jetzt nicht unbedingt.
00:11:04: Ja, ich glaube, das zeigt erst mal auch ganz deutlich, dass es einfach Auswirkungen im Real-Life hat.
00:11:10: Also es hat Datenschutzverstöße, haben Auswirkungen auf Menschen in ihrem realen Leben, weil sie dann eben kein Kredit bekommen, um sich eine Wohnung zu erfen zu können oder auch nur einen Handysvertrag abzuschließen.
00:11:23: Das machten diese Beispiele, glaube ich, ganz deutlich.
00:11:27: Deswegen finde ich die Jürgen Brick auch so schön anschaulich und wichtig.
00:11:31: Brauchen wir solche Unternehmen?
00:11:32: Ja, da sind wir schon direkt beim Thema.
00:11:34: Also ich bin so ein bisschen... Allergisch geworden gegen den inflationären Begriff der Innovation, wenn wir über die Digitalökonomie reden.
00:11:44: Weil aus meiner Sicht ist es zu so einer relativ leeren Hülse verkommen, wenn man nicht sagt, was eigentlich diese Innovationen bringen soll, wer davon profitiert, inwieweit es eine Verbesserung des jetzigen Status quo ist.
00:11:58: Und dann, das sieht man auch in der KI-Diskussion ganz stark, da kommen wir heute ja sowieso noch hin.
00:12:02: Also KI und Datenschutz lassen sich aus meiner Sicht... nicht trennen, auch wenn gerade viele nur über KI reden wollen, gesteckte Datenschütze aus meiner Sicht immer mit drin.
00:12:12: Da wird immer gesagt, ja, wir müssen Innovationen fördern, inwieweit jetzt Gesellschaften, Wirtschaftsweige, Wertschöpfende, Tätigkeit von Datenhändlern profitiert, wage ich zu bezweifeln.
00:12:28: Die können sich natürlich auch auf Grundrechtsschutz berufen.
00:12:30: Ja, wirtschaftliche Tätigkeit ist beschützt.
00:12:32: Das will ich überhaupt nicht bestreiten oder angreifen.
00:12:35: Aber da kommen wir dann halt in die Abwägung rein, zu sagen, wir haben hier ein Geschäftswald, der massiv intransparent ist, im Bereich jetzt auf die Datenhändler und die Data Broker.
00:12:45: Die zeichnen sich aus durch strukturelle Rechtsverstöße.
00:12:49: Ich glaube, da ist es schon gerechtfertigt zu sagen, man schaut da mal genau hin.
00:12:54: Andererseits gibt es auch ein legitimes Interesse von erstens dieses Unternehmens, seinem Businessmodell so zu betreiben, finde ich, wie sie es betreiben.
00:13:04: Und natürlich auch sie arbeiten ja vor allem, sagen sie zum Beispiel selbst für den B to C Bereich.
00:13:09: Es gibt natürlich auch ein Interesse und vielleicht ist das dann auch ein, wenn man so will, volkswirtschaftlicher Gewinn, wenn sich Unternehmen gegen Risiken absichern können.
00:13:20: Also, es geht ja, darum geht es ja im Endeffekt, Risiken zu erkennen und Risiken abzusichern.
00:13:26: Was die auch machen, ist ja Fraudmanagement.
00:13:28: Ich will jetzt die Unternehmen nicht in Schutz nehmen, weil ich mir auch ein bisschen seine Historie angeguckt habe.
00:13:32: Nein, ich habe mir seine Historie angeguckt und die hatten in den USA ja auch schon diverse Probleme.
00:13:36: Also haben zum Beispiel einen riesen Datenverlust, glaube ich, von fünfzehn Millionen Kunden, da hat eine komplette Datenbanks da gehackt worden und ist abgezogen worden.
00:13:45: Und dann sind sie auch dabei erwischt worden.
00:13:48: Daten zu verkaufen, an irgendwelche dubiosen Data Broker, die sie dann weiter genutzt haben.
00:13:56: Wenn man jetzt einen kleinen mittelständischen Webshop gibt und den fragt, wie soll ich denn mein Risiko der Zahlungsausfälle absichern und da ist jemand, der hilft mir dabei und der kann das ganz gut einschätzen und für mich Scores ermitteln, dann wird er sagen, das hilft mir sehr und das möchte ich haben.
00:14:13: Das ist nur, ich sage nur, es gibt zwei Seiten der Medaille, dass sie hier natürlich verstoßen haben und dass ich dieses Modell strukturell auch irgendwie fragwürdig finde.
00:14:24: Ja klar, also das wollte ich glaube ich damit zum Auszubringen, jetzt ich gesagt habe auch diese Unternehmen können sich auf Grundrechte berufen und erstmal ihr Business Model so lange es halt eben rechtskonform ist, hier entsprechend betreiben.
00:14:36: Es gibt aus meiner Sicht halt da noch andere Komponenten, also einmal.
00:14:42: reden wir jetzt hier in diesem Bereich schon über Kernpunkte von Datenmacht, was ich ja als informationelle Macht, also Metrie, bezeichnet zwischen den beteiligten Akteuren, die sich halt aus Marktbeherrschung, Wissensproduktion, Wissenskontrolle zusammensetzt.
00:14:56: Also es hat verschiedene Faktüren, ökonomische, epistemische, auch sächtliche und den Verbraucher, die dem unterworfen sind.
00:15:05: Und im Moment ist es aus meiner Sicht so, dass wir keine entsprechenden vernünftigen in der Breite Vollzugs- und Rechtsschutzmöglichkeiten sehen, die durchgesetzt werden, die vielleicht so auch noch nicht da sind.
00:15:17: Da sprechen wir ja vielleicht später noch mal drüber.
00:15:19: Und das halte ich für problematisch.
00:15:21: Und das Schmelad aus meiner Sicht, das legitimierte Interesse, dann schon entsprechend zu sagen, wir machen das so in der Breite und in der Masse.
00:15:29: Und die andere Form ist... Ich kenne mich jetzt nicht im Detail aus, was jetzt die Forschung zur Wegsamkeit von Credit Stores Scoring angeht.
00:15:39: Ja, also das funktioniert schon ja ganz lange.
00:15:42: Das ist ja auch keine KI-Technologie, sondern sehr alt.
00:15:45: Ja, das geht ja sehr weit zurück und es scheint zu funktionieren für diesen Zweig.
00:15:50: Aber die andere Frage, die ich mir immer stelle, ist bei diesen ganzen Predictoren.
00:15:54: wo man ja wirklich aus allen Datenpunkten alles Mögliche herleiten kann.
00:15:58: Wir haben so Fälle in den USA, wo Leute irgendwie aufgrund ihrer Browserwahl zum Vorstellungsbespieg eingeladen wurden oder eben nicht.
00:16:06: Wo ist denn auch da die Qualitätskontrolle, dass das überhaupt funktioniert?
00:16:10: Ja, also auch als kleiner, mitzuständiges Unternehmen.
00:16:14: ist ja wichtig, dass es am Ende funktioniert und dass es überprüfbar ist.
00:16:17: und dazu gehört eben auch eine gewisse Überprüfbarkeit durch die Betroffenen und Transparenz.
00:16:22: Und da haben wir aus meiner Sicht erhebliche Probleme mit, weil es ist ja oft so ein bisschen egal, ob es stimmt.
00:16:30: Es wird erst mal gemacht und wird erst mal eingesetzt und dann wird das aus meiner Sicht zu unkritisch verwendet.
00:16:36: Legitimes Interesse hin oder her, aber man hat ja nur was davon.
00:16:42: Auch als Web-Shop-Betreiber, wenn es einen entsprechenden Mehrwert hat, da fehlt aus meiner Sicht an vielen Stellen auch einfach wirklich die Output Qualitätskontrolle.
00:16:53: Es ist selten, hat ein Bußgeld so gut ins Thema eingeführt.
00:16:56: Das passt hier natürlich perfekt mit dieser Datenmacht.
00:17:01: Wir haben einen Vortrag.
00:17:04: Von dir gehört hannah auf dem datentag.
00:17:09: Zwei tausend.
00:17:09: Zwei tausend.
00:17:12: Zwei tausend.
00:17:15: Zwei tausend.
00:17:20: Zwei tausend.
00:17:20: Zwei tausend.
00:17:23: Zwei tausend.
00:17:25: Zwei tausend.
00:17:27: Zwei tausend.
00:17:28: Zwei tausend.
00:17:28: Zwei tausend.
00:17:31: Dass nämlich persönlich gesagt nicht so war, wobei mir dazu einverteugert werden.
00:17:37: Ich glaube bei der vorletzten Sendung hatten wir eine ziemlich große Diskussion im Heiseforum, dass jemand gesagt hat, er sei irgendwie jung und ihm sein, irgendwie Sachen wie Datentransfer und wer was über ihn sprechen sein, völlig egal.
00:17:49: dass was wir machen würden sei so ein alter weißer Männerding, dass wir uns darüber aufregen würden und das war aber für die Jungen überhaupt kein Thema.
00:17:56: Nun sind natürlich viele weite weiße Männer immer so vorum, sodass er das heftig um die Augen geschlagen
00:18:03: hat.
00:18:03: Nein, nein, nein, nein, nein.
00:18:05: Na ja, das machen wir ehrlich, ne.
