In the Age of Surveillance Capitalism
Notizen vom Privacy Symposium 2026 in Venedig
Vom 20. bis 24. April 2026 fand in Venedig zum fünften Mal das Privacy Symposium statt — eine der wichtigsten europäischen Bühnen für den Austausch zwischen Datenschutzbehörden, Wissenschaft, Wirtschaft und Aufsichtspraxis. Über 130 Vorträge, Panels und Podiumsdiskussionen drehten sich um drei große Themenblöcke: Künstliche Intelligenz, die Weiterentwicklung der Datenschutzregulierung und die Veränderung der Rolle des Datenschutzbeauftragten. Für unseren Verein war Karl Schwabel vor Ort und hat seine Eindrücke in diesem Konferenzbericht zusammengefasst. Der Text ist bewusst persönlich gehalten und erhebt keinen Anspruch auf Vollständigkeit — er ist eine Auswahl jener Stimmen und Argumente, die im Gedächtnis geblieben sind.
Früher hieß es „ohne Geld ka Musi", heute heißt es „ohne Daten keine Macht" oder, wie es der Vorsitzende der italienischen Datenschutzbehörde Agostino Ghiglia formuliert hat: „dal dataismo alla datocrazia" (vom Datenglauben zur Datokratie).
Bewegen wir uns in eine Zukunft, in der nicht das Gesetz Macht verleiht, sondern Macht durch die Herrschaft über Daten ausgeübt wird?
Privacy Symposium 2026
Das 5. Privacy Symposium in Venedig vom 20. bis 24. April 2026 hat heuer weniger große Fragezeichen hinterlassen als in den Jahren zuvor. Dafür war es in vielen Aspekten schwärzer als sonst.
Aus mehr als 130 Vorträgen, Panels und Podiumsdiskussionen die spannendsten auszuwählen und aus knapp 30 Veranstaltungen mit jeweils bis zu sieben Personen am Podium einen Text zu formen, der ein Bild des Symposiums zeichnet. Das ist eine echte Herausforderung. Inhaltlich kreiste das Symposium um drei Themenblöcke: Künstliche Intelligenz, die Weiterentwicklung der Datenschutzregulierung und die Veränderung der Rolle des Datenschutzbeauftragten (DPO).
Durch alle Diskussionen blitzte immer wieder dieselbe Frage durch: die Frage nach Legitimität. Darf jemand herrschen, nur weil er immensen Reichtum angehäuft und sich Unmengen an Daten angeeignet hat? Was können wir dagegen tun? Wie bewahren wir die Rechte und Freiheiten der Generationen nach uns?
Prof. Shoshana Zuboff von Harvard brachte es auf den Punkt: Es gibt Überwachungskapitalismus und es gibt Demokratie. Beides gleichzeitig geht nicht.
Viele Staaten haben ihre Datenschutzgesetze an der DSGVO orientiert. Das ist der positive Aspekt des Brussels Effect, „the genius of the GDPR". Beim AI Act scheint sich dieser Effekt allerdings nicht zu wiederholen. Der AI Act konzentriert sich auf Schäden und versucht, die Menschen davor zu bewahren. Auf einem Panel wurde dazu das Bild des Ikarus bemüht, nur dass die Hitze nicht mehr von der Sonne kommt, sondern das Wachs zwischen den Federn vom heißen Atem der KI geschmolzen wird.
Künstliche Intelligenz
KI-Kompetenz steht im Mittelpunkt von allem. Doch es geht nicht nur um theoretisches Wissen, sondern um dessen Umsetzung. Eine Referentin formulierte es so:
„Geschichte kann man aus einem Buch lernen. Schwimmen kann man nicht aus einem Buch lernen. Um schwimmen zu lernen, muss man ins Becken springen."
Disruptive KI: Ersetzt sie die Welt, die wir kennen?
Aktuell entscheidet die Geschwindigkeit und nicht die Qualität über Erfolg und Scheitern. Für Europa wurden mehrere Voraussetzungen genannt, um in diesem Umfeld zu bestehen: ein risikobasierter, menschenzentrierter Ansatz, mehr Geschwindigkeit und die Maxime, das Individuum nicht zu missbrauchen, um Geld zu scheffeln. Als strategische Ziele Europas wurden strategische Autonomie, Wettbewerbsfähigkeit, Schutz der Grundrechte, der Aufbau eigener Infrastruktur sowie die Rolle als Standard-Setter für vertrauenswürdige KI definiert.
Agentic AI: Wer haftet, wenn autonome KI-Systeme Fehler machen?
