Aufsätze : Datenrecht 2025 – Fünf Thesen für einen Neuanfang : aus der RDV 1/2025, Seite 5 bis 10

Der Digitalausschuss des Deutschen Bundestages hat im Juni 2024 Sachverständige unter der Überschrift „Innovative Datenpolitik: Potenziale und Herausforderungen“ angehört.^[11] Ihr Ergebnis kann man mit einem Wort zusammenfassen: „Herkulesaufgabe“. Benennt man von den vielen Problemen nur das spezifisch deutsche, so lautet das Lösungswort: „Koordination“. Sie ist der Knackpunkt der Datenpolitik und ihr Fehlen ist ein enormer Missstand. Bürger und Wirtschaftsunternehmen haben es mit einer Vielzahl von Behörden zu tun. Diese sind teilweise überfordert und überlastet. Das Recht ist faktisch kaum vollziehbar. Allein die Durchführung der DS-GVO obliegt in Bund und Ländern 18 Behörden. Es gibt ein Bundesdatenschutzgesetz und 16 Landesdatenschutzgesetze. Jede Aufsichtsbehörde ist völlig unabhängig und dennoch muss die DS-GVO einheitlich ausgelegt werden. Die Konferenz der Datenschutzbeauftragten arbeitet an der Einheitlichkeit ihrer Entscheidungen, kann aber die Hindernisse aus eigener Kraft nicht überwinden. Der Bundesgesetzgeber könnte versuchen, den Datenschutz über die Wirtschaft bei der Bundesbeauftragten anzusiedeln. Das geht nicht ohne die Länder und würde eine „Superbehörde“ beim Bund für den Datenschutz erzeugen. Zu einer solchen entwickelt sich aber gerade jenseits des Datenschutzes die Bundesnetzagentur, die den DSA beaufsichtigt und wohl auch die Aufsicht über die Durchführung der KI-VO durchführen soll. Da aber KI-Modelle und -Systeme nicht ohne personenbezogene Daten auskommen, sehen sich die 18 Datenschutzbehörden als sachnäher an und reklamieren die Marktüberwachung nach der KI-VO für sich.^[12] Wenn auch die Aufsicht über die Durchführung des DA der Bundesnetzagentur zufiele, läge faktisch die Koordination des Vollzuges des Datenrechts mit Ausnahme der DS-GVO bei einer Behörde. Diese Koordinationsaufgabe ist zentral.

Die neue Bundesregierung muss sie angehen und kann sie schlecht einer Behörde überlassen. Vielleicht wäre das kürzlich ins Gespräch gebrachte Datengesetzbuch ein Anlass, die diversen Rechtsakte in Deutschland zu konsolidieren und zu systematisieren.^[13] Ob man die nationalen Begleitrechtsakte zum EU-Datenrecht sinnvoll in einem Gesetz bündeln kann, wird zu prüfen sein. Möglicherweise entscheidet man sich wie beim Umweltgesetzbuch für einen anderen Weg.^[14] Eine Vereinheitlichung und Systematisierung des Digital- und Datenrechts in Deutschland ist aber elementar und sie kann nicht dezentral und ressortübergreifend gelingen. Deshalb ist es Zeit für ein „echtes“ Digitalministerium. Dieses müsste als Querschnittsministerium schnell mit eigenen Haushaltsmitteln ausgestattet werden und für die Digitalpolitik der Bundesregierung zuständig sein. So könnte es eine effektive und effiziente Digitalisierung vorantreiben. Wichtige erste Projekte wären die Systematisierung des Datenrechts, das Vorantreiben der Verwaltungsdigitalisierung, und die digitalpolitische Koordination innerhalb der Bundesregierung und den Bundesbehörden sowie zwischen Bund, Ländern und EU.

