„Auf keinen Fall warten“ – Interview mit Andreas Sachs, BayLDA-Vizepräsident

Von Martin Armbruster, IHK-Magazin 04/2025

Herr Sachs, das gab es noch nie: Bayerns Datenschutzaufsicht macht gemeinsam mit den bayerischen IHKs eine Webinarreihe. Wie kam es dazu?

Nach 6 Jahren Datenschutz-Grundverordnung (DS-GVO) hören wir immer noch von vielen bayerischen Unternehmen, sie fühlten sich überfordert, sie wüssten nicht, wo sie beim Datenschutz anpacken sollen. Die IHKs und wir als Aufsichtsbehörde stehen vor der Frage: Wie gehen wir damit um? Im Austausch mit der IHK München entstand daher die Idee, eine gemeinsame Webinarreihe zu starten (siehe auch IHK-Veranstaltungstipps unten).

Hier geht’s zur BIHK-Webinarreihe „Datenschutz für Unternehmen“

Was versprechen Sie sich davon?

Leider werden im Datenschutz mitunter viele Mythen verbreitet. Das schürt die Unsicherheit. Wir wollen aufklären, was die DS-GVO tatsächlich verlangt, in der Hoffnung, dass die Teilnehmer hinterher sagen: Oh, das ist ja alles halb so schlimm. Und wir wollen erfahren, wo es in der Praxis klemmt.

DS-GVO: einfacher als gefürchtet

Stimmt etwas mit der Verordnung nicht? Laut einer DIHK-Umfrage sehen 75 Prozent der Unternehmen die DS-GVO als Belastung.

Man kann heute trefflich darüber streiten, ob das sinnvoll war: eine Verordnung für alle zu machen, für den Tech-Konzern wie für den Soloselbstständigen. Unsere Sicht als Aufsichtsbehörde ist: Für jede Art der Datenverarbeitung ermöglicht die DS-GVO gute Lösungen, die auch für jede Unternehmensgröße passen.

Anwälte und Berater haben das Gegenteil erzählt – und an dieser Unsicherheit mitunter gut verdient.

Das stimmt absolut. Das sehen wir auch. Die Umsetzung der DS-GVO schaffen Mittelständler aber auch ohne Consultants. Das ist in der Regel sehr viel einfacher, als befürchtet wird. Es herrscht eine ungute Mischung aus Überforderung und Unwissenheit. Aber ich gebe zu, dass die abstrakte Regulierung nicht bei der Frage hilft: Was muss ich jetzt machen? Das wirkt lähmend.

Meldungen bei BayLDA steigen

Die IHK-Vizepräsidentin Karin Elsperger ist Soloselbstständige. Sie wünscht sich eine leicht verständliche Checkliste. Warum gibt es die nicht?

Diesen Wunsch habe ich schon häufiger gehört. Den Vorschlag finde ich super. Allerdings ist es schwierig, so etwas pauschal für alle Selbstständigen zu machen. Man muss da schon wissen: Ist das ein Handwerker oder ist es jemand, der sein Geschäft im Internet macht? Mit der IHK oder anderen Wirtschaftsorganisationen müssen wir da noch klären: Was machen die Soloselbstständigen genau?

Hätten Sie das nicht schon längst angehen müssen?

Soloselbstständige sind nicht unsere Hauptzielgruppe. Die haben keine Hochrisiko-Verarbeitungen, über die gibt es kaum Beschwerden, wir prüfen sie auch nicht anlasslos. Und leider sind unsere Kapazitäten begrenzt. Wir ertrinken in Arbeit. Seit Inkrafttreten der DS-GVO haben sich die Beschwerdezahlen versechsfacht, die Sicherheitsmeldungen verzwanzigfacht.

Nur selten Bußgeld verhängt

Was ist dran an Warnungen vor den hohen Bußgeldrisiken?

Das ist doch kein Thema für KMU! Die meisten bayerischen Unternehmen wollen rechtskonform arbeiten. Sie wissen nur nicht immer, wie es geht. Ein Kleinunternehmer, der etwas übersieht oder einen Fehler macht, fängt sich kein Bußgeld ein.

Aber Sie erheben doch Bußgelder. Wie oft kommt das vor?