Ein Redner fasste das pointiert unter der Überschrift „Who is L(IA)able?" zusammen. KI ist dabei, sich vom Werkzeug, das Vorschläge macht, zum Agenten zu entwickeln, der für uns (?) handelt. Diese komplexen autonomen Systeme sind in der Lage, Einkäufe zu tätigen, Kommunikation zu versenden und im Namen von Menschen Verträge auszuführen, von Flugbuchungen über Vertragsabschlüsse bis zu Finanztransaktionen.
Hier offenbart sich ein fundamentales Problem: Während KI-Systeme zunehmend autonome Entscheidungen treffen, ist unklar, wer bei Fehlern haftet. Die Agentic AI lässt eine Frage unbeantwortet: wer ist verantwortlich?
Problemfelder sind etwa, ab wann ein Vertrag mit einer KI gültig ist, wer kontrolliert, wenn zwei KI-Agenten miteinander kommunizieren, und welche „meaningful human oversight" überhaupt noch realistisch ist. Compliance darf jedenfalls nicht zur bloßen Häkchen-Übung („checklist compliance") verkommen. Stattdessen braucht es eine risikobasierte, menschenzentrierte Kontrolle mit klarer Zuordnung von Verantwortung zwischen Entwickler, Deployer und Endnutzer.
Die EU hat zudem ein Patchwork aus Gesetzen ohne Binnenmarkt mit 27 verschiedenen Haftungsgesetzen. Es ist nicht einmal klar, ob ein durch eine Maschine geschlossener Vertrag gültig ist.
KI-Regulierung: durch den Markt (Soft Law) oder durch rechtliche Vorgaben (Binding Governance)?
Die Etablierung von Standards basiert in den USA auf Marktsignalen. Diese Standards haben entweder keine oder nur eine geringe gesetzliche Grundlage. Das führt zu technokratischer Legitimität bei gleichzeitig fehlender demokratischer Legitimität, zu einer erheblichen Herausforderung für die Governance und zu dem Grundproblem, dass Soft Law nicht durchsetzbar ist, weil es keine Kontrolle durch legitimierte Stellen gibt.
Individuum versus Gruppe: Wer schützt Gruppen?
Im Datenschutz kennen wir die Bewertung der Auswirkung auf das Individuum. KI hat jedoch nicht nur Auswirkungen auf das Individuum, sondern ebenso auf Gruppen. Mit der FRIA (Fundamental Rights Impact Assessment) ist die Auswirkung auf die Grundrechte zu prüfen. Was jedoch fehlt, ist die Definition von Gruppen im AI Act. Da sie dort nicht definiert sind, können sie auch nicht geschützt werden. Hochrisiko-KI-Systeme funktionieren damit faktisch außerhalb des aktuellen Compliance-Rahmens; auch der Omnibus-Vorschlag schließt diese Governance-Lücke nicht.
Digitale Identität und Deepfakes
Mit dem Aufstieg neuer Technologien und KI ändern sich traditionelle Konzepte von Identität und Bildrecht. Es braucht kreativere Ansätze zur Identitätsüberprüfung, um Deepfakes und KI-Bots zu bekämpfen. Die Risiken KI-generierter Inhalte, von Revenge Porn bis Hate Speech, erfordern neue rechtliche Instrumente zum Schutz von Menschen und Minderheiten. Bedeutsam bleibt der „Human in the Loop"; das Schlüsselwort ist und bleibt Transparenz.
Die Weiterentwicklung der Regulierung
Regelungen haben Kosten, bei ihrer Erstellung wie bei ihrer Anwendung. Sie haben aber auch ein Ziel: Standardisierung und damit Kostensenkung.
Omnibus: Missglückter Reformversuch oder ersehnte Vereinfachung?
Etliche Referentinnen und Referenten haben sich positiv über den Omnibus-Vorschlag der EU-Kommission geäußert, mit dem die Digital-Gesetze der EU vereinfacht werden sollen. Allerdings waren das ausnahmslos jene, die die Absicht der Reform hervorgestrichen, ohne auf den Text selbst einzugehen.
Alle anderen, also Vertreter der Datenschutzbehörden, Juristinnen, Menschenrechtsspezialisten u.s.w. haben den Vorschlag aus Datenschutzsicht inhaltlich zerrissen. Statt Klarheit gebe es Unklarheit, statt einer Stärkung der Rechte würden sie zerstört. Auch wenn es nicht wörtlich ausgesprochen wurde, drängt sich die Frage auf: Ist die Kommission hier der Datokratie auf den Leim gegangen?
