USA: IAPP-Gipfel 2025 und neue Herausforderungen für den Datenschutz

ZD 2025, 305   Der IAPP Global Privacy Summit 2025 in Washington DC vom 22. bis 24.4.2025 stellte erneut unter Beweis, wie schwierig es selbst für Experten ist, mit der Dynamik neuer KI-Modelle und -Systeme, einschließlich Robotik, Schritt zu halten.

Der Fokus des Gipfels lag auf der Rolle des Datenschutzes in einer Welt, die im täglichen Leben zunehmend von Künstlicher Intelligenz (KI) durchzogen wird. Dieser Trend erfordere eine flexible, dynamische und oft proaktive Herangehensweise, die den rasanten Entwicklungen und Innovationen angemessen Rechnung trägt.

„New World“-Ansatz für zeitgemäßen Datenschutz und KI

Eine Erkenntnis des Gipfels: Die Integration von KI in das tägliche Leben der Menschen wird wohl unvermeidlich und ist unumkehrbar. Sam Altman, CEO von OpenAI, stellte in dem von Bojana Bellamy (Centre for Information Policy Leadership - CIPL) moderierten Gespräch vor mehreren tausend Privacy-Spezialisten klar, dass KI nicht nur bestehende Produkte und Dienstleistungen verändern werde, sondern auch neue Möglichkeiten und Herausforderungen für den Datenschutz schaffe.

Der Begriff „New World“ beschreibt für ihn eine Ära, in der Datenschutz nicht nur als gesetzliche Pflicht verstanden wird, sondern als ein dynamischer Prozess. Die zentrale Herausforderung für die Regulierer sei, zeitnah darauf zu reagieren, wann und wo Datenschutzprobleme auftreten, anstatt auf einer Regulierung von oben nach unten zu bestehen, die nicht mit der Schnelligkeit der technologischen Entwicklung Schritt halten kann. Altman formulierte es so: „Dies ist ein Marathon, kein Sprint.“

Zwei besonders auf dem Podium mit Altman und Alex Blania (Tools for Humanity/Worldcoin) diskutierte Beispiele waren die Altersverifikation und Algorithmen, die erkennen, ob man es mit einem Menschen oder mit KI zu tun hat.

Beide Prüfungen sind aufwändig und erfordern häufig zusätzliche persönliche Daten wie Iris-Scans oder vielleicht sogar einen weltweit anerkannten Identitätsnachweis. Der Leiter der irischen Datenschutzbehörde wies in seinem Panel darauf hin, dass Unternehmen nicht ohne gesetzliche Grundlage große Datenmengen sammeln dürften, nur um das Alter von Nutzern zu verifizieren.

Neue Rolle des Datenschutzbüros und die Notwendigkeit frühzeitiger Integration

Obwohl die DS-GVO nach wie vor als der höchste Maßstab für Datenschutzkompatibilität gilt, gewinnen andere Länder, insbesondere USA und in Afrika, mit innovativen regionalen Ansätzen zunehmend an Boden. Jüngst haben sich zB zahlreiche US-Bundesstaaten eigenen Datenschutzgesetzen zugewandt, die andere Wege als die DS-GVO verfolgen (ausf. Spies MMR 2020, 163; MMR 2023, 161 und ZD 2023, 715). Die Compliance weltweit bleibt komplex. Viel Augenmerk fand bei dem Gipfel das neue indische Datenschutzrecht - nach Jahren intensiver Diskussion (s. Spiecker gen. Döhmann/Bretthauer, Dokumentation zum Datenschutz, D 2.60 mwN).