II. Der Datenschutz braucht Augenmaß

Die DS-GVO bleibt auch im neuen Datenrecht der Ausgangspunkt des menschenzentrierten Datenumgangs in der EU. Man muss sie aber entsprechend ihrer Ratio und mit Augenmaß anwenden. Die Ziele der DS-GVO beschreiben ein Spannungsverhältnis. Die DS-GVO verpflichtet einerseits zum Schutz personenbezogener Daten. Zum anderen schützt sie den freien Verkehr solcher Daten.^[15] Die Datenschutzaufsichtsbehörden verpflichtet das Gesetz explizit dazu, beide Pflichten umzusetzen.^[16] Sie verlieren das zweite und gleichrangige Ziel zu oft aus den Augen. Die Rechtsprechung bestärkt diesen Trend. So hat der Bundesgerichtshof (BGH) in seiner sogenannten „Scraping-Entscheidung“ aus dem November 2024 die entsprechende Rechtsprechung des EuGH von 2023 in das deutsche Recht übertragen.^[17] Es geht darum, ob ein bloß kurzer Verlust über die Kontrolle personenbezogener Daten einen Schaden im Sinne der DS-GVO darstellt. Der EuGH sieht in jedem noch so belanglosen Kontrollverlust einen potenziellen Schaden.^[18] Verlangt der Betroffene deshalb Schadenersatz, muss er allerdings nachweisen, dass er eine missbräuchliche Verwendung seiner Daten befürchtet, die aufgrund des Kontrollverlustes möglich erscheint.^[19] Diesen Unterschied ebnet der BGH ein, indem er den Kontrollverlust und die Befürchtung einer missbräuchlichen Verwendung gleichsetzt.^[20] Das geht über das Urteil des EuGH hinaus und provoziert massenhaft Rechtsstreitigkeiten, was bei richtiger Umsetzung der EuGH-Entscheidung vermeidbar gewesen wäre. Die Folgen dieser Entscheidung sind weitreichend. Schließlich entsteht Kontrollverlust nicht nur bei Datenlecks infolge schlechter Voreinstellungen zum Nutzerdatenschutz wie bei Facebook im Fall des BGH. Auch jede Eingabe personenbezogener Daten in ein autonom datenverarbeitendes KI-System wie ChatGPT kann einen Kontrollverlust und damit nach der BGH-Rechtsprechung einen Schaden darstellen. Denn über die Datenverarbeitung in autonomen Systemen ist jede Kontrolle technisch ausgeschlossen. Vor dem EuGH ist allerdings bereits ein neues Verfahren zum Kontrollverlust als Schaden anhängig, das eine Nachschärfung durch den BGH veranlassen könnte.^[21]

Auch Datenschutzaufsichtsbehörden standen 2024 in der Kritik; etwa der Europäische Datenschutzausschuss (EDSA) bei der Bewertung des Modells „Pay-or-Consent“. Dieses Zahlen mit Daten entspricht nach der Rechtsprechung des EuGH grundsätzlich dem Prinzip unternehmerischer Privatautonomie: Niemand kann gezwungen werden, seine Dienstleistungen oder Waren kostenlos anzubieten. Wenn Anbieter entweder Zahlung oder die Gestattung der Datenverarbeitung zu Zwecken der verhaltensbasierten Onlinewerbung verlangen, erhält der Betroffene eine zusätzliche Option zur sonst einzigen Möglichkeit der Bezahlung in monetärer Form. Das ist nach der sog. „Meta-Entscheidung“ des EuGH aus dem Jahr 2023 rechtmäßig, solange das verlangte Entgelt der Höhe nach angemessen ist.^[22] Beim EuGH ging es darum, ob die von Facebook durchgeführten kommerziellen Verarbeitungen von Nutzerdaten im Zusammenhang mit dem Nutzungsvertrag von Facebook gestattet sind. Anstatt diese Entscheidung zu vollziehen, machte der EDSA einen eigenen Vorschlag.^[23] Die Vertragslösung des EuGH wurde ignoriert. Stattdessen schwenkte die Behörde auf die Einwilligung zur Datenverarbeitung um. Diese sei nicht freiwillig. Der EDSA muss als Verwaltungsverbund der europäischen Datenschutzbehörden mit entscheidungsleitender Wirkung gegenüber den unabhängigen Behörden in den Mitgliedstaaten im Rahmen der Rechtsprechung des EuGH für einen einheitlichen Vollzug der DS-GVO sorgen. Ein eigener behördlicher Vorschlag primär vor dem Hintergrund, dass über das Merkmal der Freiwilligkeit der Einwilligung Einfluss auf gesellschaftspolitische Entwicklungen genommen wird, ist im gewaltenteilenden System übergriffig. Hilfreich erscheint hingegen die im Dezember veröffentlichte Stellungnahme des EDSA, die Klarheit bei der praxisrelevanten Frage schafft, ob personenbezogene Daten während des Trainings eines KI-Sprachmodells anonymisiert werden oder ob sie nach Abschluss des Trainings in den Parametern des Modells fortleben.^[24]Der Datenschutz lebt von einer maßvollen Auslegung der DS-GVO. Man muss auf kluge Behörden- und Gerichtsentscheidungen zu dessen Umsetzung bauen. Die deutschen Datenschutzaufsichtsbehörden leisten dazu das ihnen Mögliche. Auch die im Dezember 2024 veröffentliche Agenda der BfDI hilft, weil sie Positionen erkennbar macht, auf die man sich einstellen kann.^[25]An den erreichten Zielen kann man die Behörde künftig messen.