Die Komplexität der Digitalregeln wird oft als Ursache für die schwache Entwicklung einer lokalen Datenwirtschaft genannt. Eine falsche Vereinfachung würde jedoch den Schutz der Grundrechte beeinträchtigen und ein fundamentales Element der EU-Werte demontieren. Es geht darum, zwischen Vereinfachung (Ausgleich von Datenschutz und wirtschaftlicher Entwicklung) und Deregulierung (systematischen Rechtsverletzungen) zu navigieren. Wahre Vereinfachung bedeutet weniger Informationslücken, nicht weniger Regeln.
Bemerkenswert: Der Omnibus greift die Rolle DPO nicht an. Macht DPO die Arbeit so gut oder stört er ohnehin nicht?
Kulturwandel?
Die vier Grundfreiheiten der Europäischen Union sind die Säulen des Binnenmarktes und garantieren den freien Verkehr von Waren, Personen, Dienstleistungen und Kapital. Jetzt versucht man, eine fünfte hinzuzufügen: die Freiheit der Innovation. Der European Innovation Act soll sektorübergreifende rechtliche Rahmenbedingungen schaffen, um Hindernisse für die Markteinführung innovativer Ideen zu beseitigen.
Das deutsche BDSG, das die Basis für die DSGVO bildete, war geprägt vom staatlichen Missbrauch personenbezogener Daten. Diese Phase von 1970 bis 1990 ging davon aus, dass personenbezogene Daten ein gefährliches Gut sind, eine „Dataphobie", die später auf private Unternehmen ausgedehnt wurde. Aktuell werden Daten hingegen als Basis für soziale Innovation gesehen. Einen Innovationsauftrag enthält die DSGVO allerdings zur Zeit nicht.
Globale Perspektive: Eine DSGVO für alle?
Die Grundlagen der DSGVO sind sehr robust und universell. Man muss die DSGVO nicht im Takt der technischen Entwicklung ändern. Doch wie Referentinnen und Referenten aus anderen Ländern und Kulturen darstellten, ist der Zugang zu Datenschutz auch kulturell unterschiedlich geprägt. In manchen Regionen sind das Melden bei der Behörde und die Rechtsdurchsetzung vor Gericht nicht etabliert. Anderswo gibt es Konzepte mit familienzentriertem Datenschutz, der auch den Stamm oder die Gruppe einschließt.
Wie es ein Vertreter einer Datenschutzbehörde formulierte: „Wir müssen vom Datenschutz zur sicheren Datennutzung." Ein anderer Vertreter forderte gar eine europäische Datenschutzbehörde für große Konzerne.
Connected Vehicles und Bystander Privacy
Vernetzte Fahrzeuge erfassen Daten weit über Fahrer und Passagiere hinaus, oft auch Informationen über Fußgänger, andere Fahrzeuge und die Umgebung. Organisationen müssen klären, wie sie mit Daten von Bystandern umgehen, die keine direkte Beziehung zum Fahrzeug haben. Einen guten Überblick über die Vernetzung des modernen Fahrzeugs gibt das Future of Privacy Forum
Der Vergleich zeigt sehr unterschiedliche Sichtweisen. In den USA gilt Datenschutz nur eingeschränkt: Kein Datenschutz in der Öffentlichkeit, kein Datenschutz am Arbeitsplatz. In der EU hingegen gilt Datenschutz fast überall, mit Transparenzpflichten nach Art. 13 DSGVO; nach EuGH-Rechtsprechung stützt sich die Videoüberwachung auf Art. 14, weil es keine direkte Beziehung zwischen Betroffenem und Verantwortlichem gibt.
Das Pay-or-Okay-Dilemma: Wer profitiert vom Datenwert?
Ist die Einwilligung wirklich eine Willensübereinstimmung, dass der Betroffene der Verarbeitung seiner Daten zustimmt oder ist sie nur die Fiktion, die Kontrolle zu behalten? Ein „Okay" ist die Unterschrift unter einen Vertrag, nicht eine Einwilligung. Das „Pay-or-Okay"-Modell war eines der am intensivsten diskutierten Themen im Spannungsfeld zwischen digitaler Wirtschaft und Grundrechten.
Was ist der Wert der Zeit, die ich brauche, um all die Datenschutzerklärungen zu lesen, die ich vor einem Consent eigentlich lesen sollte?
Hier werden Rechtsfragen aufgeworfen, die über technische Konformität hinausgehen und die Natur des Konsenses selbst berühren. Daten schaffen Wert, aber was ist der Vorteil für das Individuum? Das Modell „Pay or Okay" ist als B2B-Markt aufgebaut. Wir müssen aber weg von „Daten für Service"; Menschen müssen von der Datenquelle zu Eigentümern werden. Wenn sie nicht partizipieren, werden sie zu Datensklavinnen und Datensklaven.
