don’t panic – Datenschutz

Neuaufstellung des behördlichen Datenschutzes und neue Aufgaben für den stellvertretenden behördlichen Datenschutzbeauftragten

Aufgrund der Sparmaßnahmen des Senats wurde das Team Datenschutz 2025 auf mich reduziert, die bisherige zweite Stelle konnte nicht neu besetzt werden.

Das Präsidium hat daraufhin im August 2025 eine Neuaufstellung des behördlichen Datenschutzes an der TU Berlin beschlossen, die eine externe Vergabe beeinhaltete.

Eine Beauftragung der Kanzlei Kinast ist im Januar 2026 erfolgt und seit Februar wird der behördliche Datenschutz an der TU Berlin durch diese wahrgenommen.

Der interne stellvertretende behördliche Datenschutzbeauftragte Dr. Mattis Neiling übernimmt seitdem Aufgaben mit strategischem Fokus, u.a.

Entwicklung eines tragfähigen praxisnahen Konzepts zur zukünftigen Schnittstelle zwischen Datenschutz und Informationssicherheit
Digitalisierung der Gremienarbeit und
Einführung digitaler Wahlverfahren an der TU Berlin

Ich bin weiterhin bei K3 angesiedelt, dem Referat für Angelegenheiten der Akademischen Selbstverwaltung der TU Berlin. Das neue Stellenzeichen lautet K3 – Digitalisierung.

Empfehlungen für eine Schnittstelle zwischen Datenschutz und Informationssicherheit an Hochschulen

Aus historischen Gründen sind Datenschutzbeauftragte (DSBs) häufig in der Hochschulverwaltung und Informationssicherheitsbeauftragte (ISBs) bzw. Chief Information Security Officer (CISO) bei der Hochschulleitung oder im Hochschulrechenzentrum angesiedelt.

Ihre Aufgaben sind dabei nicht zwangsläufig aufeinander abgestimmt und häufig nicht in effiziente Governance-Strukturen eingebettet. Erfahrungen zeigen, dass dadurch Friktionen entstehen können und Digitalisierungsprozesse mit Reibungsverlusten zu kämpfen haben.

In diesem Beitrag wird ein Brückenschlag zwischen Datenschutz und Informationssicherheit versucht, indem zentrale Schnittstellenprozesse identifiziert, ein lösungsorientiertes Vorgehen empfohlen und ein geeignetes Governancemodell vorgeschlagen wird.

Vor dem Hintergrund beschränkter personeller Kapazitäten sollte ein gemeinsames Vorgehen bei der Umsetzung der -häufig sehr bürokratischen- Compliance-Anforderungen konzipiert werden – auch um die aktive Mitwirkung der Beschäftigten in den zentralen und dezentralen Bereichen der Hochschule zu fördern.

„Empfehlungen für eine Schnittstelle zwischen Datenschutz und Informationssicherheit an Hochschulen“ weiterlesen

Entscheidungsunterstützung im Lichte der KI-Verordnung. Wie können die Grundrechte gewahrt werden?

Entscheidungen basieren zunehmend auf KI-Systemen. Auch wenn letztlich ein Mensch entscheidet, die Systeme unterstützen nicht nur.
In der Praxis prägen sie Entscheidungen über Betroffene vor.

Anhand konkreter Beispiele wird die Bandbreite diskutiert. Sie reicht von Plagiatserkennung über medizinische Diagnostik und E-Recruiting bis hin zu Videoüberwachung und polizeilichen Informationssystemen wie Palantir. Die Frage ist, wie ihr Einfluss im Entscheidungsprozess rechtlich bewertet wird.

Für Hochrisiko-KI enthält die KI-Verordnung spezifische Vorgaben. Andere Entscheidungsunterstützungssysteme fallen jedoch nicht darunter. In diesen Fällen greifen allgemeinere Normen. Maßgeblich sind die EU-Grundrechtecharta und das Grundgesetz sowie das Datenschutz-, Arbeits- und Betriebsverfassungsrecht sowie weitere gesetzliche Regelungen zu Transparenz, Fairness und zur Verhinderung von Diskriminierung.