III. Künstliche Intelligenz braucht Kompetenz

Generative KI im Sinne der am 1. August 2024 in Kraft getretenen KI-VO hat das Potenzial, die europäische Wirtschaft zu revolutionieren. Europa ist auf Fortschritt und einen verlässlichen Rahmen für Innovation angewiesen. Fortschrittsoptimismus ist selbst dann alternativlos, wenn die Technik sich dahin entwickelt, dass man sich vor ihr in Acht nehmen muss. Das ist bei generativer KI der Fall, denn es geht um autonome und deshalb unbeherrschbare Technik. Das Werkzeug kann sich ohne menschliches Zutun verändern. Jenseits der Grenzen der KI-VO herrscht Freiheit zum Einsatz von KI, soweit nicht das von der KI-VO unberührte und unabhängig davon geltende sonstige Recht – etwa das Verfassungsrecht, das Datenschutz- oder Urheberrecht, das Arbeitsrecht, das Bildungsrecht etc. – Grenzen setzt. Die KI-VO muss beweisen, ob sie sich zum Goldstandard der verantwortungsvollen Ermöglichung eines Fortschritts entwickelt, der die Menschenrechte und die demokratischen und rechtsstaatlichen Errungenschaften Europas stärkt. Sie will vertrauenswürdige KI ohne schädliche Auswirkungen in der Union fördern und entsprechende Innovationen unterstützen. Offen bleiben etwa Fragen danach, wo die Grenzen des autonom agierenden KI-Arztes verlaufen und wie weit der Rat des Kollegen Chatbot gehen darf, wenn es um Personalentscheidungen im Betrieb oder um die Benotung von Schülern geht und ob Bots am Ende gar Tipps für faire Gerichtsurteile geben dürfen. Die ersten Pflichten der KI-VO gelten ab Februar 2025.^[26] Konkret muss dann jeder, insbesondere jedes Unternehmen und jede Behörde, bei der eigenverantwortlichen Verwendung, sprich beim Betrieb eines KI-Systems, der nicht ausschließlich zu privaten Zwecken erfolgt, KI-Kompetenz vermitteln.^[27] Die neue Bundesregierung muss zügig Recht zur Durchführung der KI-VO schaffen und dabei verantwortungsvoll auf dem schmalen Grat zwischen KI-Euphorie und Überregulierung balancieren. Es wäre schlimm, wenn Deutschland auf den rasenden Zug der KI nicht aufspränge, aber es wäre noch schlimmer, wenn wir auf dem Zug dessen Bremse nicht fänden.

IV. Die Demokratie braucht Schutz

Die Demokratie in Europa ist erheblichen Gefahren ausgesetzt. In Rumänien annullierte das Verfassungsgericht Anfang Dezember 2024 die Präsidentschaftswahl, weil nach Informationen des Geheimdienstes tausende zuvor inaktive TikTok-Konten im Zuge eines „aggressiven hybriden russischen Angriffs“ Propaganda für einen rechtsextremen Kandidaten gemacht hatten.^[28] Dass die Annullierung der Wahl ihrerseits den Anforderungen des hiesigen Wahlprüfungsrechts entsprechen würde, kann man bezweifeln. Trotzdem ist das Problem der Demokratiegefährdung mit den Mitteln der Digitalisierung virulent. Es wurde in Deutschland 2024 mit Blick auf die Gefahren durch KI thematisiert. Open AI, der Entwickler von ChatGPT teilte schon im Frühjahr mit, fünf Desinformations-Kampagnen staatlich unterstützter Akteure gestoppt zu haben.^[29] Die Bevölkerung ist also Fälschungen von Fotos, Videos und Tonaufnahmen per KI ausgeliefert. Sie sind oft satirisch gemeint und werden teilweise auch entsprechend gekennzeichnet. Es gibt aber auch ein gefälschtes Video von Kanzler Scholz, dessen „Urheber“ sich unter Berufung auf die Kunstfreiheit einer Kenntlichmachung als Fälschung verwahrte.^[30]Das Landgericht Berlin II untersagte es wegen einer Verletzung des Namensrechts des Noch-Kanzlers.^[31]

