12. Juni 2025 · 
HintergrundDigitalisierung

Lehmkemper: Der Landtag muss Regeln setzen für den KI-Einsatz in der Verwaltung

Darf die Landesverwaltung zur Erleichterung ihrer Arbeit auf Programme mit Künstlicher Intelligenz zurückgreifen? Empfehlungen zum Umgang mit dieser Frage möchte Niedersachsens Landesbeauftragter für den Datenschutz, Denis Lehmkemper, in den kommenden Wochen an den Landtag weiterleiten. Zuvor hat er sich in mehreren Fachgesprächen in seinem sogenannten KI-Expertenkreis ausgetauscht. Im Rundblick-Podcast hat Lehmkemper bereits verraten, dass er davon ausgeht, dass KI im Behördenalltag zeitnah ankommen wird. Vom Parlament erwartet er nun, für den Umgang mit derartigen Anwendungen entsprechende Leitplanken zu setzen. „Da muss der Landesgesetzgeber klare Regeln einziehen. Andere Länder, Hamburg zum Beispiel, sind da deutlich weiter als Niedersachsen“, sagt der erfahrene Verwaltungsjurist. Dass zeitnah in Deutschland ein eigenes, datenschutzkonformes KI-System entwickelt wird, das mit den gängigen Anwendungen mithalten kann, glaubt Lehmkemper nicht. „Aber die Rahmenbedingungen so zu machen, dass die hier im Land erhobenen und verarbeiteten Daten nicht genutzt werden können, um das große Sprachmodell hier oder da weltweit besser zu machen, das wäre mir schon ganz wichtig.“

Denis Lehmkemper (r.) im Podcast-Gespräch mit Niklas Kleinwächter. | Foto: Lada

Lehmkemper fordert, sich nicht abhängig zu machen von den großen Tech-Konzernen. Es sei zwar vorlockend, sich an deren Programmpalette zu bedienen. Doch es drohten sogenannte Lock-In-Effekte: Nutzt man erst einmal die Programme eines bestimmten Anbieters, kommt man davon kaum noch weg. Lehmkemper rät Behörden deshalb zu Open Source-Programmen, wie etwa Schleswig-Holstein das bereits mache. Cloud-Services sollten von europäischen, wenn nicht sogar deutschen Anbietern genutzt werden. „Das wird voraussichtlich teurer. Aber das ist gut angelegtes Geld.“ Auch wenn sich die Grundsätze des Datenschutzes – wie etwa der Grundsatz der Datensparsamkeit, der Transparenz, der Nachvollziehbarkeit oder der Richtigkeit – sowohl an den Anbieter als auch an den Anwender der KI richten, wählt Lehmkemper einen pragmatischen Ansatz: Erreichen kann er hier in Niedersachsen nur diejenigen, die mit dem KI-System arbeiten und dieses hier mit Daten füttern. Wie das Programm zuvor trainiert wurde, und ob dabei personenbezogene Daten verwendet wurden, entzieht sich jedoch seinem Zugriff.

Im Innenausschuss des niedersächsischen Landtags und in der Landespressekonferenz hat Lehmkemper am Donnerstag seinen Tätigkeitsbericht vorgestellt. Es ist bereits der 30. Bericht der Datenschutzbehörde insgesamt, allerdings der erste Bericht, der sich allein mit dem Wirken des seit Herbst 2023 neuen Datenschutzbeauftragten befasst. Diese Themen stechen aus dem fast 200 Seiten starken Bericht heraus:

  • Deutlich mehr Datenpannen: Einen moderaten Anstieg verzeichnet der Datenschutzbericht bei den Beschwerden, um die sich die Behörde kümmern musste. Mit 3361 Fällen lag diese Zahl für 2024 um sieben Prozent höher als im Vorjahr. „Sehr signifikant gestiegen“ sei hingegen die Fallzahl bei den Datenpannen, erläutert Lehmkemper. Wie sich der Anstieg um 17 Prozent auf insgesamt 1528 Fälle erklären lässt, kann die Behörde nicht sagen. Eine Vermutung: Die Zahl der Cyberangriffe könnte zugenommen und damit auch die Zahl der gemeldeten Datenpannen erhöht haben. Erfasst wird die Ursache für eine solche meldepflichtige Panne allerdings noch nicht. Als Ordnungsbehörde hat die Datenschutzaufsicht des Landes Bußgelder in Höhe von 1,04 Millionen Euro erhoben. Abschließend ist diese Summe nicht – noch nicht alle Verfahren sind gerichtlich abgeschlossen.


