Fragen rund um KI und Justiz: Interview mit Andreas Zavadil von der Datenschutzbehörde

Business Circle: Sehr geehrter Herr Dr. Zavadil, Sie sind Abteilungsleiter in der Datenschutzbehörde und zuständig für nationale & internationale Beschwerdeverfahren sowie Verfahren betreffend Akkreditierungen, Zertifizierungen und Verhaltensregeln. Möchten Sie eingangs kurz skizzieren, wie Ihr Weg dorthin geführt hat und was Sie bewogen hat, eine starke Stimme für den Datenschutz zu sein?

Andreas Zavadil: Die Schnittstelle zwischen Recht und neuen Technologien hat mich bereits während meines Studiums begeistert. Neben den rechtlichen Rahmenbedingungen interessiere ich mich besonders dafür, wie diese Technologien grundsätzlich funktionieren. Als sich damals eine Stelle bei der Datenschutzbehörde ergab und die Einführung der DSGVO im Raum stand, war es für mich naheliegend, mich zu bewerben. Dabei wurde schnell klar: Datenschutzrecht umfasst weit mehr als „nur“ die DSGVO und das DSG. In der Praxis beschäftige ich mich mit zahlreichen Rechtsmaterien, die datenschutzrechtliche Bestimmungen enthalten. Kurz gesagt: Ein spannendes und vielseitiges Rechtsgebiet. Datenschutz hat auch eine hohe Praxisrelevanz, da der falsche Umgang mit sensiblen Daten im schlimmsten Fall existenzielle Folgen für Betroffene haben kann.

BC: Ein Blick in die Vergangenheit und Zukunft: Was waren die größten Veränderungen in den letzten fünf Jahren, insbesondere seit der DSGVO, und welche Entwicklungen könnten in den nächsten fünf Jahren auf uns zukommen?

Zavadil: Meiner Ansicht nach ist die größte Veränderung der technologische Fortschritt, der sich in den kommenden Jahren noch erheblich beschleunigen wird. Viele datenschutzrechtliche Verfahren – insbesondere die Ermittlung des Sachverhalts als Grundlage einer rechtlichen Beurteilung – sind dadurch zunehmend komplexer geworden. Gleichzeitig bestehen zahlreiche neue regulatorische Rahmenbedingungen. Übrigens, um KMU bei der Einhaltung des Datenschutzrechts zu unterstützen, arbeitet die Datenschutzbehörde derzeit gemeinsam mit den Wirtschaftskammern Österreichs an einem EU-geförderten Projekt (DSGVO4KMU). Weitere Informationen dazu sind auf der Website der Datenschutzbehörde zu finden.

BC: Künstliche Intelligenz ist der Megatrend, aber wo sehen Sie die größten Risiken bei der Nutzung von KI in der Justiz?

Zavadil: Meiner Ansicht nach gibt es bestimmte Bereiche, die nicht automatisiert werden sollten – selbst wenn dies technisch durchaus möglich wäre. Ein Beispiel dafür ist die Verhängung von Freiheitsstrafen, die niemals ohne menschliche Involvierung erfolgen darf. Gleichzeitig können Technologien die (Verfahrens-)Effizienz erheblich steigern und wertvolle Unterstützung bieten. Die zentrale Herausforderung besteht darin, eine klare Grenze zwischen reinen Assistenzsystemen und der menschlichen Entscheidungsfindung (Willensbildung) zu ziehen.

BC: Welche Rolle spielt die Datenschutzbehörde beim Einsatz von KI? Reguliert sie nur oder berät sie auch?

Zavadil: Die DSGVO bleibt durch die KI-Verordnung unberührt. Das bedeutet, dass die (DSGVO) Aufsichtsbehörden immer dann zuständig sind, wenn KI-Systeme zur Verarbeitung personenbezogener Daten eingesetzt werden. Welche zusätzlichen Aufgaben den Aufsichtsbehörden übertragen werden, entscheidet jeweils der nationale Gesetzgeber. Die Datenschutzbehörde verfolgt einen proaktiven Ansatz und stellt bereits erste Informationen auf ihrer Website bereit („Fragen und Antworten zum Thema Datenschutz und Künstliche Intelligenz“). Zudem werden auf Ebene des Europäischen Datenschutzausschusses (EDSA) Leitlinien zum Thema Datenschutz und KI erarbeitet.

BC: Wie kann ein Unternehmen sicherstellen, dass eine KI-gestützte Entscheidungsfindung DSGVO-konform bleibt?

Zavadil: Eine zentrale Vorschrift in diesem Zusammenhang ist Art. 22 DSGVO. Unternehmen, die „automatisierte Entscheidungsfindungen“ einsetzen, sollten die dort festgelegten Voraussetzungen prüfen. Der EDSA hat dazu bereits Leitlinien veröffentlicht, die Orientierung bieten. Zudem sollten sich insbesondere die Compliance- oder Rechtsabteilungen von Unternehmen mit dem Urteil des EuGH in der Rechtssache SCHUFA (C-634/21) auseinandersetzen. Der EuGH hat den Anwendungsbereich von Art. 22 DSGVO tendenziell weit ausgelegt.

Vertrauensvolle Unternehmenskultur: Jetzt erst recht wichtig

BC: Für uns als Bildungsplattform besonders wichtig: Wie können Unternehmen ihre Mitarbeiter am besten für den verantwortungsvollen Umgang mit KI und Datenschutz sensibilisieren und ihnen das relevante Know-how an die Hand geben?

Zavadil: Das kann insbesondere durch Schulungen erreicht werden. Generell sollten Mitarbeitende jedoch nicht mit Paragraphen oder komplexen juristischen Details überfordert werden. Stattdessen ist es entscheidend, die Bedeutung des Datenschutzes anhand praxisnaher und verständlicher Beispiele zu vermitteln und die grundlegenden Prinzipien klar zu machen. Ebenso wichtig ist es, eine vertrauensvolle Unternehmenskultur zu schaffen. Wenn beispielsweise bei einem „Data Breach“ immer sofort mit Kündigung gedroht wird, entsteht die Gefahr, dass Verstöße eher verschwiegen statt gemeldet werden.

BC: Abschließend: Als Vortragender auf Seminaren begleiten Sie uns bereits seit langer Zeit. Jetzt werden Sie erstmals auch auf einer großen Konferenz mit über 100 Teilnehmern sprechen – worauf freuen Sie sich am meisten?

Zavadil: Am spannendsten an Vorträgen sind die Diskussionen und die Erfahrungsberichte der Teilnehmenden. Besonders freue ich mich, wenn ich nicht bloß meine Präsentation „abarbeite“, sondern Fragen gestellt werden und der Vortrag dadurch interaktiv wird.

BC: Sehr geehrter Herr Dr. Zavadil, wir danken Ihnen für dieses Gespräch und freuen uns, Sie zur „Vienna Legal Innovation’25“ zu begrüßen.

‍