Der Vortrag zeigt exemplarisch auf, dass KI-basierte Entscheidungsunterstützung grundrechtskonform und rechtssicher gestaltet werden kann.

Vortrag des Datenschutzbeauftragten Dr. Mattis Neiling auf den BvD-Verbandstagen vom 5.-6. Mai in Berlin

Hinweis: Die Vortragsfolien werden im Nachgang an dieser Stelle bereitgestellt.

Fragen und Antworten zum Netzwerk Hochschuldatenschutz

„Datenschützer*innen sind häufig genug als Einzelkämpfer*innen unterwegs“

Dr. Mattis Neiling
Gründer des Netzwerks Hochschuldatenschutz

Sie haben im Juni 2025 das „deutschlandweite Netzwerk Hochschuldatenschutz“ gegründet – Wer organisiert sich darin?

Im Netzwerk finden Beschäftigte öffentlicher Hochschulen zusammen, die sich tagtäglich mit den Herausforderungen des Datenschutzes auseinandersetzen und zwar sowohl behördliche Datenschutzbeauftragte als auch Datenschutzkoordinator*innen.

Welche Motivation gab es zu Beginn und welche Lücken sollten damit geschlossen werden?

Die Idee, das Netzwerk zu gründen, entstand für mich aus meiner eigenen Arbeit heraus. Mir war schon immer die Vernetzung wichtig – Konferenzen besuchen, Vorträge hören, Kolleginnen und Kollegen kennenlernen. Dabei habe ich regelmäßig Hochschuldatenschützer*innen getroffen, die mir von ihren Problemen erzählt haben.

„Fragen und Antworten zum Netzwerk Hochschuldatenschutz“ weiterlesen

Palantir – das Betriebssystem des Überwachungsstaats

Werkzeuge wie Palantir ermöglichen eine bislang beispiellose Integration und Auswertung riesiger, heterogener Datenmengen in Echtzeit.

Spätestens seit den Enthüllungen von Edward Snowden im Jahr 2013 ist bekannt, welches Ausmaß staatliche Datensammlungen annehmen können. Damals sprach man vom „permanent record“ – der dauerhaften Speicherung von Informationen über Menschen bei den US-amerikanischen Sicherheitsbehörden.

Was damals noch wie eine dystopische Vision wirkte, ist heute technische Realität: Dank flächendeckender Vernetzung, enormer Speicher- und Rechenleistung ist aus dem permanenten Datensatz ein permanenter Datenstrom geworden, der

„permanent data stream“

Massenüberwachung findet automatisiert und in Echtzeit statt.

Der Beitrag beleuchtet zunächst die Systematik von Datenintegration und Echtzeitverarbeitung und zeigt, wie solche Systeme zur Entscheidungsunterstützung eingesetzt werden. Anschließend werden rechtliche, ethische und demokratietheoretische Fragen diskutiert. Angesprcohen werden grundlegende Probleme automatisierter Entscheidungssysteme wie Automation Bias, algorithmische Diskriminierung und Chilling Effects.

Wissen über Menschen wird dabei zur Ressource staatlicher Macht – mit tiefgreifenden Folgen für Transparenz, individuelle Freiheit und Selbstbestimmung.

Zwar kann anlasslose Massenüberwachung punktuell zur Erhöhung der Sicherheit beitragen, da sie das staatliche Gewaltmonopol stärkt. Die damit verbundene gesellschaftliche Transformation ist jedoch mit Menschenrechten und demokratischen Grundprinzipien unvereinbar.

In einem Überwachungsstaat sind Meinungsfreiheit, Pressefreiheit und demokratische Teilhabe nicht möglich.

„Palantir – das Betriebssystem des Überwachungsstaats“ weiterlesen

Automatisierte Entscheidungsfindungen und ihre datenschutzrechtlichen Grenzen

Eingeladener Vortrag von Dr. Mattis Neiling auf der 12. DFN-Konferenz Datenschutz, Hamburg, 9.-10. Dezember 2025.

AKTUELL

Wer nicht dabei sein konnte!

