Artikel | wirtschaft – Das IHK-Magazin für München und Oberbayern

Thorsten Jochim ©

„Auf KI verzichten, das können wir uns nicht leisten“, sagt Andreas Sachs, Vizepräsident des Bayerischen Landesamts für Datenschutz (BayLDA)

Andreas Sachs, Vizepräsident des Bayerischen Landesamts für Datenschutzaufsicht, über den Umgang mit der DS-GVO, der KI-Verordnung und der Deregulierungsorgie in den USA.

Von Martin Armbruster, IHK-Magazin 04/2025

Herr Sachs, das gab es noch nie: Bayerns Datenschutzaufsicht macht gemeinsam mit den bayerischen IHKs eine Webinarreihe. Wie kam es dazu?
Nach 6 Jahren Datenschutz-Grundverordnung (DS-GVO) hören wir immer noch von vielen bayerischen Unternehmen, sie fühlten sich überfordert, sie wüssten nicht, wo sie beim Datenschutz anpacken sollen. Die IHKs und wir als Aufsichtsbehörde stehen vor der Frage: Wie gehen wir damit um? Im Austausch mit der IHK München entstand daher die Idee, eine gemeinsame Webinarreihe zu starten (siehe auch IHK-Veranstaltungstipps unten).

Hier geht’s zur BIHK-Webinarreihe „Datenschutz für Unternehmen“ 

Was versprechen Sie sich davon?
Leider werden im Datenschutz mitunter viele Mythen verbreitet. Das schürt die Unsicherheit. Wir wollen aufklären, was die DS-GVO tatsächlich verlangt, in der Hoffnung, dass die Teilnehmer hinterher sagen: Oh, das ist ja alles halb so schlimm. Und wir wollen erfahren, wo es in der Praxis klemmt.

DS-GVO: einfacher als gefürchtet

Stimmt etwas mit der Verordnung nicht? Laut einer DIHK-Umfrage sehen 75 Prozent der Unternehmen die DS-GVO als Belastung.
Man kann heute trefflich darüber streiten, ob das sinnvoll war: eine Verordnung für alle zu machen, für den Tech-Konzern wie für den Soloselbstständigen. Unsere Sicht als Aufsichtsbehörde ist: Für jede Art der Datenverarbeitung ermöglicht die DS-GVO gute Lösungen, die auch für jede Unternehmensgröße passen.

Anwälte und Berater haben das Gegenteil erzählt – und an dieser Unsicherheit mitunter gut verdient.
Das stimmt absolut. Das sehen wir auch. Die Umsetzung der DS-GVO schaffen Mittelständler aber auch ohne Consultants. Das ist in der Regel sehr viel einfacher, als befürchtet wird. Es herrscht eine ungute Mischung aus Überforderung und Unwissenheit. Aber ich gebe zu, dass die abstrakte Regulierung nicht bei der Frage hilft: Was muss ich jetzt machen? Das wirkt lähmend.

Meldungen bei BayLDA steigen

Die IHK-Vizepräsidentin Karin Elsperger ist Soloselbstständige. Sie wünscht sich eine leicht verständliche Checkliste. Warum gibt es die nicht?
Diesen Wunsch habe ich schon häufiger gehört. Den Vorschlag finde ich super. Allerdings ist es schwierig, so etwas pauschal für alle Selbstständigen zu machen. Man muss da schon wissen: Ist das ein Handwerker oder ist es jemand, der sein Geschäft im Internet macht? Mit der IHK oder anderen Wirtschaftsorganisationen müssen wir da noch klären: Was machen die Soloselbstständigen genau?

Hätten Sie das nicht schon längst angehen müssen?
Soloselbstständige sind nicht unsere Hauptzielgruppe. Die haben keine Hochrisiko-Verarbeitungen, über die gibt es kaum Beschwerden, wir prüfen sie auch nicht anlasslos. Und leider sind unsere Kapazitäten begrenzt. Wir ertrinken in Arbeit. Seit Inkrafttreten der DS-GVO haben sich die Beschwerdezahlen versechsfacht, die Sicherheitsmeldungen verzwanzigfacht.

Mehr Beratungen nötig

Wir wollen erfahren, wo es in der Praxis klemmt.“ Andreas Sachs, Vizepräsident des Bayerischen Landesamts für Datenschutzaufsicht

Bekommen Sie nicht mehr Personal?
Wir haben zusätzliche Stellen angemeldet. Der bayerische Haushaltsgesetzgeber hat die für 2024/25 zumindest in Teilen bewilligt. Das verschafft uns neue Spielräume, die wir auch für die Webinarreihe nutzen. Und wir können endlich wieder mehr beraten.

30 Nichtregierungsorganisationen fordern von der EU-Kommission mehr Geld und Personal für die DS-GVO. Macht Ihnen das Hoffnung?
Ja, das wäre absolut ein wichtiger Schritt. Wir könnten dann deutlich mehr beraten – das würde vor allem Unternehmen helfen, die keine Rechtsabteilung haben oder sich keine Anwälte leisten können. Wir könnten Unternehmen in jedem Sektor mit Handreichungen, Anleitungen, und Broschüren versorgen. Wir schaffen das bisher nicht, weil ich keine Mitarbeiter dafür habe.

