Als zentralen Leitgedanken will die Koalition Deutschland als "KI-Nation" (S. 4, Z 88) etablieren. Realisiert werden soll dies durch massive Investitionen in KI-Infrastruktur (S. 4, Z. 107-108), die Förderung von KI-Sprachmodellen (S. 70, Z. 2263-2264), den Einsatz von KI-Reallaboren (insb. für KMU) S. 72 Z. 2266) und die Verbindung von KI und Robotik (S. 4, Z. 107-108). Konkret wird eine KI-Offensive mit einem 100.000-GPU-Programm (AI-Gigafactory) angekündigt (S. 78, Z. 2509-2510) – wohl im Zusammenhang mit der entsprechenden Initiative der EU – und die Errichtung von KI-Spitzenzentren im Verbund angestrebt (S. 78, Z. 2512).

Die damit einhergehende strategische Verankerung von KI als wirtschaftliches und gesellschaftliches Zukunftsthema ist begrüßenswert. Die Ambitionen korrespondieren mit den Zielen des AI Innovation Package der EU-Kommission, das unter anderem den Aufbau von Exzellenzzentren und digitalen Testfeldern fördert. Die Vorstellungen über eine direkte Anbindung an die europäischen KI-Hubs und IPCEI-Vorhaben bleiben vage. Vermutlich haben sie es wegen einer zu hohen Granularität nicht in den Koalitionsvertrag geschafft.

Die Koalition will den am 13.03.2024 verabschiedeten AI Act "bürokratiearm und innovationsfreundlich" umsetzen und dafür sorgen, dass die Marktaufsicht nicht zersplittert wird (S. 71, Z. 2270 f.). Eine zentrale Servicestelle soll Unternehmen unterstützen (S. 70, Z. 2273). Die in dessen Art. 57 ff. AI Act enthaltenen Erleichterungen für KMUs (etwa technische Hilfestellungen und – vermutlich - regulatorische Sandboxen) sollen konsequent genutzt werden (etwa S. 70, Z. 2265 ff).

Die klare Zielsetzung, gerade kleinere und mittlere Unternehmen nicht zu überlasten, ist sinnvoll.

Auch die europäische Digitalrechtsakte will die Koalition angesichts der dynamischen Entwicklung anpassen (S. 70, Z. 2272). Hier muss sich jedoch erst zeigen, wie und ob dies gelingt. Die Bundesregierung setzt hier offenbar auf entsprechende Vorschläge der Kommission, die derzeit vorbereitet und Ende 2025/Anfang 2026 erwartet werden. Naturgemäß kann die Koalition europäische Rechtsakte nicht aus eigener Kraft verändern, sondern allenfalls Reformen über den Rat anstoßen. Wohlweislich hat sich die Koalition dazu nicht näher positioniert.

Der Koalitionsvertrag sieht eine signifikante Strukturreform der Datenschutzaufsicht auf nationaler Ebene vor. Geplant ist eine zentrale Bündelung der Aufsicht beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) (S. 65, Z. 2095; S. 70, Z. 2249). Diese Zentralisierung soll auch die Zuständigkeiten für Datennutzung und Informationsfreiheit umfassen, wodurch die Rolle des Bundesbeauftragten erheblich erweitert würde (S. 65, Z. 2108-2109; S. 70, Z. 2253-2255). Für die Wirtschaft würde dies potenziell bedeuten, dass in vielen Fällen der BfDI anstelle der Landesdatenschutzbehörden der primäre Ansprechpartner wäre. Als Gremium der Länder- und Bundesdatenschützer soll die Datenschutzkonferenz (DSK) im Bundesdatenschutzgesetz (BDSG) verankert werden, um gemeinsame Standards zu erarbeiten (S. 65, Z. 2100-2101; S. 70, Z. 2249-2250).