00:18:08: Aber ganz interessant, Datenschutzbrot nehme ich überhaupt nicht so wahr, wer sagt, der Handel des Datenschutzbrot ist.
00:18:14: Also ich sehe Datenschutz umkämpft.
00:18:18: Auch als Innovationshemd ist, aber das machen wir gleich, aber tot.
00:18:22: Also ich habe die These ja auch nicht unterschrieben.
00:18:24: Wenn man so fortzieht, ist es immer gut, das Publikum erst mal aufzuwecken.
00:18:28: Da bringe ich gerne was Provokantes mit.
00:18:31: Es hat ja aber trotzdem einen wahren Kern.
00:18:34: Also anecdotes are not data, das ist vollkommen klar.
00:18:38: Ich nehme aber schon, war in der Diskussion, gerade auch in der Digitalisierungsbubble, dass viele Menschen so sehen, wie die Person, die im Forum das beschrieben hat, dass es ihnen total egal ist oder nicht mehr, dass es ihnen egal ist, sondern dass sie einfach sehen, dass sie überhaupt keine Chance haben oder der Datenschutz an sich überhaupt keine Chance hat, überhaupt noch zu bestehen.
00:18:58: in der jetzigen digitalen Realität.
00:19:01: Und dann setzt, glaube ich, so ein bisschen so eine Resignation ein.
00:19:04: Wir haben dazu jetzt ja so ein paar Daten, die Bundesdatenschutz beauftragte.
00:19:08: Sehr geschätzte Kollegin hat ja eine Umfrage gemacht, dass Datenbarometer wie die Menschen in Deutschland zum Datenschutz stehen.
00:19:13: Da kommen ja auch interessante Sachen raus.
00:19:16: Aber ich bin ja auch viel im internationalen Kontext unterwegs und da ist es schon interessant, dass es jetzt so ein bisschen teilt zwischen Leuten, die auf der Akademie, also in der Wissenschaft, sich damit beschäftigen für die... Es ist vollkommen unstreitig, dass wir uns super viel bei Privatheit und Datenschutz unterhalten müssen.
00:19:32: Leute, die eher aus der Industrie kommen, aus der Wirtschaft oder auch damit nicht so vertieft zu tun haben, sagen, es ist doch alles hinfällig.
00:19:42: Ja, keiner hat mehr Bock auf diese Cookie-Banner, keiner liest irgendwelche Datenschutzerklärungen.
00:19:47: Das ist alles lästig.
00:19:50: Wir brauchen das nicht mehr.
00:19:52: gefühlt jede Woche, wenn man in unserer Bubble ist, wird über irgendwelche schlimmen Databreaches berichtet, jetzt mit GEM AI, also Modelle wie GPT-Five, ChatGPT, Gemini etc.
00:20:04: Ist das sowieso alles hinfällig?
00:20:05: Also im Prinzip ist der Datenschutz in dem Sinne tot, dass er sich überhaupt nicht mehr durchsetzen kann.
00:20:12: Das war so die These, die ich überhaupt nicht unterschreibe.
00:20:16: Ich aber... schon verstehen kann, warum Leute das Gefühl haben, dass es so ist.
00:20:21: Und ich glaube, das ist auch total wichtig zu adressieren.
00:20:24: Und deswegen spreche ich ja nicht nur auch vor Fachpublikum, sondern auch vor Menschen, die sich damit noch nicht so in Detail auseinandergesetzt haben und vielleicht auch nicht so die Berührungspunkte oder Kapazitäten dazu haben.
00:20:35: Ich glaube, wir brauchen weiterhin ganz viel Aufklärung darüber, wie das Internet eigentlich funktioniert und mit Internet bei nicht inklusive aller verbundenen Apps.
00:20:44: Etc.
00:20:45: und ich habe das Gefühl, dass gerade auch bei jungen Menschen, die schon sehr viel checken und die Mechanismen von Social Media und so gut verstanden haben und vielleicht auch viel besser als wir alle, dass er trotzdem nicht so das Bewusstsein darüber ist, was eigentlich mit den Daten passiert und was man mit prädiktiven Modellen machen kann.
00:21:08: oder wie jetzt der Spiegelartikel gestern, das Chatipity, was an die Behörden weiter gibt in den USA, wenn man den erzählt, man hat ein paar Autos auf dem Unipark platzdemoliert, also diese Sachen sind aus meiner Sicht noch nicht in der Breite angekommen, deswegen ist es glaube ich super wichtig da weiter drüber zu reden.
00:21:25: und deswegen glaube ich, ist es da besteht Grund zum Optimismus, den Datenschutz zumindest wieder zu beleben oder klar zu machen, dass er überhaupt nicht tut.
00:21:36: Okay.
00:21:38: Ja, also das Schot ist, sehe ich auch nicht so.
00:21:43: Bei den anderen Sachen renze ich, glaube ich, gerade bei Heuger auf einer Tür und ein, wenn es darum geht, Wissen über Daten, Transfer, Missbrauch, Ähnliches zu vermitteln.
00:21:53: Ich glaube bei Heuger, die geht es auch ab und zu mal an Schulen, um sowas auch darzustellen und sowas.
00:21:59: Ja, habe ich länger gemacht.
00:22:05: Es ist schwierig, wenn wir uns die junge Generation angucken, wie sie mit Insta und TikTok umgeht zum Beispiel und wie sie sich auch verabschieden von der Technik.
00:22:18: Das ist meine Beobachtung immer wieder, dass das was technisch im Hintergrund passiert, wie du sagst, Hannah von wegen, man muss wissen, wie es funktioniert, dass das überhaupt nicht mehr relevant ist.
00:22:27: Das interessiert sich einfach überhaupt nicht mehr.
00:22:29: Also es gibt genügend jugendlich heranwachsende und auch Erdmann und junge Erwachsene, die... nicht mehr mit einer Maus umgehen können, die gar nicht mehr wissen, wie ein Rechner zu bedienen ist, weil sie einfach nur noch das Handy nutzen.
00:22:42: Und auf dem Handy, das finde ich, ist die Abstraktion von dem, was da eigentlich passiert und weitergegeben wird, noch mal höher als auf dem PC.
00:22:49: Und man hat natürlich auch weniger Einführungsmöglichkeiten.
00:22:51: Wir haben vorhin darüber gesprochen, dass man zum Beispiel auf dem PC ja noch gewisse Möglichkeiten hat an Datenschutzeinstellungen und so.
00:22:57: Ich glaube auf dem Handy, das Handy wird genommen als die Forteinstellung, was da auf dem Gerät läuft und nur die allerwenigsten, Null, Komma, Null, Einbruch.
00:23:06: Beschäftigen Sie sich mal mit den Gedanken, vielleicht alternativer als Android-Betriebssystem zu benutzen oder auch, wenn Sie Apple nutzen, um vom Reich Datenschutzeinstellungen Ihrem Gerät zu ändern.
00:23:16: Passiert einfach nicht meine Ansicht nach, meine Beobachtung nach.
00:23:19: Und genauso wenig interessiert auch wieder Algorithmus von TikTok interessiert und welche Daten er sammelt und ob er jetzt jeden Tipp und jeden Swipe registriert, um sich anzupassen.
00:23:29: Das wird halt so hingenommen und eigentlich auch als Benefit, weil ... dann kriegt man der Ziel gerichtet, den nächsten Videos ausgespielt.
00:23:37: Also ich glaube, da ist ein ganz schönes Desinteresse vorhanden, ehrlich gesagt.
00:23:40: Da bin ich ein bisschen desillusioniert.
00:23:43: Zumindest, dass meine Gespräche mit Heranwachsenden angeht.
00:23:46: Jetzt hörten wir auch über unsere Azubis, also auch über andere Azubis, dass ich nicht mehr mit PCs benutzen können.
00:23:53: Ja, aber da würde ich halt sagen, das ist eine Melange von einem möglichen.
00:23:57: Genau was du gesagt hast, Hannah, ist auch ein bisschen eine Resignation dabei.
00:24:00: Also man steht ja vor übermächtigen wenigen Datenkonzernen.
00:24:04: Also die Resignation manifestiert sich.
00:24:06: Du hattest das in deinem Vortrag ja auch angesprochen, zum Beispiel auch darin, dass jeder weiß.
00:24:10: Dass jede Datenschutzbehörde weiß, dass der Ansatz für Microsoft-Renatum-Sechsig zumindest datenschutzrechtlich DSGVO rechtlich schwierig zu argumentieren ist und wahrscheinlich auch nicht rechtskonform ist in Europa.
00:24:23: Und trotzdem tut es jeder.
00:24:25: Und tut es auch jede Behörde, fast jede Landesbehörde.
00:24:28: Und gerade hier in Niedersachsen hatten wir die Entscheidung, dass die Landesbehörden eben zum Beispiel Microsoft-Rainer-S-Produkte benutzen dürfen, obwohl es große Vorbehalte gibt es da in der Landesdatschutzbehörde.
00:24:37: Und das ist einfach die Mazers-Taktischen.
00:24:39: Und TikTok ist auf dem Handy und deswegen wird TikTok auch benutzt, weil es Spaß macht und weil es jeder andere auch benutzt.
00:24:46: Und da würde ich dann wieder in die These zurückgehen.
00:24:49: Vielleicht ist Datenschutz erröchelt sehr, sagen wir es mal so, glaube ich.