In vielleicht 2 Handvoll Fällen pro Jahr – und das bei rund 600.000 sogenannten Verantwortlichen wie Unternehmen, Freiberuflern oder Vereinen in Bayern. Schon das zeigt: Bußgeld ist nur ein Mittel bei erheblichen Verstößen. Wir wollen etwas anderes: dass sich die Unternehmen an das Gesetz halten, weil sie Bescheid wissen.

KI-Verordnung – wirklich knallhart?

Gerade bei der Verordnung zur künstlichen Intelligenz scheint das teuer zu sein. Laut der EU-Kommission kostet es ein Unternehmen mit 50 Mitarbeitenden bis zu 220.000 Euro, um sich rechtssicher aufzustellen.

Vorsicht, bitte! Die Zahlen beziehen sich auf Anbieter von KI-Produkten, also auf die Unternehmen, die mit großem technologischem Aufwand das entwickeln, was KMU und andere nutzen. Da muss man genauer hinschauen. Man muss verstehen, was die KI-Verordnung überhaupt ist: eine Hochrisiko-Produktregulierung.

Was halten Sie von dem Vorwurf der Überregulierung?

Bei der KI-Verordnung ist es wie beim Start der DS-GVO. Wir sind mittendrin in einer Phase der Unsicherheit. Es herrscht das Gefühl: Alle Unternehmen werden jetzt knallhart durchreguliert. Das ist überhaupt nicht der Fall.

20 Prozent der KI-Verarbeitungen betroffen

Wie sollen Unternehmen auf die KI-Verordnung reagieren?

Sie müssen sich 2 Fragen stellen. Die erste lautet: Habe ich überhaupt eine KI, so wie sie von der Verordnung gemeint ist? Moderne KIs wie ChatGPT fallen darunter, aber eben nicht jedes statistische Verfahren. Die Verordnung sieht zum Teil aufwendige Spezialregelungen vor. Ich schätze aber, dass 80 Prozent der KI-Verarbeitungen in bayerischen Unternehmen davon nicht betroffen sind.

Und die zweite Frage?

Die lautet: Welche Rolle nehme ich ein? Noch viel wichtiger ist die Unterscheidung: Bin ich nur ein Betreiber? Dann muss ich nur überschaubare Pflichten erfüllen. Oder bin ich ein KI-Entwickler, der möglicherweise ein Hochrisiko-Produkt entwickelt? Dann sieht die Sache komplett anders aus.

Hochrisiko-Produkt, Standard-Produkt – wie finde ich das heraus?

Es gibt Listen in der KI-Verordnung, auf denen man nachschauen kann.

Okay, ich verwende ein Standard-Produkt. Was passiert dann?

Wenn man ein normales KI-Produkt nutzt, muss man möglicherweise nur ein paar Transparenzanforderungen erfüllen: Ich habe einen Chatbot, da ist eine KI dabei, dieses Bild oder dieser Text ist mit KI generiert worden. Und schon ist man fertig.

Nicht auf KI verzichten

Wann lande ich im Hochrisiko-Sektor?

Wenn zum Beispiel die KI allein entscheidet, welcher Bewerber den Job bekommt. Dann ist wieder die Frage entscheidend: Bin ich nur der Betreiber der KI? Dann ändert sich nicht so viel. Dann habe ich fast die identischen Pflichten, die ich heute datenschutzrechtlich schon habe. Oder bin ich Anbieter der KI? Nur dann rutsche ich in diese zusätzlichen und mitunter hohen Aufwände rein.

Manche wie der frühere italienische Ministerpräsident und Zentralbanker Mario Draghi, der Publizist Sascha Lobo oder Bitkom-Präsident Ralf Wintergerst warnen: Wegen der Regulierung könnten unsere Firmen womöglich ganz darauf verzichten, künstliche Intelligenz einzusetzen.

Die Sorge habe ich auch. Auf KI verzichten, mit dem Einsatz von KI warten – das können wir uns nicht leisten. Man muss es jetzt machen.

Beratung nutzen, rechtssicher handeln

Aber Unternehmen werden doch nur investieren, wenn sie sicher wissen, was geht und was nicht.

Stimmt, man muss wissen, wo die Leitplanken sind. Und da haben wir tatsächlich ein Problem: Die Verordnung ist in Kraft, aber wir haben in Deutschland noch keine zuständige Regulierungsbehörde.

Haben Sie eine Idee, wann die kommt – und wo die sitzen wird?