Ausgiebig diskutiert wurde auch die Rolle des Datenschutzbüros im Unternehmen. Der Trend gehe weg von der Fokussierung auf eine Person, den Datenschutzbeauftragten. Vielmehr fand bei den Teilnehmern und Vortragenden der Ansatz Anklang, dass der Datenschutz der New World alle Bereiche des Unternehmens betreffe und eines Team-Ansatzes bedürfe. Ein effektives Datenschutzbüro sollte nicht nur als eine Art „Aufpasser“ fungieren, sondern als „enabler“ („Befähiger“ oder „Ermöglicher“) wahrgenommen werden, der so früh wie möglich proaktiv zur Lösung von Datenschutzproblemen beiträgt. Das Datenschutzbüro spiele auch eine wertvolle Rolle, um ein Bewusstsein für Datenschutzpraktiken zu schaffen, das über bloße Compliance hinausgehe und gleichzeitig die Unternehmensziele im Auge behalte. Andere Schlagworte für diese Rolle waren „relationship builders“, „privacy team managers“ oder „privacy collaborators.“

Daraus folgt, dass die Datenschutzbüros der Unternehmen von Anfang an in den Entwicklungsprozess neuer Produkte und Dienstleistungen als Teil des Teams eingebunden werden müssen. Das Prinzip „Privacy by Design“ (vgl. Art. 25 DS-GVO) erfordere eine frühe und kontinuierliche Einbindung des Datenschutzes in den Produktentwicklungsprozess - allein schon, um teure Nachbesserungen zu vermeiden, wenn Produkte bereits auf den Markt gebracht wurden. Ein Beispiel ist, dass eine datenschutzwidrige App bereits in einem App-Store zum Download bereitgestellt wurde. Unternehmen, die diesen Schritt überspringen, riskieren nicht nur hohe Bußgelder, sondern auch einen Reputations- und Vertrauensverlust bei ihren Kunden. Die Erkenntnis ist nicht neu, zeigt sich durch die KI aber in neuem Licht: Unternehmen, die die Prinzipien von Privacy by Design und Privacy by Default nicht rechtzeitig in ihre Produktentwicklung integrieren, können langfristig Wettbewerbsnachteile erleiden.

Umgang mit „Trojan Horse“-KI-Systemen

Besonders herausfordernd für Datenschutzbeauftragte ist der Umgang mit „Trojan Horse“-KI-Systemen. Diese Systeme, die meist unbemerkt über Lieferanten oder Partner auf die IT-Systeme von Verantwortlichen in einem Unternehmen gelangen, stellen eine ernsthafte Bedrohung für den Datenschutz dar. Betroffene Verantwortliche verlieren schnell den Überblick darüber, welche KI-Systeme im Einsatz sind, und können sie nicht effektiv überwachen.

Das Prinzip „Privacy by Design“ spielt im Kontext der zunehmenden Verbreitung von KI eine wichtige Rolle. Es ist sowohl in der DS-GVO als auch in verschiedenen US-Datenschutzgesetzen verankert. Der Gipfel bestätigte: Datenschutz muss nicht als reaktive Maßnahme verstanden werden, sondern als proaktive, integrale Komponente des gesamten Entwicklungsprozesses von Produkten und Dienstleistungen. Ein Datenschutzbüro ist nicht nur dazu da, dass das Unternehmen gesetzliche Anforderungen erfüllt, sondern es kann ihm auch einen Wettbewerbsvorteil im Markt verschaffen, indem es das Vertrauen der Kunden in den Umgang mit ihren persönlichen Daten stärkt.

EU-US-Datentransfer - abwartende Haltung

Der Tenor während des Gipfels hierzu war: „abwarten und beobachten“. Es gibt bislang keinen Hinweis, dass die Executive Order 14086 der Biden-Administration zum Data Privacy Framework (DPF) widerrufen oder ausgesetzt wird.

Bei Hintergrundgesprächen war von US-Diplomaten zu vernehmen, dass sie keinen Hinweis haben, dass die DPF-Aufsicht nicht funktionsfähig ist - trotz der Absetzung von zwei Mitgliedern der Demokratischen Partei des Gremiums PCLOB (näher zum PCLOB Spies BvD News 1/2025, 36 f.; Lindner ZD 2025, 310 - in diesem Heft). Wann es zu neuen Ernennungen zur Vervollständigung des PCLOB kommt, ist weiter offen.

Man hörte am Rande des Gipfels, dass es seit Kurzem ein erstes Beschwerdeverfahren nach den DPF-Regeln gibt. Der Data Privacy Review Court (DPRC) scheint sich allerdings noch nicht damit befasst zu haben. Es ist nicht klar, wer aus welchem Land wann diese Beschwerde eingereicht hat. Vermutlich befasst sich im Vorverfahren, wie nach den Regeln des DPF vorgesehen, der Civil Liberties Protection Officer of the Office of the Director of National Intelligence (ODNI CLPO) mit der Beschwerde.