00:24:55: Ja, ich möchte die junge Generation oder die jüngere Generation, die Jünger ist also viel als sagen müssen wir so ein bisschen in Schutz nehmen.
00:25:03: Wenn alle im Bundestag vertretenen Parteien auf TikTok sind, können wir die nicht schämen, dass sie TikTok benutzen.
00:25:08: Ja, und du hast das ja auch schon.
00:25:09: Es sollte
00:25:10: kein Shaming sein.
00:25:12: Ja, ja, alles gut.
00:25:13: Habe ich habe ich auch nicht so verstanden.
00:25:15: Ich verpürte es jetzt ein bisschen.
00:25:17: Genauso, was du angesprochen hast, diese ubiquitären Infrastrukturen, denen man einfach nicht entkommt.
00:25:25: die auch ja insbesondere in Deutschland sehr stark von der öffentlichen Hand genutzt werden, finde ich auch höchst problematisch.
00:25:32: Also wenn wir prioritieren oder kostenlosen Zugang zu generativen Modellen haben über die Uni-Lizensierung etc.
00:25:42: und gleichzeitig aber unsere Studierenden dafür sensibilisieren sollen oder ihnen in gewissen Konstellationen verbieten, das nicht zu nutzen.
00:25:51: Wie kommt man damit irgendwie überein?
00:25:53: Das ist natürlich das Ziel.
00:25:55: Das sehen wir jetzt auch ganz stark im Bereich generativer KI.
00:25:59: Also ich ehrlich gesagt, jetzt spreche ich nicht als Juristin, sondern einfach als Verbraucherin.
00:26:04: Ich fühle mich dadurch belästigt, dass mir überall jetzt eine AI-Overview aufgenötigt wird.
00:26:11: Man entkommt dem überhaupt nicht mehr.
00:26:12: Ich will einfach nur ein PDF-Dokument lesen und es kommt die ganze Zeit diese Assistant.
00:26:16: Und das ist jetzt natürlich irgendwie eine Eskalation.
00:26:20: von auch User-Design, was vorher schon da war.
00:26:23: Ja, also wir wissen alle, die sozialen Medien sind nicht danach designt, dass es irgendwie besonders fakten, trächtig oder informativ sein soll, sondern die Leute sollen da halt bleiben, um ihre Daten zu hinterlassen.
00:26:35: Ja.
00:26:36: Und auch die Handys und die Interfaces sind entsprechend designt.
00:26:40: Wir haben da einen ganzen Forschungszweig zu Dark Patterns, dass die Leute eben die Privacy-Einstellungen nicht finden und so weiter und so fort da.
00:26:47: Und das setzt sich jetzt alles fort dadurch, dass man überall diese Personal AI Assistance auch benötigt wird, die natürlich aus meiner Sicht auch ein massives Datenschutzproblem sind.
00:26:55: Und auch ein Klemmeautensicherheitsproblem.
00:26:58: Also wenn man sich da anschaut, dass irgendwie... Es kann nur Anwendungsübergreifen funktionieren, wenn die Idee ist, dass dieses Modell Flugtickets bucht und seinen Freunden direkt schreibt, wann man ankommt.
00:27:08: Ich finde persönlich, das ist eine relative Horrorvorstellung.
00:27:12: Aber auch das ist ja so ein bisschen, geht schon fast im Bereich, nicht in allen Fällen, aber geht einfach, wir haben da ganz klare Fälle der Manipulation.
00:27:22: Das kommt auch noch mal dazu.
00:27:23: Ja, das heißt, Wo liegt die Verantwortung der einzelnen Verbraucherinnen, der einzelnen Personen, insbesondere bei Minderjährigen, haben wir massive Probleme?
00:27:31: Und wo ist die übergeordnete Verantwortung, wo man auch sagen kann, die Staaten müsste hier eingreifen und entsprechend regulieren?
00:27:37: Ja, das ist ja so ein bisschen, da verlaufen die Konfliktlinien und ich glaube einfach nicht an dieses Privacy-Paradox, sondern schlägt wieder die Brücke.
00:27:44: Dazu ist Datenschutz dead.
00:27:46: Ich glaube nicht, dass es die Leute nicht interessiert.
00:27:49: Ich glaube, dass sie in vielen Situationen nicht die Kapazitäten haben, nicht die Zeit, nicht das technische Verständnis.
00:27:56: Auch da, dass überhaupt kein Shaming oder ein Vorhof ist, ist es einfach hyperkomplex.
00:28:01: Aber dass sie einfach das... Das Wissen nicht haben, deswegen funktioniert das Instrument der Einwilligung auch nicht.
00:28:07: Das funktioniert, wenn ich in einem Raum bin und mir jemand erklärt, es werden hier Fotos gemacht, die kommen nachher auf die Internetseite.
00:28:13: Das funktioniert nicht, wenn ich gegenüber siebenhundertanviertzig Daten verarbeite und gleichzeitig einwillige.
00:28:19: Deswegen glaube ich nicht an dieses Narrativ des Privacy-De-Paradoxes, dass sich dafür keiner interessiert, sondern ich glaube, dass wir schon mit kritischer Bewusstseinschaffung... voll geil.
00:28:29: Deswegen bin ich vielleicht der optimistische, das optimistische Spiegelbild, von dir.
00:28:33: Ich hoffe es bleibt noch so.
00:28:35: Noch einiges erreichen können und deswegen ist der Datenschutz auch nicht tot.
00:28:41: Bis zu siebenhundert irgendwas, nicht siebenhundert irgendwas.
00:28:45: Ja, kann ich gut nachvollziehen.
00:28:50: andere Geschichte, die ich allerdings jetzt dann, also nein, ist nicht tot, sind wir uns, glaube ich, alle einig.
00:28:54: Also ist vielleicht nicht mehr so relevant.
00:28:56: Übrigens, die von dir genannte Untersuchung der Bundesdatenschutzbörde, weil ich die heute morgen gerade nochmal gelesen habe, dann sagt irgendwie, korrigiert mich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich so, dass ich könnte besser sein, der Ruf des Datenschutzes.
00:29:25: Tod ist aber nicht, aber und da sind wir vermutlich anderer Meinung, natürlich ist es, zumindest aus meiner Sicht, ich bin ja Unternehmensjurist und berate meinen Anwaltskanzler live hier zum Datenschutz, natürlich ist es ein Innovationshemdnis, aber ein hästiges Innovationshemdnis.
00:29:41: Das ist irgendwas, was jedes Start-up zerreißen kann, was jedes Unternehmen betrifft bei neuen Projekten.
00:29:50: Was allerdings nicht heißt, dass sich den Datenschutz abschaffen will, um jede Innovation zu verhindern oder beziehungsweise, dass der Datenschutz hier per se im Weg steht.
00:30:01: Aber natürlich, und das ist jetzt erstmal eine relativ neutrale Verstellung, muss sich durch die Existenz des Datenschutzes wesentlich mehr machen, wesentlich mehr investieren.
00:30:13: Ich muss Zeit investieren, ich muss Geld investieren, Menschen investieren, externe Beratung investieren.
00:30:18: Und komme vielleicht, wenn es gut läuft, am Ende zu dem Ergebnis, ja, das ist machbar.
00:30:24: Vielleicht muss ich das datenschutzmäßig auch anpassen.
00:30:27: Was mir der liebste Part ist.
00:30:30: Ich bin nämlich ein Fan von Privacy by Design, dass man halt irgendwelche Sachen durch kleine Änderungen dann doch noch datenschutzkonform kriegt.
00:30:40: Aber natürlich ist es erst mal objektiv gesehen ein Innovationshemdnis, würde ich sagen.
00:30:47: Ja.
00:30:48: Ich versuche mich, der Frage ein bisschen anzunehren und trotzdem alle Leserinnen mitzunehmen im Zuhöreren.
00:30:54: Verzerrte aber nicht Leserinnen.
00:30:58: Meine Rückfrage wäre, wie definierst du Innovation?
00:31:02: Also liegt Innovation nur darin, dass Komplanenskosten möglichst gering zu halten sind für Unternehmen oder... können wir Innovation vielleicht auch anders definieren.
00:31:13: Hat Innovation vielleicht auch nicht nur eine ökonomische, sondern auch eine gemeinwohlbezogene Komponente, dass man sagt, bestimmte wirtschaftliche Entwicklungen sind aus unserer Sicht wertvoller, weil davon viele Menschen profitieren.
00:31:29: Ja, ist es gleich zu bewerten, ob ich ein Data Broker Unternehmen habe oder ... Impfstoffe gegen Corona-Entwickler.
00:31:38: Also ich glaube, dass man da einfach differenzieren muss.
00:31:41: Das ist natürlich lästig und nervig, aber mir ist diese Debatte viel zu übersimplifiziert, dass Innovations- und Totschlagargument ist und man da gegen Regulierung argumentiert.
00:31:54: jetzt nicht so wie du es gemacht hast, das war ja ein konkretes Beispiel, aber auch in der rechtspolitischen Diskussion.
00:32:00: Und das stört mich einfach, deswegen glaube ich, dass wir da genauer hinschauen müssen, was ist eigentlich das Verständnis von Innovation, was wir haben.
00:32:08: Es ist aus meiner Sicht auch nicht schablonenmäßig gleichzusetzen mit Effizienz oder Effektivität.
00:32:14: Das sind genauso leere Begriffe.