Das wird wohl in den kommenden Monaten nach der Bundestagswahl entschieden. Es gibt den Vorschlag, die KI-Aufsicht bei der Bundesnetzagentur anzusiedeln. Wir hätten ebenfalls gern die Marktüberwachung der KI-Verordnung in Bayern übernommen, um diese gemeinsam mit dem Datenschutz zu denken und so auch Aufwände bei Unternehmen zu reduzieren. Letztendlich ist es aber am wichtigsten, dass schnell Rechtssicherheit durch Informationen und Beratung hergestellt wird.

Wie bearbeiten Sie denn derzeit das Thema künstliche Intelligenz?

Dafür haben wir bei unseren ohnehin schon schlanken Strukturen eine neue Rolle geschaffen: Ich bin jetzt auch KI-Beauftragter beim BayLDA und steuere dadurch unter anderem die KI-Beratung für bayerische Unternehmen im Bereich Datenschutz.

Was halten Sie von dem Einwand, die DS-GVO passe nicht ins Zeitalter der KI – sie mache ein KI-Training in Europa fast unmöglich?

Diesen Widerspruch sehe ich so nicht. KI-Verordnung und DS-GVO haben ähnliche Ziele. Sie sollen die Grundrechte unserer Bürger schützen. Ein Punkt, der bislang kaum gesehen wird, ist: Der Datenschutz soll EU-weit Innovation und Wettbewerb durch den freien Datenverkehr und durch Regeln, die für alle gelten, fördern. Damit ist auch ein Training von KI-Modellen möglich.

Prinzip One-Stop-Shop

In Onlineforen liest man immer noch den Wunsch nach einem einheitlichen Datenschutz in der Europäischen Union. Klemmt es im Vollzug?

Es fällt mir schwer zu verstehen, warum solche falschen Einschätzungen verbreitet werden. Die Harmonisierung des Gesetzes und des Vollzugs haben wir längst. Das ist doch der Sinn der DS-GVO. Der Vollzug wird geregelt durch die Leitlinien und Papiere, die wir Aufsichtsbehörden gemeinsam erstellen. Die gelten EU-weit und werden auch in ganz Europa vollzogen.

In der Vergangenheit gab es aber schon unter unseren 16 nationalen Datenschutzbehörden unterschiedliche Positionen.

Es ist nicht der Ansatz der DS-GVO, dass Datenschutz in Hamburg anders läuft als in München. Bei diesem Ziel sind wir schon extrem weit. Die Abstimmung funktioniert heute in der Regel sehr, sehr gut. Wir haben das One-Stop-Shop-Prinzip der DS-GVO umgesetzt: Für Bayerns Unternehmen mit Niederlassungen in anderen Bundesländern gibt es etwa nur eine zuständige Behörde: Das sind wir.

„Direkt für ganz Europa“

Schluss mit allen Regeln: Das verspricht US-Präsident Donald Trump seinen Tech-Milliardären. Macht Ihnen das Sorgen?

Wir verfolgen das natürlich aufmerksam. Und fragen uns: Was bedeutet das für uns im Datenschutzvollzug? Falls wir reagieren müssen, ist es wichtig, das EU-weit abzustimmen. Die Rechtsgarantien für Datentransfers in die USA verhandelt direkt die EU-Kommission für ganz Europa.

Wie lange ist der Datenaustausch mit den USA noch rechtssicher?

Ich hoffe, dass das dauerhaft so bleibt. Ein Punkt ist mir wichtig: Das BayLDA hat sich immer für den transatlantischen Dialog engagiert, weil wir nur so zu guten Lösungen kommen. Deshalb werden wir gemeinsam mit unseren Veranstaltungspartnern auch im Herbst 2025 den nächsten Deutsch-Amerikanischen Datenschutztag organisieren.

Was raten Sie bayerischen Unternehmen? Einfach abwarten?

Ja, Ruhe bewahren und schauen, was kommt. Sollte es zu Veränderungen bei der momentan recht einfachen Nutzung von US-Diensten kommen, informieren wir rechtzeitig und erklären den Unternehmen, was zu tun ist.

Was ist mit den Clouddiensten?

Die einfach weiter nutzen. Wer den KI-Einsatz plant, sollte das bitte machen. Auf keinen Fall warten, sondern nach bestem Wissen und Gewissen das umsetzen, was vernünftigerweise geht. Das dürfte der beste Ansatz sein. Im Zweifel wäre es sicher auch gut, den Kontakt zu uns oder zur IHK zu suchen.