  • Sensible Gesundheitsdaten: Zu viel Unsicherheit bei den Bürgern im Land haben offenbar Digitalisierungsprozesse im Gesundheitswesen geführt. Lehmkemper nennt zum einen die „Kommunikation im Medizinwesen“ (Kim), die das Faxgerät in den Praxen ablösen sollte. Obwohl die Landesbehörde nicht originär zuständig sei, habe das Büro des Landesbeauftragten viele Anfragen dazu erreicht. Ähnliches gelte für die elektronische Patientenakte (ePA). Eine hohe Anzahl von Einzelfallfragen habe die Datenschutzbehörde dazu veranlasst, auf ihrer Website eine gesonderte Frage-Antwort-Seite einzurichten, die zahlreich in Anspruch genommen werde.
  • VW und seine Fahrzeugdaten: Automobilhersteller haben ein wachsendes Interesse an den Daten, die ihre Kunden beim Fahren so produzieren. Manche nutzen diese Daten einfach so, Volkswagen habe aber beim Landesbeauftragten für den Datenschutz nachgefragt, wie eine datenschutzkonforme Nutzung von Fahrzeugdaten ausgestaltet werden könnte. So sollen Fahrzeugdaten, etwa zur Erkennung von Stoppschildern, ausgeleitet werden und im Sinne der Verkehrssicherheit eingesetzt werden, um die Algorithmen nachzuschärfen. Gemeinsam mit den Behörden in Bayern und Baden-Württemberg habe Niedersachsen dabei geholfen, eine datenschutzrechtlich saubere Lösung zu finden. Wichtig etwa: Es dürfen keine Bewegungsprofile ausgelesen werden.


  • Sparsamkeit bei Schülerdaten: Der Vorstoß des Ministerpräsidenten, Leihtablets für Schüler zur Verfügung zu stellen, freut auch den Datenschutzbeauftragten. Im vergangenen Jahr beschäftigte seine Behörde nämlich auch die Frage, wie es um den Datenschutz bei privat beschafften Endgeräten bestellt ist, wenn schulische IT-Beauftragte darauf Zugriff haben, weil die Geräte ins schuleigene Netz angeschlossen werden. Kommen die Geräte von der Schule, stellt sich diese Frage dann nicht mehr. Auf Einsicht setzt Lehmkemper auch bei den Kommunen, wenn es um die Schuleingangsuntersuchungen geht. Es gibt Landkreise, die freuen sich über die vielen Daten zum Gesundheitszustand eines ganzen Schülerjahrgangs. Lehmkemper mahnt: Es müsse nur die Schulfähigkeit untersucht werden. Der aktuelle Fragenkatalog gehe zu weit. Das Landesgesundheitsamt habe angekündigt, die Pflichtangaben in der Erhebung verringern zu wollen.
  • Pikante Webcam-Einsichten: Weil Kameratechnik inzwischen günstig zu haben ist, nehmen auch die Fälle privater Videoüberwachung zu. Insbesondere in Fitnessstudios habe die Behörde immer wieder intervenieren müssen. Aber auch Kameras an Drohnen, die über Privathäuser fliegen, beschäftigen den Datenschutzbeauftragten inzwischen häufiger. Ungewöhnlich war ein anderer Fall: Die Datenschützer mussten einer Beschwerde nachgehen, weil eine Webcam dauerhaft einen FKK-Strand an der niedersächsischen Küste ablichtete. Die Kamera gehörte wohl zu einem Hotel und sollte eigentlich die schöne Aussicht bewerben. Nun ist die Kamera weg.


  • Einer prüft für alle: Lehmkemper spricht sich gegen den Plan der neuen Bundesregierung aus, die Datenschutzaufsicht für die Wirtschaft auf Bundesebene zu zentralisieren. Es sei wichtig, eine niedersächsische Behörde zu haben, die Aufsicht, Ratgeber und Mahner sei. Insbesondere für kleine und mittlere Unternehmen habe eine Zentralisierung in Berlin keinen Vorteil, sagt der Landesbeauftragte. Was sich Lehmkemper allerdings vorstellen kann, ist eine Vereinfachung der Arbeit der 16 einzelnen Landesbehörden. Nach dem Prinzip „einer prüft für alle“ könnten künftig Datenschutzfälle rasch und einheitlich geklärt werden. Ein vermeintlicher Flickenteppich oder langwierige Verhandlungen könnten so vermieden werden. Die Folge könnte eine Spezialisierung der Datenschutzbehörden werden.
Dieser Artikel erschien am 13.6.2025 in Ausgabe #109.
Niklas Kleinwächter
AutorNiklas Kleinwächter

Artikel teilen

Teilen via Facebook
Teilen via LinkedIn
Teilen via X
Teilen via E-Mail