00:32:16: Wenn ich da keinen Bezugsrahmen habe, was ich eigentlich effizienter machen will, dann hat es erst mal eine Null-Aussagekraft.
00:32:21: Ich kann auch sehr effizient die Demokratie abschaffen.
00:32:24: Effizienz ist erst mal kein Wert an sich.
00:32:26: Oder wünsche mir bei Innovation noch genauso eine Differenzierung.
00:32:31: Meine andere Sichtweise darauf ist natürlich stark durch meinen öffentlich-rechtlichen Background geprägt.
00:32:36: Also ja.
00:32:37: Wir haben staatliche Vorgaben für die Wirtschaftsregulierung.
00:32:42: Dazu gehört natürlich auch, dass wir die Grundrechte und gegenläufigen Interessen und auch wieder die Grundrechte der Unternehmen in einem verhältnismäßigen Ausgleich brengen müssen.
00:32:51: Aber aus meiner Sicht ist es auch so, dass wir in einem demokratischen Gesetzgebungsverfahren über einen Rechtsrahmen entschieden haben.
00:32:59: Und dieser Rechtsrahmen, nun mal gilt, und in der Demokratie haben wir uns darauf geeinigt, dass, wenn wir meinen, dass dieser Rechtsrahmen nicht mehr passend ist, der dann entsprechend in einer demokratischen Diskussion abgeändert werden muss durch ein entsprechendes Gesetzgebungsverfahren.
00:33:13: Und wenn Firmen dann meinen, dass das nicht passt, dann können sie sich ja entsprechend daran beteiligen, was sie jetzt zum unterschiedlichen Maße auf sehr... Die DSGVO war ja mal der meisten Lobby-Peace in EU-History.
00:33:25: Jetzt ist es, glaube ich, der AI-Agg.
00:33:27: Ja, auch da sind wir wieder bei der Machtasymetrie, die großen globalen Player investieren massiv in Lobbyarbeit, um das zu beeinflussen.
00:33:34: Die Kleinen haben da weniger oder zumindest nur andere Ansatzpunkte.
00:33:37: Das ist mir alles vollkommen klar.
00:33:40: Aber erst mal zu sagen, Datenschutz ist jetzt halt ein Innovationshindernis, was uns irgendwie stört.
00:33:45: Es ist halt auch die Konsequenz eines demokratischen Gesetzgebungsverfahrens.
00:33:50: Aus meiner Sicht müssen wir da auch auf diesen Wege wieder ran und deswegen haben wir auch die entsprechenden Diskussionen dazu.
00:33:58: Und dann kann man sich darüber einigen, ob das anzupassen ist oder nicht.
00:34:04: Es gibt von Arno Bradford, das ist eine Kollegin aus den USA, einen sehr schönen Artikel.
00:34:10: Darüber, dass sie sagt, Regulierung und Innovation stehen gar nicht im Gegensatz.
00:34:15: Da macht sie so einen Vergleich auf zwischen dem europäischen Digitalmarkt und dem US-amerikanischen.
00:34:20: und das dieses vermeintliche.
00:34:22: Hinterher hängen bei uns nicht an der Regulierung nicht, sondern an anderen Faktoren wie zum Beispiel, dass wir einfach... viel regulierteren Venture Capital-Markt haben, dass wir den Bindemarkt nicht vollendlich realisiert haben, dass wir eine ganz andere Möglichkeit haben für Talent Recruiting, dass die Infrastruktur mit BTC liegt nicht ausschließlich an der Regulierung und auch nicht überwiegend.
00:34:44: Deswegen stört mich so ein bisschen dieses Argument, was oft kommt.
00:34:49: Ich glaube einfach, man muss differenzieren.
00:34:51: A. Was ist die Innovation, die wir haben wollen?
00:34:54: Und B. Wie kommen wir dahin?
00:34:58: es anzupassen und es sinnvoll zu machen, hast du dir auch schon gesagt, man kann es dann halt natürlich datenschutzkonform anpassen, Rechtsberatung
00:35:06: etc.,
00:35:07: ist alles möglich.
00:35:09: Aber ich gähme mich so ein bisschen gegen diese Gegensätze.
00:35:12: Vielleicht noch eine Anmerkung dazu, was mir gerade so, was mir immer wieder ausstößt und in dem Zusammenhang in den Sinn kommt.
00:35:22: Wir hatten hier schon öfter das Thema und das ist sehr problematisch ist, in der DSGVO überhaupt im ganzen Datenschutzrechen in Europa.
00:35:29: Also ich nehme jetzt mal zum Beispiel das, nehmen wir mal Meta, beziehungsweise Facebook, Facebook war ein innovatives Unternehmen in den USA, also es gegründet wurde, hat ein neues Businessmodell und hat eigentlich quasi das soziale Netzwerken auf neue Beine gestellt und neu erfunden.
00:35:49: Aber ist halt immer, Jörg und jetzt kommen wir dahin, wo wir uns immer ein bisschen kappeln, ist halt immer nach dem Unternehmensgrundsatz oder Zuckerberggrundsatz, wo wir gegangen sind, move fast and break things.
00:35:58: Das heißt, wir nehmen Rechtsverstöße und Verstöße gegen die geltende Rechtsordnung, egal jetzt in welchem Land wir agieren, bewusst in Kauf und werden damit groß.
00:36:09: Und unser Geschäftsmodell stößt an Grenzen, aber die überschreiten wir.
00:36:15: Das nehmen wir hin.
00:36:16: So haben Sie zum Beispiel Wir erinnern uns alle, den deutschen Markt komplett kaputt gemacht, weil sie dauerhaft auch damals ohne DSGVO dann eben gegen das BDSG dauerhaft gegen deutsches Recht verstoßen haben hier.
00:36:27: Und die Durchsetzung gab es entweder gar nicht oder ist jahrelang hinterhergehängt.
00:36:33: Das war echt ein Problem.
00:36:34: Bis sie jetzt und da Konverte in dem Bereich Daten macht, bis sie so eine Machtposition errungen haben, auch durch Zugreifen von Instagram und WhatsApp zum Beispiel, dass wir halt jetzt die So ein Unternehmen haben oder so ein Weltkonzern haben, der, ähm, dem ist ehrlich gesagt ziemlich egal ist, wie komplein der zur DSGVO ist, weil es eingepreist ist.
00:36:56: Wenn die jetzt mal ein dreieinhalb Millionen Bußgeld hier bekommen, eins, zwei Milliarden Bußgeld da, dann ist das, äh, ist das Portokasse.
00:37:02: Dann, dann wird das einfach bezahlt und hingenommen.
00:37:05: Und da muss ich Jörg wieder recht geben.
00:37:07: Das finde ich echt ein großes Problem.
00:37:09: Die können das, aber das Start-up oder der kleine Mittelständler, der innovativ agiert.
00:37:15: Und der versucht sich an die DSGVO zu halten.
00:37:17: Vielleicht auch, weil er sogar mehr im Fokus steht der Landesdatenschutzbehörden als Meter als Weltkonzern, wo ja dann alles in Irland entschieden wird und wie das in der Vergangenheit ist, haben wir ja gesehen.
00:37:29: Da ist eine totale Asymmetrie.
00:37:30: Also wenn diese paar Weltkonzerne hier haben ihren Status aufgebaut und die werden weitgehend verschont gelassen, es trifft eigentlich eher in Europa die kleineren Unmittelstände, die versuchen neue Businessmodelle.
00:37:44: Entlang der DSGVO zu bauen.
00:37:46: Oh, das möchte niemand mehr was sagen dazu.
00:37:51: Ja, ich stimme dir komplett zu.
00:37:54: Also meine Definition von Datenmacht zieht natürlich genau auf diese Konstellation und ich habe ja dieses Argument in Mufas und Breakthings in vielen Vorträgen und auch oft verschriftlich.
00:38:07: Das sind infrastrukturelle Log-In-Effekte, auf die die Anbieter sitzen.
00:38:11: Das ist bei Microsoft genau dasselbe.
00:38:15: Wir haben das auch in anderen, wir haben das bei Uber.
00:38:17: Wir sehen es jetzt bei den generativen KI-Modellen.
00:38:19: Ich halte das weder für datenschutzkonform noch urheberrechtskonform, aber die setzen genau dieses sehr erfolgreiche Spiel fort und ihr Ziel, dass sie sich einfach überall etablieren und dann sind sie too big to fail.
00:38:31: Das ist halt genau das.
00:38:33: Und das finde ich ist aus rechtsstaatlicher Sicht einfach höchst problematisch und nicht, was ich jetzt persönlich aus meiner Perspektive einfach so hinnehmen möchte.
00:38:40: Deswegen reden wir ja darüber, was die DSGVO-Reform angeht.
00:38:45: Ich argumentiere schon seit Langem dafür, dass wir einen stärkeren, risikobezogenen Ansatz haben, der sich aus meiner Sicht auch aus der Grundrechtsdokumatik rechtfertigen lässt.
00:38:56: Natürlich ist Grundrechtsschutz immer Minderhaltenschutz.
00:38:58: Man kann jetzt nicht pauschal sagen, oh, es ist nur eine oder zwei Personen betroffen, das ist nicht so schlimm.