Unabhängig von diesen rein nationalen Strukturplänen gibt es auf EU-Ebene Bestrebungen, die Verfahren zur Durchsetzung der DSGVO speziell in grenzüberschreitenden Fällen zu harmonisieren und zu beschleunigen. Die EU-Kommission hat dazu im Juli 2023 den Entwurf für eine Verordnung vorgelegt. Dieser zielt darauf ab, die Zusammenarbeit zwischen den nationalen Datenschutzbehörden (DSB) im Rahmen des bestehenden Kooperationsverfahrens nach Art. 60 ff. DSGVO effizienter zu gestalten, welches sich in der Praxis oft als langwierig erwiesen hat. Der EU-Vorschlag beinhaltet unter anderem Regeln zur Beschwerdeeinreichung, zur frühen Abstimmung zwischen federführender und betroffenen DSB („scoping exercise“), zur Definition relevanter Einwände im Streitbeilegungsverfahren und zur Stärkung der Parteienrechte (Gehör, Akteneinsicht).

Während die EU-Initiative also primär auf die länderübergreifenden Verfahren abzielt, fokussiert der Koalitionsvertrag auf eine strukturelle Neuordnung der Zuständigkeiten innerhalb Deutschlands. Beide Ebenen berühren die Effizienz des Datenschutzes, doch die Umsetzung der nationalen Bündelung beim BfDI wird erhebliche Detailarbeit erfordern, insbesondere hinsichtlich der Kompetenzabgrenzung zu den Landesbehörden und der Ausgestaltung der Zusammenarbeit in der dann gesetzlich verankerten DSK.

Der Staat soll Daten nur einmal erheben und übergreifend nutzbar machen (S. 65, Z. 2087 ff.). Dafür soll ein grundsätzliches Doppelerhebungsverbot und eine Verpflichtung zum Datenaustausch innerhalb der Verwaltung etabliert werden (S. 65, Z. 2090). Dieses Prinzip entspricht der "Single Digital Gateway Regulation" (Verordnung (EU) 2018/1724), die seit Dezember 2023 gilt.

Die Koalition greift dieses Prinzip explizit auf, was positiv hervorzuheben ist. Auch gilt es, in der Umsetzung komplexe Herausforderungen zu bewältigen, um eine datenschutzkonforme Umsetzung und der Wahrung der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO zu realisieren.

Der Koalitionsvertrag fordert einen gesetzlichen Open-Data-Anspruch bei staatlichen Einrichtungen (S. 70, Z. 2245) und die Etablierung von Datentreuhändern (S. 69 f. Z. 2243 ff). Dies ist im Einklang mit dem Data Governance Act (Verordnung (EU) 2022/868), der in Kapitel III die Rolle sogenannter "Datenmittler" regelt. Konkretisiert wird die verbesserte Datennutzung durch die Ankündigung eines Forschungsdatengesetzes noch für 2025 (S. 79, Z. 2573) und eine moderne Regelung für Mobilitäts-, Gesundheits- und Forschungsdaten (S. 70, Z. 2246). Das klare Bekenntnis zur Kultur der Datennutzung und des Datenteilens zur Schaffung einer Datenökonomie (S. 69, Z. 2239) erscheint angesichts der Anstrengungen in Europa folgerichtig. Auch hier bleibt es allerdings – notwendigerweise – bei Programmpunkten auf dem Abstraktionsniveau eines Koalitionsvertrages.

Der Koalitionsvertrag sieht die Nutzung aller Spielräume der DSGVO für Vereinfachungen für kleine und mittlere Unternehmen sowie Beschäftigte und das Ehrenamt vor (S. 65, Z. 2101-2103; S. 70, Z. 2251-2252). Zudem will man sich auf EU-Ebene dafür einsetzen, nicht-kommerzielle Tätigkeiten (z.B. Vereine), KMU und risikoarme Datenverarbeitungen vom Anwendungsbereich der DSGVO auszunehmen (S. 67, Z. 2103-2106). Dies deckt sich mit der EU-Agenda zur KMU-freundlichen Umsetzung der DSGVO, etwa der geplanten Überarbeitung der Guidelines 07/2020 des EDSA. Positiv ist die Initiative zur administrativen Entlastung, der „schlankere Staat“ als Ziel trägt auch hier das Vorhaben.