Den Vortrag halte ich als kostenloses Webinar bei Datenschutz am Mittag der Stiftung Datenschutz am 10. Febr. 2026, 13:00 Uhr:

stiftungdatenschutz.org/veranstaltungen/unsere-veranstaltungen-detailansicht/datenschutzrechtliche-aspekte-automatisierter-entscheidungsfindungen-669

Eine Anmeldung ist erforderlich. Der Vortrag wird aufgezeichnet und ist danach online abrufbar.

Vortragsfolien des Webinars vom 10. Febr. 2026 (komprimiertes PDF, 5 MB)

Weitere Informationen

Vortragsfolien Hamburg: M. Neiling: Automatisierte Entscheidungsfindungen und ihre datenschutzrechtlichen Grenzen, 12. DFN-Konferenz Datenschutz, Hamburg, 9.-10. Dezember 2025 (pdf, 40MB)
Dr. Mattis Neiling: Automatische Entscheidungsfindung an Hochschulen, erschienen in BvD-News 2/25, http://bvdnet.de/de/bvd-news/
Blogbeitrag zum Vortrag auf der BvD-Konferenz im Mai 2025: Automatische Entscheidungsfindung und ein Prüfschema entsprechend Art. 22 DSGVO

Download des Prüfschemas

Word-Template „Prüfschema für automatische Entscheidungsfindungen nach Art. 22 DSGVO“ (.docx)

ChatGPT und das Hamburger Arbeitsgerichtsurteil

Worum geht es?

Eine Beteiligung des Betriebsrats ist bei der dienstlichen Nutzung privater ChatGPT-Accounts nicht erforderlich.

so die Entscheidung 24 BVGa 1/24 des Hamburger Arbeitsgerichts.

Das beklagte Unternehmen erlaubte, dass Beschäftigte private ChatGPT-Accounts über den Browser ihrer Dienstgeräte nutzen durften und zwar unabhängig davon, ob ihnen dadurch Kosten entstehen.

Können „frei verfügbare KI-Tools“ also dienstlich über den Browser genutzt werden?

Nein, das Urteil ist kein Freibrief für die dienstliche Nutzung im Internet verfügbarer Tools.

„ChatGPT und das Hamburger Arbeitsgerichtsurteil“ weiterlesen

The Kill Switch – a risky shutdown mechanism

Many IT systems and smart devices (IoT) have an emergency stop button or “kill switch” that lets them be shut down, sometimes even remotely.

Is this really a problem?

A kill switch can be useful, but it is also a security risk. If outsiders gain access, they could misuse it for blackmail or sabotage.
„The Kill Switch – a risky shutdown mechanism“ weiterlesen

Der Kill-Switch, eine unzulässige Abschalteinrichtung?

Viele IT-Systeme und vernetzte Geräte (im Internet der Dinge/Internet of Things „IoT“) verfügen über eine Not-Aus-Funktion, über die diese abgeschaltet werden können.

Häufig kann eine Abschaltung aus der Ferne erfolgen.

Kill-Switches sind potentielle Sicherheitslücken!

„Der Kill-Switch, eine unzulässige Abschalteinrichtung?“ weiterlesen

Neuaufstellung des Datenschutzes an der TU Berlin

Seit Mai 2025 besteht das Team Datenschutz nur noch aus einer Person. Wir bitten um Verständnis für die temporäre Einschränkung der Arbeitsfähigkeit.

Das Präsidium hat eine Neuaufstellung des Datenschutzes an der TU Berlin beschlossen.
Es erfolgt eine externe Vergabe des behördlichen Datenschutzes, da aufgrund der Sparvorgaben des Senats die bisherige Stelle nicht neu besetzt werden kann.

Dr. Mattis Neiling ist weiterhin stellvertretender behördlicher Datenschutzbeauftragter der TU Berlin.

Zur Information: Frau Hiller hat das Präsidium im Mai darum gebeten, von ihren Aufgaben als behördliche Datenschutzbeauftragte entpflichtet zu werden und steht nicht mehr für Datenschutzfragen zu Verfügung.