00:39:03: Das Bundesverfassungsgericht kennt zwar das Argument der Streubreite, ja, da ging es... im Bezug zum Beispiel Kennzeichen, Erfassung, Rasterfarmung
00:39:11: etc.,
00:39:12: wenn besonders viele Leute getroffen sind, kann das die intensität des Grundrechtseingriffs erhöhen.
00:39:17: Das ist aus meiner Sicht aber eher ein Argument der Anlasslosigkeit.
00:39:20: Ja, also sich ganz viele Personen sind betroffen, die einfach keinen Anlass gegeben haben, in der staatlichen Maßnahme zu unterscheiden.
00:39:26: So, trotzdem gibt es natürlich, ist es aus meiner Sicht wichtig, da der Abstufung zu machen.
00:39:33: und deswegen haben wir jetzt auch die ganze Debatte um die DSGVO reform und ich halte es für komplett richtig zu sagen, die unterwerfen die großen Player, sei es jetzt die Flops oder man findet eine andere Kategorie.
00:39:46: ja in Kalifornien, versuchen sie ja gerade Geschäftsmodell der Data Broker auch zu definieren im Kalifornien Consumer Policy, dass wir eben eine Kombination haben aus A, das Geschäftsmodell ist eben nicht eigentlich was komplett anderes.
00:39:58: Ich betreibe einen Handbagsbetrieb oder was auch immer oder eine Webseite für eine kleine Marketingagentur.
00:40:05: Und ich muss dafür Daten verarbeiten und unterliege hohen Belastungen, hohen Komplexen.
00:40:11: Oder mein Geschäftsmodell beruht einfach nur auf datenintensiven Technologien und der sehr aggressiven Extraktion.
00:40:17: Aus meiner Sicht ist es absolut gerechtfertigt und es ist nötig, dazwischen zu unterscheiden.
00:40:24: Deswegen ist ein bisschen nicht trage.
00:40:26: Ich weiß nicht, ob wir das jetzt schon ansprechen wollen, aber ob man die DSGVO aufmacht, ist nochmal ein ganz anderer Punkt.
00:40:31: Ein mehr risikobezogenes Modell, um gerade das zu verhindern, worüber wir jetzt gesprochen haben, halte ich für absolut notwendig.
00:40:37: Und das ist im DSA ja zum Beispiel auch schon angelegt, ja.
00:40:41: In der KI-Verordnung zum Beispiel haben wir es wiederum nicht.
00:40:43: Da spielt es überhaupt keine Rolle, außer bei den Benchmarks für die General Purpose AI Models.
00:40:49: Und da ist das auch so ein bisschen schwierig, wie der systemische Risiken.
00:40:53: definiert werden.
00:40:54: Aber ich finde, dass gerade der Regulierungsansatz des Digital Services Act, der sagt eben, wir haben hier gewisse Clare und deren Geschäftsmodelle haben Auswirkungen über die bilaterale Vertragsbeziehung zwischen ihren Nutzern hinaus auf die Gesellschaft.
00:41:08: Das ist ein systemisches Risiko, was wir regulieren müssen.
00:41:11: Dass das ganz wichtig ist, diesen Gedanken auch im Datenschutzrecht zum Anschlag zu bringen.
00:41:16: Ich glaube, ich bin weniger Fan davon, so eine Unterkranze einzuführen, zu sagen, okay, ich habe jetzt drei Leute, entwickel aber einen hoch... potente sophisticated AI-Model, was weiß ich nicht, sensible Gesundheitsdaten verarbeitet, dass man dann sagt, die sollten aus der DSG PARO ausfallen.
00:41:33: Also so funktioniert es, glaube ich, nicht, nach oben zu Scherker zu regulieren.
00:41:39: Ist aber eine ganz wichtige Diskussion, die wir führen sollten.
00:41:44: Ja, kann ich viel von unterschreiben, wobei ich denke, Ziel der Diskussion gerade, und wir können das ja auch noch mal aufmachen, ist ja nicht... die die großen amerikanischen player zu regulieren, weil die sind reguliert, da haben wir keinen mangel an regulierung, sondern haben wir einen mangel an durchsetzung, vor allen Dingen in irland, nicht nur in irland, aber auch in irland.
00:42:07: was mir bei der diskussion zu kurz kommt und da bin ich noch mal zurückgegen darf zu diesem innovationshermnis ist halt die die bürokratie die sich in dem in dem ganzen ausdrückt.
00:42:21: Und das habe ich bei deinem Vorträgen so ein bisschen vermisst, Hannah, diesen Bereich.
00:42:26: Ich glaube, wenn man dahin geht, wo es wirklich wehtut, wo die Datenschutzfolgenabschätzung zu schreiben sind und ähnliche Dinge, dann sieht man halt, ja, okay, das ist vielleicht ein großes amerikanische Unternehmen, auch mitgedacht, aber es ist halt nicht irgendwas für ein, zweihundert Leute, mich wie vor Betrieb.
00:42:48: gedacht der aber auch massiv dsg vo anforderung hat und da auch eine menge zu machen hat.
00:42:53: und es ist ja nur wir gucken jetzt gerade ganz stark auf dsg vo aber es sind ja auch sieben milliarden andere bereiche.
00:42:59: Die man zum berücksichtigen hat.
00:43:01: mein leben wurde gerade so.
00:43:02: Unfassbar erweitert um wunderbare dinge wie das.
00:43:08: Die entwaltungsverordnung.
00:43:10: mit der ich mich letztens zwei Stunden in einem Seminar beschäftigen musste und zwar grauenhaft, also wirklich ganz schlimm und alle haben hinterher geweint, weil es auch keiner wusste, wie man es umsetzen kann.
00:43:21: Lange Liste, Lieferketten, die ganzen Acts, natürlich jetzt auch AI-Akt, der ganz furchtbar bürokratisch wird, wenn ich im Hoch-Sicherheitsbereich bin und da bin ich immer drin, wenn ich eine HR-Abteilung habe, die KI nutzt.
00:43:36: Das ist meine Kritik weniger an der Regulierung in den Gesetzen der Großen, aber an diesem bürokratischen Akt und die Regulierung der Großen.
00:43:52: In meiner Ansicht nach scheitert er daran, dass er einfach nicht durchgeführt wird, auch nicht von Deutschen.
00:43:56: Und dann können wir jetzt dazu mal rübergehen, auch nicht von deutschen Datenschutzbehörden.
00:44:00: Wo sind denn die Verfahren gegen TikTok?
00:44:02: Also ja, es gibt eins, ich weiß, eins oder zweier.
00:44:05: Oder wo sind denn die Verfahren gegen diese ganzen Datenhändler?
00:44:08: Kenne ich kein einziges.
00:44:09: Also es ist zumindest nicht öffentlich gemacht.
00:44:10: Und wir wissen, dass es ganz viele, also immer gegen Schufe an, natürlich.
00:44:13: Aber das ist wahrscheinlich das meist regulierte Unternehmen in Deutschland, würde ich mal mir vorstellen.
00:44:21: Wo ist der ganze Rest an Durchsetzung?
00:44:25: Und da dachte ich echt ein großes Störgeschül.
00:44:31: Also, ich glaube, unsere Sichtweise rechtfertigt sich natürlich auch aus oder erklärt sich aus den unterschiedlichen Perspektiven, wie wir daraus schauen.
00:44:39: Ja, ich mache keine Mandantin-Beratung im Everyday-Datenschutz.
00:44:43: Ich komme aus der Rechtswissenschaft und unsere Rolle ist aus meiner Sicht auch kritisch auf die Meta-Ebene und auf die Gesamtzusammenhänge zu tun.
00:44:52: Das heißt, ich sehe... Natürlich auch die Punkte, die du siehst und ich bespreche das aber eher in dem Sinne, dass ich hier ein normatives Missmatch sehe zwischen den Kategorien der DSGVO und der jetzigen Realität.
00:45:07: Um das mal abzuschichten, also ich glaube auch da sind das eigentlich wieder unterschiedliche Aspekte.
00:45:15: Das eine ist die Frage der Aussichtsbehörden und der Durchsetzung, das andere ist die Frage auch des Vollzugsdefizits.
00:45:23: Wir haben ein massives, ich sage immer von einem strukturellen Vollzugsdefizit, weil ich glaube, dass das wirklich strukturinherend ist, dass die DSGVO in bestimmten Konstellationen nicht durchgesetzt wird.
00:45:34: Das ist das eine.
00:45:36: Ich glaube aber auch, dass wir mit den normativen Kategorien, die wir gerade haben, nicht weiterkommen.
00:45:41: Und deswegen glaube ich, dass es schon was bringt, darüber zu diskutieren, wie können wir denn die großen Player anderweitig regulieren?
00:45:49: Wir haben da viel zu publiziert, gemeinsam mit meinem Kollegen Rainer Mühler, der Philosoph und Mathematiker ist, den auch den entsprechenden Background hat, wie man eigentlich diese kollektive Dimension, die über das schon angesprochene bilaterale Verhältnis zwischen Datenverarbeiter und betroffenen Datenrechtsobjekt regulieren kann.
00:46:10: Und in diesem Bereich sind wir einfach bei den Big Players.
00:46:14: Ich glaube, wir brauchen weiterhin die DSGVO, die ganz wichtig ist und ja auch wirklich Ausschluss eines europäischen tief verwurzelten Grundrechtsschutzes.
00:46:22: Das ist gut und richtig und daran sollten wir auf keinen Fall rütteln.