Es gab 2024 auch Stimmen, etwa der Friedrich-NaumannStiftung, die Beispiele für den Einsatz von KI zur Stärkung der Demokratie benannte, etwa durch die Stärkung der Barrierefreiheit mittels eines Avatars für Gebärdensprache.^[32] Darauf, dass KI die demokratische Willensbildung des Volkes beeinträchtigen kann, wies AlgorithmWatch hin. Die Organisation hatte mit Blick auf die Wahlen zum EU-Parlament im Juni 2024 den Output von Sprachmodellen untersucht. Sie bemängelte, dass Anbieter von KI-Bildgeneratoren es offenbar nicht verhindern konnten, dass ihre Systeme Bilder von realen EU-Parlamentskandidaten hervorbringen und so den Wettbewerb verzerren.^[33] Der Onlinemedienexperte Felix Beilharz berichtete zum Thema Demokratie und KI bei LinkedIn über einen selbst durchgeführten Versuch.^[34] Er hat die wichtigsten Sprachbots um ChatGPT & Co. mit den 38 Fragen des Wahl-O-Mats gefüttert. Die Antworten sollten jeweils mit „Stimme zu“, „Neutral“ oder „stimme nicht zu“, basierend auf dem Verständnis der politischen und gesellschaftlichen Welt des Bots gegeben werden. Das Ergebnis: Gesamtsieger waren Die Grünen. CDU/CSU und FDP lagen durchgehend (fast) ganz hinten. Ganz hinten liegt bei allen Chatbots die AfD. Wer auf KI-Positionen vertraut und diese als Wahlempfehlung übernimmt, hat der autonomen Technik auf Basis von Verzerrungen, die ausländische Datenpools hervorbringen, seinen Anteil an der Staatswillensbildung übertragen.

2024 gab es auch eine kontroverse Debatte darüber, ob es vom Auftrag zur Öffentlichkeitsarbeit der Regierung umfasst ist, dass die Aktentasche des Bundeskanzlers bei TikTok eine Karriere als „Politikinfluencer“ machen darf.^[35] Das ist nicht nur deshalb interessant, weil die BfDI ein Verfahren vor dem Verwaltungsgericht Köln gegen die Bundesregierung führt, das ihr Amtsvorgänger angestoßen hat.^[36] Es geht um das Verbot der Facebook-Fanpage des Bundespresseamts. Rechtlich streitet man im Kern insbesondere darüber, ob das Bundespresseamt eine Rechtsgrundlage nach der DS-GVO für die im Zuge des Betriebs der Fanpage erforderliche Übermittlung personenbezogener Daten an Meta benennen kann.^[37] Die Regierung klagt gegen das Verbot ihrer Facebook-Fanpage als zentrale Kommunikationsplattform. Die BfDI erwartet von der nächsten Bundesregierung zumindest im selben Umfang Kommunikation auf datenschutzfreundlichen Diensten wie Mastodon, wie auf den werbefinanzierten Diensten von Meta & Co. Das klingt nicht nach einem Facebook-Verbot.

Vielleicht nimmt sie es ja zurück und die Klage erledigt sich.

Facebook ist unstreitig ein Dienst aus den USA. Das zentrale Medium der Jugend ist aber TikTok, und dieser Dienst stammt aus China. Hier wird befürchtet, dass Peking nicht nur Einfluss auf die angezeigten Inhalte nimmt, sondern dass chinesische Behörden zudem auf die Daten des Bundeskanzlers zugreifen. Wie löst man so ein Problem? In den USA sollte TikTok ab dem 19. Januar verboten werden, wenn der chinesische Eigentümer sein USA-Geschäft nicht bis dahin verkauft hätte. Einen Tag später wurde Donald Trump Präsident. Ihm hat der Dienst Erfolge bei jungen Wählern beschert. Deshalb hat er sich bereits vor seiner Ernennung am 20. Januar gegen das Verbot stark gemacht und den Obersten Gerichtshof um die Aussetzung des Verbotsgesetzes gebeten.^[38] Eine derartige Intervention ist aus der Perspektive der Demokratie und der Gewaltenteilung äußerst bedenklich. Die Regierung in Albanien will TikTok ab 2025 für ein Jahr sperren, um die Jugend zu schützen.^[39]Damit dürfte sie bei jungen Menschen kaum punkten. 2025 finden in Albanien Parlamentswahlen statt. Die Opposition wirft der Regierung wegen des TikTok-Verbots Demokratiegefährdung und Machtmissbrauch vor.