Nur selten Bußgeld verhängt

Was ist dran an Warnungen vor den hohen Bußgeldrisiken?
Das ist doch kein Thema für KMU! Die meisten bayerischen Unternehmen wollen rechtskonform arbeiten. Sie wissen nur nicht immer, wie es geht. Ein Kleinunternehmer, der etwas übersieht oder einen Fehler macht, fängt sich kein Bußgeld ein.

Aber Sie erheben doch Bußgelder. Wie oft kommt das vor?
In vielleicht 2 Handvoll Fällen pro Jahr – und das bei rund 600.000 sogenannten Verantwortlichen wie Unternehmen, Freiberuflern oder Vereinen in Bayern. Schon das zeigt: Bußgeld ist nur ein Mittel bei erheblichen Verstößen. Wir wollen etwas anderes: dass sich die Unternehmen an das Gesetz halten, weil sie Bescheid wissen.

KI-Verordnung – wirklich knallhart?

Gerade bei der Verordnung zur künstlichen Intelligenz scheint das teuer zu sein. Laut der EU-Kommission kostet es ein Unternehmen mit 50 Mitarbeitenden bis zu 220.000 Euro, um sich rechtssicher aufzustellen.
Vorsicht, bitte! Die Zahlen beziehen sich auf Anbieter von KI-Produkten, also auf die Unternehmen, die mit großem technologischem Aufwand das entwickeln, was KMU und andere nutzen. Da muss man genauer hinschauen. Man muss verstehen, was die KI-Verordnung überhaupt ist: eine Hochrisiko-Produktregulierung.

Was halten Sie von dem Vorwurf der Überregulierung?
Bei der KI-Verordnung ist es wie beim Start der DS-GVO. Wir sind mittendrin in einer Phase der Unsicherheit. Es herrscht das Gefühl: Alle Unternehmen werden jetzt knallhart durchreguliert. Das ist überhaupt nicht der Fall.

20 Prozent der KI-Verarbeitungen betroffen

Wie sollen Unternehmen auf die KI-Verordnung reagieren?
Sie müssen sich 2 Fragen stellen. Die erste lautet: Habe ich überhaupt eine KI, so wie sie von der Verordnung gemeint ist? Moderne KIs wie ChatGPT fallen darunter, aber eben nicht jedes statistische Verfahren. Die Verordnung sieht zum Teil aufwendige Spezialregelungen vor. Ich schätze aber, dass 80 Prozent der KI-Verarbeitungen in bayerischen Unternehmen davon nicht betroffen sind.

Und die zweite Frage?
Die lautet: Welche Rolle nehme ich ein? Noch viel wichtiger ist die Unterscheidung: Bin ich nur ein Betreiber? Dann muss ich nur überschaubare Pflichten erfüllen. Oder bin ich ein KI-Entwickler, der möglicherweise ein Hochrisiko-Produkt entwickelt? Dann sieht die Sache komplett anders aus.

IHK-Info: BIHK-Webinar zu KI und Datenschutz

Auf der Veranstaltung „Künstliche Intelligenz und Datenschutz in der Praxis“ am 8. Mai 2025 im Stammhaus der IHK München geht es um KI und Datenschutz im Betriebsalltag.  
Welche spezifischen Anforderungen legen die DS-GVO und KI-Verordnung für den Umgang mit Daten und KI-Systemen fest? Welche Anforderungen an KI bestehen aus Sicht des Datenschutzes? Wo liegen Gemeinsamkeiten und Unterschiede zum AI Act?

Außerdem: Tipps für Kleinstunternehmen und KMU zur rechtssicheren Umsetzung.

Hochrisiko-Produkt, Standard-Produkt – wie finde ich das heraus?
Es gibt Listen in der KI-Verordnung, auf denen man nachschauen kann.

Okay, ich verwende ein Standard-Produkt. Was passiert dann?
Wenn man ein normales KI-Produkt nutzt, muss man möglicherweise nur ein paar Transparenzanforderungen erfüllen: Ich habe einen Chatbot, da ist eine KI dabei, dieses Bild oder dieser Text ist mit KI generiert worden. Und schon ist man fertig.

Nicht auf KI verzichten

Wann lande ich im Hochrisiko-Sektor?
Wenn zum Beispiel die KI allein entscheidet, welcher Bewerber den Job bekommt. Dann ist wieder die Frage entscheidend: Bin ich nur der Betreiber der KI? Dann ändert sich nicht so viel. Dann habe ich fast die identischen Pflichten, die ich heute datenschutzrechtlich schon habe. Oder bin ich Anbieter der KI? Nur dann rutsche ich in diese zusätzlichen und mitunter hohen Aufwände rein.

Manche wie der frühere italienische Ministerpräsident und Zentralbanker Mario Draghi, der Publizist Sascha Lobo oder Bitkom-Präsident Ralf Wintergerst warnen: Wegen der Regulierung könnten unsere Firmen womöglich ganz darauf verzichten, künstliche Intelligenz einzusetzen.
Die Sorge habe ich auch. Auf KI verzichten, mit dem Einsatz von KI warten – das können wir uns nicht leisten. Man muss es jetzt machen.