00:46:25: Aber wir kommen mit diesen individuellen Instrumenten nicht weiter.
00:46:29: weil wieder aus meiner Sicht einfach eine andere Art von Risiken realisiert sehen in der Praxis, die die DSGVO so nicht adressieren kann.
00:46:38: Ich habe diese Folie in meinem Vortrag, wie funktioniert ein prädiktives Modell.
00:46:42: Diese Idee, dass ich als einzelnes identifizierbares Datensobjekt die Kontrolle über meine Daten in mehreren Verarbeitungsschritten habe, am Ende sind aber ganz andere Leute getroffen.
00:46:54: Ja, das ist ein Missmatch der normativen Kategorien.
00:46:57: Und selbst wenn wir das perfekt vollziehen würden, auch das haben wir in Publikationen ausgeführt, hätten wir immer noch die Problematik der Diskriminierung der Dritten, die gar nicht beteiligt sind.
00:47:06: Das nur so als ein Stichwort dazu.
00:47:09: Wir haben Probleme mit der Anonymisierung.
00:47:11: Ja, das ist technisch über, also technische Anonymisierung, normatives Verständnis von Anonymisierung fällt total auseinander.
00:47:18: Ja, wir haben eine Verantwortungsdifusion im Zuge der... Verarbeitungskette und so weiter und so fort.
00:47:23: Also das nur so ein paar Schlaglichter.
00:47:25: Warum ich glaube, dass es nicht nur ein Vollzugstifizit ist, dass gerade diese übergeordneten gesellschaftlichen Risiken so nicht hinreichend adressiert sind und vielleicht auch nicht im Sinne einer DSGVO adressiert sein müssen, sondern dass wir da was anderes brauchen.
00:47:40: So, das ist das eine.
00:47:43: Die andere Sache, die du angesprochen hast, ist natürlich die Frage der Aufsicht und auch der Bürokratie, Bürokratie, so ein zweites Lieblingswort von mir.
00:47:54: Hat ja einen notorisch schlechten Ruh.
00:47:57: Da gibt es jetzt auch viele Diskussionen.
00:47:58: Ich weiß nicht, ob ihr diesen Abandonsansatz von Esther Klein kennt, der jetzt in Amerika ja viel.
00:48:06: diskutiert wird, was man eigentlich gegen Trump so machen kann.
00:48:10: Und ich glaube, Leute wollen, dass Sachen funktionieren.
00:48:13: Ja, und Sie haben das Gefühl, dass das Sachen funktionieren, übermäßig verkompliziert werden durch Bürokratie.
00:48:20: Das sehe ich, das höre ich, das sehe ich auch.
00:48:23: Gerade in Datenschutzrecht ist es alles verständlich.
00:48:26: Als Öffentlich-Rechlerin, und jetzt habe ich wieder den Rechtswissenschaften Hut auf, frage ich mich aber auch, Bürokratie erzeugt viele Kosten.
00:48:34: Aber was sind die Kosten?
00:48:36: wenn wir diese Regeln nicht hätten.
00:48:38: Ja, in Deutschland ist unfassbar viel geregelt.
00:48:41: Das macht aber in vielen Fällen auch einfach Sinn.
00:48:44: Um dann diese Kosten zu quantifizieren, zu sagen, okay, Unternehmen ersticken jetzt in ihren Compliance-Regeln, was ist, wenn wir das alles abschaffen, etc.
00:48:54: Die anderen Kosten sind halt unsichtbar und nicht so gut quantifizierbar, aber sind ja trotzdem da.
00:48:59: Ja, also wir haben unfassbar viele Bauvorschriften, bei uns stürzen aber auch relativ selten Diskotheken ein.
00:49:05: Ja.
00:49:06: Das ist jetzt natürlich ein sehr vereinfachter Vergleich, aber ich möchte auch da in der Diskussion nochmal auf Differenzierung pochen und zu sagen, wir müssen uns, glaube ich, genau anschauen.
00:49:16: Um welche Regeln es sich geht?
00:49:17: Gibt es bürokratischen Excess?
00:49:19: Gibt es Entscheidungen der Aufsichtsbehörden oder Verwaltung, die nicht verständlich sind?
00:49:23: Absolut, ja.
00:49:25: Aber wie sieht die Alternative aus?
00:49:27: Wenn wir sagen, wir machen hier einen Regelabbau und Regeln sind auch für die Schwachen da.
00:49:32: Wir haben die ganz starke Tradition des Grundrechtsschutz durch Verfahren.
00:49:36: Ich weiß, das wird jetzt sehr abstrakt, ja, und ich nehme damit die mittelständischen Websitebetreiber nicht mehr mit, aber das ist halt auch eine Perspektive, um auf diese Winger zu blicken, die mir sehr wichtig ist.
00:49:48: Ja, ich glaube, was Jörg aber auch ein bisschen gemeint hat oder was jetzt in der Debatte eben, glaube ich, eine große Rolle spielt.
00:49:56: Wir leben halt in Europa, insbesondere in Deutschland, in Zeiten der wirtschaftlichen Stagnation.
00:50:03: Es wächst nicht mehr viel.
00:50:05: und genau in diese Kerbe, wo es sowieso ökonomische Diskussionen gibt, wo können wir denn, jetzt kommt wieder das Wort Innovationshemmnisse überwinden?
00:50:15: oder wie können wir denn aufschließen?
00:50:18: zu den Bigplayern USA und China.
00:50:20: In dem Moment platzt, gut das ist jetzt natürlich auch schon ein bisschen her, aber platzt die EU mit zeitlichen Verzug mit sehr umfangreicher digitaler Gesetzgebungen.
00:50:30: rein, und zwar auf Verordnungs-Ebene, also wirklich mit knallhart direkten Gesetzen, zur Regulierung von KI, zur Regulierung von Datenschutz, zur Regulierung von Datenräumen, büchstig Wort Gesundheitsdatenraum und andere Datenräume, die es kommen werden, dann flankiert man das mit kleinen Lockerungsgesetzen, zum Beispiel mit dem Data Act, der dann den Datenhandel wieder befördern soll, aber Trotzdem bleibt die DSGVO unberührt und das heißt, er setzt die DSGVO nicht in Kraft oder in Geschenken, sondern er muss irgendwie neben der DSGVO stehen und alle, alle die sich mit dem Data Ad beschäftigen meinen, das wird unheimlich schwer.
00:51:14: Weil die DSGVO steht unheimlich viel dem entgegen was im DJA und im DA steht.
00:51:19: Kannst du diese Argumentation ein bisschen nachvollziehen, dass jetzt gerade in der aktuellen Zeit in den letzten Jahren wirklich in der ganz... diese Regulierung in eine ganz unglückliche Zeit gefallen ist.
00:51:30: Ganz kurz ein Satz dazu, also als Praktiker finde ich diese Regulierung auch in Zeiten von wirklich wahnsinnigen Wirtschaftswachstum ähnlich schwierig und unnötig und übertrieben.
00:51:41: einfach nicht alles, aber vieles eben.
00:51:44: Ja, auch das ist was, worüber man sich glaube ich eine ganze Stunde unterhalten könnte.
00:51:50: Also erstmal... Ich bin kein Fan von dieser Metapher eines Wettbrenns zwischen Europa, den USA und China, weil das für mich, das ist jetzt vielleicht so ein bisschen kleinlich, aber wir machen ja schon Begriffe, sind ja durchaus wichtig in der Rechtswissenschaft.
00:52:06: Und ich halte diese Bezeichnung einfach für falsch.
00:52:09: Die wird immer so rumgeschmissen und wir müssen irgendwie aufschließen und so.
00:52:13: Und ich glaube, das ist der komplett falsche Ansatz auch rechtspolitisch.
00:52:17: Also A, so geredenen Wettbrennen, dass es irgendein Ziel gibt.
00:52:21: Und das erreicht dann eine Partei und die anderen sind zweite, dritte.
00:52:25: Und was soll das bedeuten?
00:52:26: Das passt aus meiner Sicht irgendwie nicht.
00:52:30: Das wird ja auch im KI-Context immer so mit dem AI-Race und so bezeichnet, aber natürlich auch im Vergleich der Digitalwirtschaften.
00:52:38: Und dann werden da ja die unterschiedlichen, vermeidlichen identifizierbaren Ansätze, laisse fair kommunistische Regierung und europäische Ansätze immer verglichen.
00:52:49: Es ist mir persönlich alles ein bisschen zu unterkomplex.
00:52:53: Deswegen, ich verstehe, dass es extrem viele Regulierungsvorhaben jetzt gab und gibt und dass die in problematischer Weise zusammenwirken.
00:53:03: Also mein Problem ist eher, auch aus Sicht der Rechtswissenschaft, dass wir eigentlich so ein Digital-Kollisionsrecht brauchen.
00:53:12: Also wir bräuchten eine Navigationsmöglichkeit, wie sich diese Rechtsakte eigentlich zueinander verhalten.
00:53:18: um dann evaluieren zu können, inwieweit ergänzen die sich sinnvoll, inwieweit blockieren die sich und inwieweit muss man vielleicht an der einen oder anderen Stelle nachjustieren.
00:53:27: Das ist jetzt auch Aufgabe der Rechtswissenschaft und der Rechtspraxis, da sind glaube ich so ein bisschen dabei.