In Brüssel hat die Kommission der EU im Dezember ein Verfahren gegen TikTok eingeleitet, um unter anderem zu prüfen, ob russische Einflussnahme auf der Plattform zu einer Verzerrung der Wahlergebnisse in Rumänien führte.^[40] In Deutschland hat die Bundesnetzagentur 2024 ihre Aufgabe als Digital Services Coordinator (DSC) aufgenommen. Er überwacht die Einhaltung der Vorgaben des DSA. Die Lösung der Probleme scheint zu voraussetzungsvoll für unseren aktuellen rechtlichen Ansatz. Am Ende gilt das Böckenförde-Diktum: „Der freiheitliche, säkularisierte Staat lebt von Voraussetzungen, die er selbst nicht garantieren kann“.^[41]

Zudem passt vieles nicht zusammen. Die Bildungspolitik etwa diskutiert auf der einen Seite Handy- und Social-Media-Verbote an Schulen.^[42] Zugleich führt sie ohne erkennbare Grundrechtefolgenabschätzung autonome KI-Systeme in Schulen und Hochschulen ein. Dabei ist die Verwendung generativer KI potenziell hochriskant und sie verlangt weit mehr Kompetenz von Lehrern und Schülern als ein Soziales Netzwerk. Die Lernkurve ist gigantisch, auch wenn man sie gar nicht erkennt.

V. Die Freiheit braucht Daten für die Sicherheit

Auch die Sicherheit durch Daten war 2024 im Fokus. Im Oktober scheiterte im Bundesrat das sogenannte Sicherheitspaket der Ampelkoalition in wesentlichen Teilen.^[43]Die Länderkammer monierte zu viel und nicht zu wenig Datenschutz. Nun muss sich die neue Bundesregierung mit dem Ausgleich der Bürgerrechte auf Schutz der Privatsphäre auf der einen Seite und der Sicherheit der Menschen zur Wahrung ihrer Freiheit auf der anderen Seite befassen. Es geht beim Thema „Daten für die Sicherheit zum Schutz der Freiheit“ konkret um eine Datenspeicherung auf Vorrat zur Bekämpfung schwerer Verbrechen in engen Grenzen. Der EuGH lässt das zu.^[44] Das Bundesverfassungsgericht (BVerfG) hat sich im Oktober 2024 in der sogenannten BKAG II-Entscheidung mit einem Detail, nämlich der vorsorgenden Speicherung der von Sicherheitsbehörden erhobenen Daten befasst.^[45] Diese ist nun an noch strengere Voraussetzungen geknüpft als nach der BKAG I-Entscheidung aus dem Jahr 2016.^[46]

Zugleich wird der politische Wille immer deutlicher, vorhandene Datenpotenziale für mehr Sicherheit zu nutzen. So hat sich die Bundesregierung Ende 2024 für eine Neuauflage der Vorratsdatenspeicherung ausgesprochen und hält am sogenannten Sicherheitspaket fest.^[47] Die Diskrepanz zwischen politischem Willen und Rechtsprechung des BVerfG scheint also zu wachsen. Möglicherweise könnte der Graben überwunden und das Verlangen nach immer umfassenderen Überwachungstechnologien verringert werden, wenn die strenge Linie bei der einfachen Weiterverarbeitung personenbezogener Daten gelockert und vorhandene Datenbestände dadurch der effizienten Nutzung durch die Sicherheitsbehörden zugänglich gemacht würden. Ein Staat, der nicht alle rechtskonformen Möglichkeiten der Digitalisierung ausschöpft, damit seine Bürger frei und sicher leben, handelt verantwortungslos. Wenn die neue Bundesregierung das nächste Gesetz über “Daten für die Sicherheit” erlässt, wird es vermutlich wieder in Karlsruhe landen. Dort muss eine grundsätzliche Lösung zur Befriedung des für Bürger und Staat fundamentalen Spannungsfeldes von Freiheit und Sicherheit gefunden werden. Das gilt insbesondere vor dem Hintergrund, dass Anwendungen autonomer KI im Sinne der KI-VO etwa für Staatliche und polizeiliche Zweche in Karlsruhe erst noch verfassungsrechtliche eingeordnet werden müssen.