Zu diesem Thema gibt es einander widersprechende Entscheidungen europäischer Datenschutzbehörden; nur der italienische Garante hat noch nicht entschieden. Lesenswerte Beiträge stammen unter anderem von der CNIL: https://www.cnil.fr/fr/acteurs-et-secteurs/banque-moyens-de-paiement
Die Veränderung der Rolle des Datenschutzbeauftragten
DPO local or global?
Organisationen, die über mehrere Jurisdiktionen hinweg tätig sind, sehen sich divergierenden rechtlichen und institutionellen Erwartungen an die DPO-Rolle gegenüber. DPOs müssen Unterschiede in Unabhängigkeit, Berichtslinien, Verantwortlichkeiten und professionellen Privilegien managen — und dabei eine kohärente Aufsicht über Grenzen hinweg gewährleisten.
DPO gestern und heute, und morgen?
Für viele DPOs reicht heute gutes Datenschutzwissen aus, garniert mit Kenntnissen der eigenen Organisation. Künftig wird das nicht mehr genügen. Einen guten DPO macht die Konvergenz unterschiedlicher Kompetenzfelder aus: Soft Skills, Prozessverständnis, solide juristische Kenntnisse, Technik- und Sicherheitsverständnis, die Bereitschaft, die Komfortzone zu verlassen, und Teamfähigkeit. Das DPO-Profil zerfällt in viele Sub-Profile, doch eine gute Grundlage braucht es immer. Ein guter DPO ist letztlich ein Team.
Soft Skills sind dabei die zentralen Werkzeuge. Die wichtigste Fähigkeit des DPO ist und bleibt die Fähigkeit zu kommunizieren und Fragen zu stellen. Man muss nicht in allen Bereichen Experte sein, sollte aber die richtigen Fragen stellen können. Der DPO braucht Sensibilität, muss präzise sprechen und als Übersetzer zwischen verschiedenen Sprachen, der juristischen, der technischen und der kommerziellen, wirken. Und er braucht Vertraute in der Organisation. Wenn er kein Vertrauen genießt, braucht er ein Spionage-Netzwerk.
Die DPO-Rolle wird zugleich erweitert: Was zuvor allein das Grundrecht auf Datenschutz betraf, hat sich durch den AI Act um das Kompetenzfeld weiterer Grundrechte erweitert. Hinzu kommt die Integration von Sicherheits- und Policy-Funktionen, und die FRIA dehnt den Auftrag des DPO auf den AI Act aus. Nur Daten schützen zu wollen, wird künftig zu wenig sein.
Der neue DPO arbeitet in vier Sektoren: Cybersecurity, Ethik, Business Opportunity und natürlich Datenschutz, und muss zusätzlich KI verstehen. Er ist Governance-Experte mit einer Spezialisierung auf Datenschutz. Durch seine Unabhängigkeit bringt der DPO Ethik in die digitale Welt; er entscheidet nicht, sondern berät. Er sollte sich zum Chef d'orchestre für alle Regelungen entwickeln, die Daten betreffen. Wesentlich ist hier das Eisberg-Prinzip: Man kann nicht steuern, was man nicht sieht.
Durch seine Kommunikationsfähigkeit sollte der DPO danach trachten, nicht als Blocker, sondern als Enabler und Influencer wahrgenommen zu werden.
Achtung! Ein Warnhinweis aus mehreren Diskussionen: Der DPO ist ein Berater. Sobald er sich zum AI Officer weiterentwickelt, gerät er unter den Druck, Dinge zu erledigen und Genehmigungen schneller zu erteilen. Diese Rollenverschiebung ist nicht ohne Risiko.
Schlusswort
Die Konferenz hat zentrale Probleme offengelegt. Europas Ambition, globale Standards für vertrauenswürdige KI zu setzen, wird durch fragmentierte Regulierung und langsame Umsetzung gebremst. Der Erfolg Europas hängt davon ab, ob die DSGVO-Reform echte Vereinfachung statt versteckter Deregulierung bringt ohne dabei die Grundrechte preiszugeben.
Und der Erfolg der DPO-Rolle bemisst sich daran, ob es ihr gelingt, sich vom Bremser zum Gestalter der digitalen Revolution zu entwickeln.
Karl Schwabel ist Vorstandsmitglied des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter (privacyofficers.at) und vertritt den Verein im internationalen Erfahrungsaustausch.