00:53:34: Ich kritisiere die KI-Verordnung bei jeder Gelegenheit und ich sehe da auch domatisch schwierige Entscheidungen, gerade ein Zusammenwerfen dieser unterschiedlichen Regelungssysteme, also gerade Die Gefahr des Schadens und der Grundrechtsverletzung kriegt man eigentlich nicht gegeneinander.
00:53:49: Man braucht für eine Grundrechtsverletzung keinen Schaden.
00:53:51: Das sind alles ganz unterschiedliche Ansätze.
00:53:55: Allerdings glaube ich, dass es trotzdem wichtig ist, dass die KEVON um jetzt in diesen Zeitungen gekommen ist, weil es ein rechtspolitisches Signal war und ist, wie es die DSGVO auch war.
00:54:07: Weil ich glaube, dass wir einfach ja im Rahmen der KI-Vororten jetzt endlich mal die von mir so oft geforderte demokratische Debatte darüber hatten, was sehen wir eigentlich als Hochrisiko an?
00:54:16: Und da sind nicht nur gute, aber auch nicht nur schlechte Dinge rausgekommen.
00:54:21: Und ich finde es vollkommen richtig, dass Emotionserkennungssysteme am Arbeitsplatz einfach verboten sind, nach der Gehebverordnung.
00:54:27: Ja, der Artikel fünf ist auch nicht ohne Probleme.
00:54:32: auch nochmal ein ganz anderes Thema oder das geht zumindest.
00:54:35: jetzt mal einen KI-Register haben, dass wir mal rausfinden, wo auch übrigens die öffentliche Verwaltung nicht immer nur die Privaten überhaupt die entsprechenden Systeme einsetzen, weil das wussten wir vorher überhaupt nicht.
00:54:47: Wir haben hier keine gesetzliche Verpflichtung dafür und das ist aus meiner Sicht immens wichtig.
00:54:51: Also die KI-Verordnung macht gerade, was diese Registrierungspflicht angeht, einen absoluten Schritt in die richtige Richtung.
00:55:00: Deswegen glaube ich, dass es gerade natürlich auch aus der praktischen Sicht, wie gesagt, Ich habe eine ganz andere Perspektive.
00:55:07: Natürlich ist das Pain und man muss das jetzt auseinander klar mühsern.
00:55:14: Erlaubt mir noch einen rechtspolitischen Kommentar.
00:55:16: Ich glaube aber, dass Europa dafür auch viel Selbstbewusster sein muss.
00:55:19: Also es ist ja aus meiner Sicht irgendwie schlechtes Timings, habe ich auf dem Verwassungswerk ja auch kommentiert.
00:55:24: Wenn irgendwie einen Tag nach dem J.D.
00:55:27: Wenz gegen Europa in der absolut undifferenzierten Breitseite bei dem A.I.
00:55:33: Summit austeilt, ist man dann, sagt man, stampft die Haftungsrichtlinie ein.
00:55:36: Also, wir haben ja auch was zu bieten.
00:55:39: Und jetzt der letzte Punkt.
00:55:41: Was kann man positiv machen?
00:55:44: Ich glaube überhaupt nicht, dass wir profitieren oder unsere Stärken ausspielen, indem wir sagen, wir brauchen jetzt irgendwie Wir brauchen ein europäisches Google, wir brauchen europäisches Meta oder ein europäisches Deepseak.
00:55:56: Ich glaube, dass wir super viel Kompetenz und Potenzial haben, einen Gegenentwurf zu diesen consumer driven Sachen anzubieten, sondern uns vor allen Dingen auf die Industrie zum Beispiel konzentrieren.
00:56:07: Und da wünsche ich mir... von der Politik nicht nur Regulierung, sondern natürlich auch positive Anreize.
00:56:14: Und da sind wir in solchen Untiefen wie das Vergaberecht, wo es gar nicht so einfacher ist, so was wie bei Europe First im Cloudbereich zu etablieren.
00:56:22: Das sind alles offene Rechtsfragen, aber ich glaube, das ist the way to go.
00:56:25: Die haben hier auch was anzubieten.
00:56:27: Es gibt das Investitionsschutzrecht, wo Unternehmen sich absichern, wenn sie in Bereichen investieren, wo es einfach keine Rechtssicherheit gibt.
00:56:34: Ja, also man kann das ja auch positiv frame und sagen, bei uns ist genau definiert, was erlaubt ist und was nicht.
00:56:41: Und ja, da muss ich in seiner Praxis definitiv einiges ausdröseln lassen, wie es dann funktioniert.
00:56:47: Aber das kann ja auch ein Essence sein.
00:56:49: Wir haben hier einen starken Grundrechtschutz, wir haben keine... oder wir haben zumindest auf europäischer Ebene keine Entwicklung, die in autokratische Tendenzen empfiehlt.
00:56:58: Das kann ja auch, das ist aus meiner Sicht ein krasser Standortfaktor und auch diese Idee zu sagen, man konzentriert sich zum Beispiel auf die Industrie etc.
00:57:08: Das lässt sich aus meiner Sicht erst mal alles gut an, auch als eine positive Perspektive.
00:57:15: Ja, also muss ich sagen, wir haben auch gar keine andere Perspektive, weil wir mit Sicherheit keine großen KI-Modelle in den nächsten Jahren entwickeln, was aus meiner Sicht auch, was mit der Regulierung zu tun hat.
00:57:26: Aber ich würde noch mal gerne zurückkommen zum Datenschutz.
00:57:31: Du hast in deinem Vortrag so ein paar Sachen hinsichtlich einer Veränderung des Datenschutzes vorgetragen, wo es heißt, ich glaube, Datenschutz Fünf Null genannt.
00:57:43: Dazu gehören Sachen wie, die schlecht laufen in der DSGVO über Strapazierung des berechtigten Interesses.
00:57:51: Ja, sehe ich auch so.
00:57:53: Das ist auch völlig absurd, was man da immer noch in der Praxis trifft.
00:57:57: Wahnsinn.
00:57:59: Zweckbindung, hast du angeführt.
00:58:01: Anonymisierung.
00:58:04: Aber wie machen wir das denn jetzt praktisch?
00:58:09: Hab mir die Vorschläge von Schrems und diesem Artikel in der Erfatz von Frau Prof.
00:58:16: Wendehorst durchgelesen, hat mich alles schon abgeholt.
00:58:23: Aber ist jetzt nicht mein Schmerz, den ich in der täglichen Beratung habe, der im Wesentlichen immer noch die Bürokratie besteht.
00:58:35: Welche, sagen wir mal, wenn du, Hannah, wenn du jetzt zwei oder drei Möglichkeiten hättest, dem europäischen Gesetzgeber, was ins Stammbuch zu schreiben, hinsichtlich der Reform der DSGVO, was wäre das?
00:58:50: Ja.
00:58:51: Wünsch dir was.
00:58:52: Ja, gute Frage.
00:58:55: Ich habe jetzt zusammen mit Rainer Müller auf einiges publiziert zur Zweckbindung von KI-Modellen, wo es uns darum geht.
00:59:03: das auch handhabbar zu machen in der Regulierung.
00:59:05: Und das hat natürlich auch mit der Datenkeharbeitung zu tun.
00:59:07: Das würde ich gar nicht in die DSG verurschreiben, sondern das würden wir in unserem Vorschlag gerne kombinieren mit den schon bestehenden Governance-Strukturen der KI-Verordnung, dass man einfach eine Dokumentation darüber hat, dass bestimmte Risikomodelle für welche Zwecke werden, die eingesetzt und auch wenn die dann wieder rausfallen, weil dann sind sie ja aus der aus der Kelly-Verordnung wieder raus.
00:59:27: Das ist eine Sache.
00:59:28: Die, glaube ich, wichtig ist, wir haben das in die Richtung mit dieser Dokumentation von Zwecken für sekundären Nutzungen.
00:59:35: Das haben wir schon im European Health Data Space auch angesprochen.
00:59:40: Ich sehe da so ein bisschen das Risiko, dass das alles ausfranst, weil man dann auf einmal sagt, ah, der Zweck ist die Training eines KI-Modells.
00:59:50: Das ist zu weit.
00:59:52: Zwecke sind eine spannende juristische Kategorie, natürlich auch sehr schwierig, weil man kann ja unterschiedlichen Abstationsebenen ansiedeln.
00:59:59: Es macht mir aber durchaus Sorgen, dass dann auf diese Sekundärnutzungsrisiken reagiert wird, indem man sagt, der Zweck ist Training eines KI-Modells.
01:00:07: Ich glaube, da müssen wir uns genauer drüber und halten, für was das KI-Modell denn eigentlich eingesetzt und trainiert wird.
01:00:12: Und man findet das jetzt teilweise auch, also ich weiß nicht, ob ihr im Sicherheitsbereich ... über den Aspekt staatliche Überwachung etc.
01:00:20: haben wir jetzt heute noch gar nicht gesprochen.
01:00:22: Auch das ist eine Problematik von Datenmacht, die auch staatliche Akteure haben können.
01:00:28: Im Berliner Entwurf zum Polizeigesetz steht zum Beispiel drin, dass die Polizei auf Daten sekundär nutzen kann für das Training von KI-Modellen.
01:00:35: Also, da wird mir ganz anders, ehrlich gesagt.