VI. Fazit: Die Digitalpolitik braucht einen neuen Anfang

Es liegen viele große Steine auf dem Weg der künftigen Bundesregierung. Nun kann sie daraus frei nach Goethe etwas Schönes bauen. Einen kleinen Wunsch kann sie vielleicht gleich zu Beginn der Amtszeit erfüllen. Wer einen neuen Personalausweis bekommt, der kann dessen Online-Ausweisfunktion erst nutzen, wenn er diese freigeschaltet hat. Das ist vielen zu kompliziert. Vielleicht kann man das ändern und der Ausweis wird schon freigeschaltet ausgeliefert. Digitalisierung und Entbürokratisierung bekämen dann einen kleinen Schub. Das wäre kein Game-Changer, aber ein guter Vorsatz für ein gesundes und erfolgreiches 2025 als erstem Jahr einer neuen digitalen Dekade mit Daten für Freiheit, Sicherheit und Wohlstand.

^{* Der Beitrag basiert auf einem Text, der in der F.A.Z. v. 30.12.2024, S. 18 veröffentlicht wurde. Alle Internetquellen wurden zuletzt am 02.01.2024 abgerufen}

^{[1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)}

^{[2] Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30.05.2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Verordnung).}

^{[3] Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung)}

^{[4] Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14.09.2022 über wettbewerbsfähige und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Digital Markets Act).}

^{[5] Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19.10.2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Digital Services Act).}

^{[6] Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13.06.2024 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz und zur Änderung verschiedener Verordnungen und Richtlinien (Verordnung über Künstliche Intelligenz)}

^{[7] Verordnung (EU) Nr.  910/2014 des Europäischen Parlaments und des Rates vom 23.07.2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG}

^{[8] Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20.06.2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten.}

^{[9] Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27.04.2016 über die Verwendung von Fluggastdatensätzen zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität.}

^{[10] Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14.12.2022 über die digitale operationelle Resilienz des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011.}

^{[11] Vgl. Schwartmann, Stellungnahme im Rahmen der öffentlichen Anhörung des Ausschusses für Digitales des Deutschen Bundestags zum Thema Innovative Datenpolitik: Potenziale und Herausforderungen, abrufbar unter: https://www.bundestag.de/resource/blob/1010058/15b3c22909f8abd112260e5eaa1cfdc1/Stellungnahme-Schwartmann.pdf.}

^{[12] Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI-VO). Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 03.05.2024, abrufbar unter https://www.datenschutzkonferenz-online.de/media/dskb/20240503_DSK_Positionspapier_Zustaendigkeiten_KI_VO.pdf.}

^{[13] Hennemann, Ein Datengesetzbuch für alles v. 12.12.2024, abrufbar unter: https://background.tagesspiegel.de/digitalisierung-und-ki/briefing/ein-datengesetzbuch-fuer-alles}

^{[14] Deutsche Welle, Pressebericht v. 01.02.2009, abrufbar unter https://www.dw.com/de/gabriel-umweltgesetzbuch-gescheitert/a-3994088?.}

^{[15] Schwartmann/Jacquemain in HK DS-GVO/BDSG, Art. 1 Abs. 3 Rn. 14.}

^{[16] Kugelmann in HK DS-GVO/BDSG, Art. 51 Abs. 1 Rn. 19 ff.}

^{[17] BGH, Urt. v. 18.11.2024 – VI ZR 10/24 Rn. 30 ff.}

^{[18] EuGH, Urt. v. 14.12.2023 – C-456/22 Rn. 22.}

^{[19] EuGH, Urt. v. 25.01.2024 – C-687/21 Rn. 67 f.}

^{[20] BGH, Urt. v. 18.11.2024 – VI ZR 10/24 Rn. 30 f}

^{[21] RS C-526/24 auf Grundlage eines Vorabentscheidungsersuchens des AG Arnsberg vom 31.07.2024.}

^{[22] EuGH, Urt. v. 04.07.2023 – C-252/21.}

^{[23] EDSA, Stellungnahme 08/2024 zur „Wirksamkeit von Einwilligungen im Kontext von „Consent or Pay“-Modellen großer Online- Plattformen“, abrufbar unter https://www.edpb.europa.eu/system/files/2024-11/edpb_opinion_202408_consentorpay_de.pdf.}

^{[24] EDSA, Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, abrufbar unter https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf.}