Da dies die erste Beschwerde seit dem Inkrafttreten des DPF zu sein scheint, dürfte mit einer schnellen Entscheidung zu rechnen sein - auch um zu beweisen, dass das Verfahren funktioniert. Die US-Regierung war 2022 bei der Einrichtung des Beschwerdeverfahrens davon ausgegangen, mit zahlreichen Beschwerden aus Europa konfrontiert zu werden, was sich bis dato nicht bewahrheitet hat.

Neue Entwicklungen auf US-Bundesstaatsebene

Der Datenschutz für Verbraucher in den USA bleibt weiter ein Flickenteppich. Ein bundesweites Datenschutzgesetz ist nicht absehbar, was dazu führt, dass zunehmend einzelne Bundesstaaten mit Regelungen vorpreschen. Wie eine Umfrage per Handzeichen bei den Gipfel-Teilnehmern vor Ort ergab, wünschen sich fast alle ein US-Bundesdatenschutzgesetz, aber nur die wenigsten glauben, dass es in den nächsten zwei Jahren dazu kommt. In den kommenden Monaten treten in den USA drei neue Datenschutzgesetze in Kraft:

# Tennessee Information Protection Act (TIPA): ab dem 1.7.2025.

Er gilt für Unternehmen mit einem Umsatz von mindestens 25 Mio. USD, die personenbezogene Daten von mindestens 25.000 oder 175.000 Verbrauchern pro Jahr kontrollieren oder verarbeiten. Er begünstigt Unternehmen mit einem dokumentierten Datenschutzprogramm, das dem NIST-Datenschutzrahmen entspricht.

# Minnesota Consumer Data Privacy Act (MCDPA): ab dem 31.7.2025.

Er gilt für Unternehmen, die personenbezogene Daten von mindestens 100.000 Einwohnern von Minnesota kontrollieren oder verarbeiten - oder von 25.000 Einwohnern, wenn 25% ihres Bruttoumsatzes aus dem Verkauf personenbezogener Daten stammen. Er umfasst Anforderungen wie eine Dateninventarisierung, ein universelles Opt-out für „Datenverkäufe“ und gezielte Werbung.

# Maryland Online Data Privacy Act (MODPA): ab dem 1.10.2025.

Er gilt für Unternehmen, die personenbezogene Daten von mindestens 35.000 Einwohnern von Maryland verarbeiten - oder von 10.000 Einwohnern, wenn mehr als 20% ihres Umsatzes aus dem „Verkauf“ personenbezogener Daten stammen. Bemerkenswert sind Bestimmungen wie die Beschränkung der Datenerhebung auf das für die angeforderten Dienstleistungen „angemessen notwendige und verhältnismäßige Maß“, ein Verbot des „Verkaufs“ sensibler Daten und Datenschutz-Folgeabschätzungen für bestimmte KI-Systeme. Er gilt als besonders datenschutzfreundlich. Auch nicht auf Gewinn ausgelegte Institutionen fallen unter den MODPA. Die Vorschriften im MODPA zur Datenminimierung sind den Vorschriften in der DS-GVO angenähert, aber es bleibt abzuwarten, wie sie in die Praxis umgesetzt werden, da es auch in Maryland keine unabhängige Datenschutzbehörde geben wird.

Der Gipfel machte deutlich: Datenschutz bleibt in der Ära der KI und der zunehmenden Fragmentierung auf internationaler Ebene für alle eine Herausforderung. Es wird erwartet, dass der Datenschutz von der bloßen Erfüllung gesetzlicher Pflichten zu einem aktiven Teil des Innovationsprozesses in Unternehmen mit mehr Teamarbeit wird. Das Prinzip „Privacy by Design“ wird zu einem zentralen Erfolgsfaktor für Unternehmen, die im globalen Wettbewerb um das Vertrauen der Nutzer und Innovation bzw. Absetzung vom Konkurrenten kämpfen.