Louisa Specht-Riemenschneider, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), und Dr. Linda Bienemann, digitalpolitische Beraterin im Bundeskanzleramt, stellten auf dem Digital Health Innovation Forum des HPI das „ReguLab“ vor. Dabei handelt es sich um eine „Sandbox“, die frühzeitig Orientierung für datenschutzkonforme Entwicklungen bieten soll.
Zwischen Erfindungsgeist und Rechtsunsicherheit
Deutschland ist laut Specht-Riemenschneider, die kürzlich aus gesundheitlichen Gründen ihren Rückzug ankündigte, europäischer Meister im Erfinden. Allein 2024 wurden laut Zahlen des Europäischen Patentamts rund 25.000 Patentanmeldungen aus Deutschland registriert. Gleichzeitig berichten viele deutsche Unternehmen, dass Datenschutz die Innovation bremse. Zudem äußern die meisten EU-Bürgerinnen und -Bürger Bedenken beim Schutz ihrer persönlichen Daten. Das eigentliche Problem sei nicht das Datenschutzrecht selbst, sondern fehlende Rechtssicherheit darüber, welche Regeln gelten und wie sie auszulegen sind.
Das 2025 eingerichtete ReguLab richte sich an Teams, die bereits einen konkreten Anwendungsfall identifiziert haben und wissen, in welche Richtung ihre Technologie entwickelt werden soll; also nicht mehr in der reinen Konzeptphase stecken, aber auf grundlegende datenschutzrechtliche Fragen gestoßen sind. Erst kürzlich hat die BfDI eine erste Ausschreibung „zur Gesundheitsrisikoerkennung nach § 25b SGB V“ gestartet. Nach dieser dürfen Pflege- und Krankenkassen „individuelle Gesundheitsrisiken datenbasiert erkennen“. Zu den Fragen gehören zum Beispiel, ob Gesundheitsdaten zum Training von KI-Systemen genutzt werden dürfen und wann weitere Schutzmaßnahmen nötig sind.
Bienemann erklärte, dass in einer Auswahlphase die Projekte über themenspezifische Ausschreibungen aufgenommen werden. Anschließend begleitet ein Expertenteam der BfDI die technische Entwicklung über mehrere Monate mit einer laufenden rechtlichen Bewertung. Am Ende stehen ein vertraulicher Abschlussbericht für die Projektteilnehmenden sowie ein öffentlicher „ReguLab-Report", der die gewonnenen Erkenntnisse für vergleichbare Projekte nutzbar macht. Laut Bienemann sollen künftig mehr von den Ergebnissen profitieren, unter anderem Unternehmen, Forschung, Aufsicht und Politik.
Vorbild UK, wachsendes Ökosystem in Deutschland
Als internationales Vorbild nannte Specht-Riemenschneider die britische Datenschutzaufsicht ICO, die auf fünf Jahre erfolgreiche Arbeit in ihrer „Regulatory Sandbox" zurückblickt. Dass der Sandbox-Gedanke auch in Deutschland Anklang gefunden hat, zeigen weitere Initiativen: So betreibt etwa der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Prof. Tobias Keber, ein KI-Reallabor auf Landesebene. Auf Bundesebene arbeiten die BfDI, die Bundesnetzagentur und das Hessische Digitalministerium gemeinsam an den Grundlagen für ein nationales KI-Reallabor nach der europäischen KI-Verordnung.
Rechtliche Grundlage und Selbstverständnis
Die noch amtierende Bundesdatenschutzbeauftragte unterstrich, dass Aufsichtsbehörden nach DSG-VO und Bundesdatenschutzgesetz nicht nur berechtigt, sondern verpflichtet seien, Innovatoren zu beraten. „Je besser wir datenbasierte Technologien verstehen, desto besser können wir den Gesetzgeber zu innovationsfreundlicher Regulierung beraten, die die Grundrechte schützt“, hieß es im Januar seitens der BfDI. ReguLab sei daher kein Sonderweg, sondern die konsequente Umsetzung des gesetzlichen Auftrags. Im Januar wies die BfDI darauf hin, dass das ReguLab nicht mit dem Projekt „zur Simulation eines KI-Reallabors nach der europäischen KI-Verordnung“ zu verwechseln sei, indem sie zusammen mit der Bundesnetzagentur (BNetzA) und dem hessischen Digitalministerium an „Grundlagen für ein nationales KI-Reallabor“ arbeite.
(mack)
English (US) ·