01:00:39: Das halte ich für extrem problematisch.
01:00:41: Was ich mir jetzt in Bezug auf die DSGVO Wünschen würde ist, dass man eben nicht die Büchse der Pandora aufmacht und das Schutzniveau senkt, sondern dass wir eine vernünftige Debatte darüber haben, was für risikobehaftete Datenverarbeitungen wir haben, dass wir eine Entlastung von Bereichen und Akteuren haben, die eben nicht in einem grundrechtsgefährdenden Bereich, weder in der Breite noch in der Intensität sind.
01:01:08: Und da gehe ich auch damit, das können wir von mir aus auch Bürokratieabbau labern.
01:01:13: In Ordnung, dass wir aber bei den großen Klären, wie schon gesagt, sowohl im Vollzug als auch in der normativen Adressierung eigentlich anziehen müssen.
01:01:23: Das würde ich mir wünschen.
01:01:27: Naja, ein bisschen öffnest du damit aber ja schon die Büchse der Pandora.
01:01:30: Du hast ja auch in deinem Vortrag fand ich sehr spannend.
01:01:34: Du hast vorhin schon mal kurz angesprochen.
01:01:37: dass du dir wünschst, dass Datenschutz nicht nur als individuelles Schutz gut oder als individueller Grundrechtsschutz gesehen wird, sondern als kollektiver Schutz, also systemischer Schutz.
01:01:48: Und jetzt hast du auch davon gesprochen, dass man... Eventuell ja auch Risikokategorien einführen könnte und das wäre ja schon ein Paradigmenwechsel in der DSGVO.
01:01:58: Also wird es schon weggehen von dem once heiss fits all und würde es dann so ähnlich wie es so ein Stufmodell einführen wie es zum Beispiel auch teilweise in der KI-Verordnung gibt also ein Risiko-basierten Ansatz und das ist ja auch die Richtung die... Schrems und Foss so ein bisschen gedacht haben, dass sie gesagt haben, je nachdem was Unternehmen zum Beispiel mit Daten veranstalten, werden sie verschiedene Risikokategorien eingeteilt.
01:02:21: Aber ich finde, das ist schon die Blödsinn der Pandora.
01:02:24: Das wird wahrscheinlich mit dem bevorstehenden Omnibusgesetz jetzt nicht gerade kommen.
01:02:28: Ja, wir waren jetzt auch bei Wünschtebass, also in der aktuellen rechtspolitischen Debatte wird das natürlich sehr schwierig.
01:02:34: Meine große Sorge ist, dass wir das Schutzniveau abbauen.
01:02:39: Und ich, wie gesagt, nochmal, ich bin auch nicht dafür, zu sagen, wir schaffen jetzt komplett DSGVO-freie Räume, weil auch da sind natürlich in der datifizierten Gesellschaft viele Dinge im Fluss.
01:02:51: Das heißt, ich würde keinen Ausnahmetatbestand wollen, sondern man muss im Detail hinschauen, was sind die Belastungen für kleinere Playerbetriebe etc.
01:03:00: Im Koalitionsvertrag steht Ehrenamt.
01:03:02: Das kann man sich alles anschauen.
01:03:04: Das ist halt aus meiner Sicht ... gibt es da keine Einverantwort für, denn das ist einfach die Teilarbeit, die man dann auch im Hinblick auf die Grundpräzidelevanz einfach gehen und evaluieren muss.
01:03:15: Und diese kollektive Dimension, finde ich, sollte eher... weniger in der DSGVO-Reform, sondern vielleicht in einer, oder auch das wird eine Reform in der Ergänzung, die jetzt vielleicht auch nicht, wenn wir wieder bei wünschen, was im Rahmen der DSGVO sind, sondern dass wir im Zuge dieser besseren Abstimmung zwischen dem Digitalgesetz hatten, da mal darauf gucken, wie man das vielleicht auch zusammenfüllen kann.
01:03:37: Also ich finde es extrem bedauerlich, dass im Zuge des Gesetzgebungsverfahrens der KI-Verordnung die Very Large Online Platform Recommendation Systems als Hochrisikosysteme.
01:03:47: gestrichen wurden, weil da hätte man nämlich mal den expliziten Anknüpfungspunkt des Verhältnisses zwischen diesen beiden Verordnungen gehabt und dann hätte man nämlich mal auch rechtlich nebeneinander legen können, die sind dann eigentlich die Pflichten nach der KI-Verordnung und wir sind die Pflichten nach dem DSA und blockieren die sich eigentlich, ist das dasselbe überschneiden, die sich etc.
01:04:07: Wie kann man dieses Verhältnis ausbesteilen?
01:04:09: Ja, also ich glaube, es ist wirklich nochmal super wichtig, sich diese Interaktionen der Gesetzgeber Geringungsakte untereinander anzuschauen.
01:04:20: Und dann können wir auch darüber reden, wo und an welcher Stelle man diese systemischen Risiken verortet.
01:04:27: Und wir sehen ja, das habe ich ja auch bei Datenschutz fünf Punkt Null aufgeführt.
01:04:30: Wir sehen ja auch auf der Vollzugsebene, dadurch aus Bewegung drin, also dieser Rechtsgebiet übergreifende Vollzug oder halt, dass sich strukturell Verstoß gegen die SGVO eben auch ein Missbrauch der marktbeherrschenden Stellung sein kann, wie im Facebook Verfahren.
01:04:45: Das sind ja gerade die Schritte in der Praxis, die diese Konflikte und dieses Verhältnis versuchen, auszubuchstabieren.
01:04:54: Und dann muss man halt schauen, was der EUGH dazu sagt oder wie die Datenschutzaufsicht zu Behörden dazu stehen, etc.
01:04:59: Genauso, ich finde es total interessant, aber es ist eigentlich von der Gesetzgebungshistorie, glaube ich, oder von der Intention sehr archypisch, dass die Datenschutzbehörde in Berlin war es, glaube ich, diebzig.
01:05:12: In dem Sinne, nicht wegen einer klassischen behördlichen Aufsichtsverfügung verboten hat oder die Datenverarbeitung eingeschränkt hat, sondern dass man das als rechtsbedingenden Inhalt in den Appstores nach Artike XVI in GSA gemeldet hat.
01:05:25: Ich finde, das ist aber hochkreativ.
01:05:26: Also warum sollte man diese neuen Möglichkeiten nicht nutzen?
01:05:30: Ja?
01:05:31: Ja, das fand ich auch gut.
01:05:32: Wobei man sich fragen kann, warum haben Sie denn nicht den Datenschutzverfahren angestrengt?
01:05:35: Aber das steht noch mal auf dem anderen Blatt.
01:05:38: Ja, ich glaube, wir sind durch.
01:05:40: Ich glaube, Zusammenfassung der Kernerkenntnisse, wenn ich das mal korrigiere mich, Hannah, Datenschutz ist nicht obsolet, er ist nicht tot, sondern er muss als Machtbegrenzungsinstrument gestärkt und weiterentwickelt werden, habe ich mir so rausgeschrieben.
01:05:56: Passt, glaube ich, ganz gut.
01:05:57: Wir brauchen eine systemische kollektive Perspektive auf den Datenschutz, die im Gesetzgebungsverfahren völlig untergegangen ist, also diese Aussagen.
01:06:09: Die DSG v.a.
01:06:09: bleibt im Übrigen unberührt, war irgendwie, muss man ja sich, Falkat vom Feind.
01:06:14: Und der entspannende Hausfordern für Europa.
01:06:18: In diesem Sinn der Schule.
01:06:19: Das sieht so aus.
01:06:20: Schön, dass du da warst, an der spannenden Perspektiven.
01:06:23: Holger, hast du uns noch was mit
01:06:27: zu tun?
01:06:27: Vielen Dank.
01:06:27: Der Dank auch von mir.
01:06:28: Hat super Spaß gemacht und ich hätte jetzt auch gerne noch weiter reden können, aber wir haben ja auch hier ein zeitliches Limit.
01:06:35: Ich möchte nur noch kurz auf unsere Kontaktmöglichkeiten hinweisen wie immer.
01:06:38: Ihr erreicht uns unter unserer Mailadresse auslegungssacherct.de.
01:06:43: Diese und alle vorangegangenen Episoden findet ihr unter ct.de.
01:06:48: slash auslegungssacher auf unserer Themenseite.
01:06:51: Und auch diese Episode kann man unter der Meldung dazu gerne kommentieren.
01:06:58: Jörg und ich lesen auch rein und melden uns hin und wieder dort mal zu Wort.
01:07:03: In diesem Sinne.
01:07:04: das nun wir uns schickt uns gerne, mich von überlegt, schickt uns gerne, wenn ihr Lust habt, potentielle Gäste oder Gästtinnen, gerne auch Gästtinnen, weil sich das immer als schwierig gestaltet, weil ganz viele Damen uns absagen.
01:07:20: Und das tun Herren überhaupt nicht.
01:07:22: Also wir haben eine Quote von hundert Prozent, bei Männern, wo wir angefragt haben, bei Frauen leider nur fünfzig Prozent.
01:07:28: Aber schön handeln, dass du da warst und spannende Perspektive.
01:07:33: Vielen Dank und
01:07:34: bis zum nächsten Mal.
01:07:35: Bis dann.
01:07:36: Ciao.
01:07:37: Dankeschön.
Neuer Kommentar