Beratung nutzen, rechtssicher handeln

Aber Unternehmen werden doch nur investieren, wenn sie sicher wissen, was geht und was nicht.
Stimmt, man muss wissen, wo die Leitplanken sind. Und da haben wir tatsächlich ein Problem: Die Verordnung ist in Kraft, aber wir haben in Deutschland noch keine zuständige Regulierungsbehörde.

Haben Sie eine Idee, wann die kommt – und wo die sitzen wird?
Das wird wohl in den kommenden Monaten nach der Bundestagswahl entschieden. Es gibt den Vorschlag, die KI-Aufsicht bei der Bundesnetzagentur anzusiedeln. Wir hätten ebenfalls gern die Marktüberwachung der KI-Verordnung in Bayern übernommen, um diese gemeinsam mit dem Datenschutz zu denken und so auch Aufwände bei Unternehmen zu reduzieren. Letztendlich ist es aber am wichtigsten, dass schnell Rechtssicherheit durch Informationen und Beratung hergestellt wird.

Wie bearbeiten Sie denn derzeit das Thema künstliche Intelligenz?
Dafür haben wir bei unseren ohnehin schon schlanken Strukturen eine neue Rolle geschaffen: Ich bin jetzt auch KI-Beauftragter beim BayLDA und steuere dadurch unter anderem die KI-Beratung für bayerische Unternehmen im Bereich Datenschutz.

Was halten Sie von dem Einwand, die DS-GVO passe nicht ins Zeitalter der KI – sie mache ein KI-Training in Europa fast unmöglich?
Diesen Widerspruch sehe ich so nicht. KI-Verordnung und DS-GVO haben ähnliche Ziele. Sie sollen die Grundrechte unserer Bürger schützen. Ein Punkt, der bislang kaum gesehen wird, ist: Der Datenschutz soll EU-weit Innovation und Wettbewerb durch den freien Datenverkehr und durch Regeln, die für alle gelten, fördern. Damit ist auch ein Training von KI-Modellen möglich.

Prinzip One-Stop-Shop

In Onlineforen liest man immer noch den Wunsch nach einem einheitlichen Datenschutz in der Europäischen Union. Klemmt es im Vollzug?
Es fällt mir schwer zu verstehen, warum solche falschen Einschätzungen verbreitet werden. Die Harmonisierung des Gesetzes und des Vollzugs haben wir längst. Das ist doch der Sinn der DS-GVO. Der Vollzug wird geregelt durch die Leitlinien und Papiere, die wir Aufsichtsbehörden gemeinsam erstellen. Die gelten EU-weit und werden auch in ganz Europa vollzogen.

In der Vergangenheit gab es aber schon unter unseren 16 nationalen Datenschutzbehörden unterschiedliche Positionen.
Es ist nicht der Ansatz der DS-GVO, dass Datenschutz in Hamburg anders läuft als in München. Bei diesem Ziel sind wir schon extrem weit. Die Abstimmung funktioniert heute in der Regel sehr, sehr gut. Wir haben das One-Stop-Shop-Prinzip der DS-GVO umgesetzt: Für Bayerns Unternehmen mit Niederlassungen in anderen Bundesländern gibt es etwa nur eine zuständige Behörde: Das sind wir.

„Direkt für ganz Europa“

Schluss mit allen Regeln: Das verspricht US-Präsident Donald Trump seinen Tech-Milliardären. Macht Ihnen das Sorgen?
Wir verfolgen das natürlich aufmerksam. Und fragen uns: Was bedeutet das für uns im Datenschutzvollzug? Falls wir reagieren müssen, ist es wichtig, das EU-weit abzustimmen. Die Rechtsgarantien für Datentransfers in die USA verhandelt direkt die EU-Kommission für ganz Europa.

Wie lange ist der Datenaustausch mit den USA noch rechtssicher?
Ich hoffe, dass das dauerhaft so bleibt. Ein Punkt ist mir wichtig: Das BayLDA hat sich immer für den transatlantischen Dialog engagiert, weil wir nur so zu guten Lösungen kommen. Deshalb werden wir gemeinsam mit unseren Veranstaltungspartnern auch im Herbst 2025 den nächsten Deutsch-Amerikanischen Datenschutztag organisieren.

Was raten Sie bayerischen Unternehmen? Einfach abwarten?
Ja, Ruhe bewahren und schauen, was kommt. Sollte es zu Veränderungen bei der momentan recht einfachen Nutzung von US-Diensten kommen, informieren wir rechtzeitig und erklären den Unternehmen, was zu tun ist.

Was ist mit den Clouddiensten?
Die einfach weiter nutzen. Wer den KI-Einsatz plant, sollte das bitte machen. Auf keinen Fall warten, sondern nach bestem Wissen und Gewissen das umsetzen, was vernünftigerweise geht. Das dürfte der beste Ansatz sein. Im Zweifel wäre es sicher auch gut, den Kontakt zu uns oder zur IHK zu suchen.