^{[25] BfDI, Datenschutzpolitische Agenda für die 21. Wahlperiode des Deutschen Bundestages vom 17.12.2024, abrufbar unter https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Datenschutzpolitische-Agenda/Datenschutzpolitische-Agenda-21-WP.pdf?__blob=publicationFile&v=6.}

^{[26] Art. 113 UAbs. 3 lit. a) KI-VO.}

^{[27] Schwartmann/Köhler in Schwartmann/Keber/Zenner, KI-VO, 2. Teil 1. Kap. Rn. 55 ff.}

^{[28] The Constitutional Court of Romania, Pressemitteilung des rumänischen Verfassungsgerichts v. 06.12.2024, abrufbar unter https://www.ccr.ro/en/pressrelease-6-dec/.}

^{[29] Reuters, Pressebericht v. 30.05.2024, abrufbar unter https://www.reuters.com/technology/cybersecurity/openai-has-stopped-five-attempts-misuseits-ai-deceptive-activity-2024-05-30/?utm_.}

^{[30] ZDF heute, Pressebericht v. 27.11.2023, abrufbar unter https://www.zdf.de/nachrichten/politik/aktion-gefaengnis-afd-verbot-100.html?utm.}

^{[31] LG Berlin II Beschl. v. 13.02.2024 – 15 O 579/23.}

^{[32] Friedrich-Naumann-Stiftung, Gutachten v. 27.05.2024, abrufbar unter: https://www.freiheit.org/de/demokratie-und-ki-wie-technologischer-fortschritt-unsere-demokratie-staerken-kann?utm.}

^{[33] AlgorithmWatch, Bericht zur Beeinträchtigung der demokratischen Willensbildung durch KI vom 29.05.2024, abrufbar unter https://algorithmwatch.org/de/openai-bricht-eigene-regeln-generatoren-produzieren-tauschende-kibilder-zur-eu-wahl/?utm.}

^{[34] Vgl. https://felixbeilharz.de/europawahl-analyse-ki/?utm}

^{[35] Bundeskanzler, Pressemitteilung v. 08.05.2024, abrufbar unter https://www.bundeskanzler.de/bk-de/aktuelles/-teambundeskanzler-auf-tiktok2269038?utm.}

^{[36] 6 BfDI, Dürfen Bundesbehörden Facebook-Fanpages betreiben?, abrufbar unter https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telemedien/FacebookFanpages.html#:~:text=Bis%20heute%20ist%20ein%20datenschutzkonformer,Informationsfreiheit%20(%20BfDI%20)%20nicht%20m%C3%B6glich.}

^{[37]Https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telemedien/FacebookFanpages.html}

^{[38] Deutschlandfunk, Pressebericht v. 29.12.2024, abrufbar unter https://www.deutschlandfunk.de/trump-bittet-obersten-gerichtshof-um-aussetzungvon-auflage-gegen-tiktok-100.html.}

^{[39] Tagesschau, Pressebericht v. 21.12.2024, abrufbar unter https://www.tagesschau.de/ausland/europa/albanien-tiktok-verbot-100.html}

^{[40] Tagesschau, Pressebericht v. 17.12.2024, abrufbar unter https://www.tagesschau.de/ausland/europa/eu-verfahren-tiktok-102.html.}

^{[41] Böckenförde, Die Entstehung des Staates als Vorgang der Säkularisation, abrufbar unter https://homepage.univie.ac.at/henning.schluss/seminare/035-Paed-und-Rel/boecken/Boeckenfoerde.PDF.}

^{[42] News4teachers, Pressebericht vom 13.12.2024, abrufbar unter https://www.news4teachers.de/2024/12/kultusminister-beraten-ueber-generelleshandy-verbot-an-schulen-gew-haelt-dagegen-wer-soll-das-kontrollieren/?utm.}

^{[43] LTO, Pressebericht v. 18.10.2024, abrufbar unter https://www.lto.de/recht/nachrichten/n/bundestag-verabschiedet-sicherheitspaket-der-ampel-koalition?utm}

^{[44] EuGH, Urt. v. 30.04.2024 – C-470/21.}

^{[45] BVerfG, Urt. v. 01.10.2024 – 1 BvR 1160/19.}

^{[46] BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09}

^{[47] Heise online, Pressebericht v. 30.12.2024, abrufbar unter https://www.heise.de/news/Nach-Magdeburg-Bundesregierung-will-Vorratsdatenspeicherung-10222129.html.}