Der Vertrag fördert "Privacy by Design" und den Einsatz von Privacy Enhancing Technologies (S. 70, Z. 2247). Ziele wie der Schutz von Grundrechten und Datensouveränität (S. 69, Z. 2240-2241) implizieren eine Ausrichtung an "Privacy by Design"-Prinzipien, auch wenn der Begriff selbst nicht fällt. Dies entspricht den Vorgaben aus Art. 25 DSGVO sowie Empfehlungen des EDSA zu technischen und organisatorischen Maßnahmen. Erfreulich ist der per se technologieorientierte Ansatz.

Technologien wie KI, Quantencomputing und Mikroelektronik sollen gezielt gefördert werden (S. 70, Z. 2257-2260). Auch Cybersicherheit wird als Schlüsseltechnologie definiert (S. 68, Z. 2187-2188). Der European Chips Act (Verordnung (EU) 2023/1781) bildet hierfür den EU-rechtlichen Rahmen, insbesondere durch IPCEI-Förderung und die Schaffung von Kompetenzzentren. Zur Stärkung des Ökosystems soll auch die Anwerbung internationaler Talente (IT-Fachkräfte, Forschende) beitragen (Seite 69, Z. 2237). Positiv ist der breite technologische Fokus des Koalitionsvertrages.Mit Spannung zu erwarten ist dabei die Koordinierung mit den Vorhaben der EU, etwa bei der Ausgestaltung nationaler Maßnahmen (z.B. innovationsfreundliche Umsetzung des AI Acts oder Definition technischer Standards). Zu berücksichtigen ist nämlich, dass die europäischen Rahmenbedingungen, Aufsichtsstrukturen und Normungsprozesse und Auslegung des AI Acts selbst noch etabliert oder fortgeschrieben werden müssen.

Digital automatisierte Prozesse, etwa durch Smart Contracts, werden im Koalitionsvertrag nur anhand eines Beispiels (automatisierte Erstattungen) angedeutet (S. 80, Z. 2776-2779). Der Data Act (Verordnung (EU) 2023/2854) sieht in Art. 30 konkrete Pflichten für Anbieter automatisierter Vertragsmechanismen vor. Die Koalition erkennt hier aber den Handlungsbedarf, wird sich insofern voraussichtlich im Rahmen der geplanten Reform der BGB-Formvorschriften (§§ 126 ff.) (S. 87, Z. 2781-2782) mit Eifer in Aspekte der Kompatibilität mit bestehenden Zivilrechtsgrundsätzen (z. B. BGB-Formvorschriften) stürzen können.

Die Koalition greift das Thema auf und möchte prüfen, ob Haftungsregeln mit Blick auf Künstliche Intelligenz auf europäischer Ebene angepasst werden müssen (S. 70, Z. 2276-2277). Die EU-Kommission hat angekündigt, ihren fast in Vergessenheit geratenen Vorschlag für eine eigenständige KI-Haftungsrichtlinie zurückzuziehen. Obwohl regierungsnahe EU-Parlamentarier seit Herbst einen erneuten Anlauf genommen hatten, eine noch viel weitergehenden Regulierung dieser Themen auf den Weg zu bekommen. Die Prüfungsankündigung der Koalition ist daher bemerkenswert.

Darüber hinaus findet sich an vielen Stellen das Bestreben der Koalition, durch den Einsatz von Technologien der künstlichen Intelligenz die Verwaltung kosteneffizienter und schneller zu gestalten (S. 58, Z. 1861-1862). Sicherheitsbehörden sollen unter bestimmten Voraussetzungen automatisierte Datenanalysen (inkl. KI und nachträglichem biometrischen Abgleich mit Internetdaten) durchführen dürfen (S. 82, Z. 2634-2637).

Um Innovationen, auch im Bereich KI und Datennutzung, zu erleichtern, ist ein Innovationsfreiheitsgesetz geplant. Es soll durch Bereichsausnahmen (z.B. UStG, Vergabe), flexiblere Projektmittelverwaltung und erleichterte Datennutzung (BDSG-Anpassungen, Forschungsdatengesetz) Bürokratie in der Forschung abbauen (S. 81, Z. 2565 ff).