Radio Bremen: KI, Cloud und Rundfunkaufsicht

Der Tätigkeitsbericht 2025 der Datenschutzbeauftragten von Radio Bremen ist weit mehr als ein formaler Rechenschaftsbericht. Er zeigt exemplarisch, wie sich Datenschutzorganisation, KI-Nutzung und Cloud-Strategien unter neuen regulatorischen Rahmenbedingungen entwickeln und welche strategischen Weichenstellungen erforderlich sind. Für Unternehmen, insbesondere im Medien-, Technologie- und Plattformumfeld, lassen sich daraus zentrale Lehren ableiten.

Neue Aufsichtsstruktur im Rundfunk: Besonderheiten mit Signalwirkung

Mit Inkrafttreten des 7. Medienänderungsstaatsvertrags wurde ein gemeinsamer Rundfunkdatenschutzbeauftragter für alle ARD-Anstalten, das ZDF und Deutschlandradio eingeführt. Dieser fungiert als zuständige Aufsichtsbehörde im Sinne des Art. 51 DSGVO. Damit wird die datenschutzrechtliche Kontrolle im journalistisch-redaktionellen Bereich nicht mehr durch die jeweiligen Landesdatenschutzbehörden, sondern durch eine rundfunkspezifische, staatsfern organisierte Aufsicht wahrgenommen.

Diese Besonderheit ist verfassungsrechtlich begründet: Die Staatsferne des öffentlich-rechtlichen Rundfunks verlangt eine eigenständige Kontrollarchitektur. Zugleich zeigt die Reform, wie stark Datenschutzaufsicht von institutionellen Rahmenbedingungen abhängt.

Für Unternehmen bedeutet das: Datenschutz ist nicht nur eine Frage materieller Pflichten, sondern auch der richtigen Einordnung in branchenspezifische Aufsichtsregime. Wer in regulierten Sektoren tätig ist, sollte Zuständigkeiten, Meldewege und behördliche Ansprechpartner frühzeitig klären – insbesondere bei komplexen Konzernstrukturen oder Verbundmodellen.

US-Cloud, CLOUD Act und digitale Souveränität

Ein zentrales Thema des Berichts ist die Nutzung von US-Cloud-Produkten. Auch wenn formale Rechtsgrundlagen für Drittlandtransfers bestehen können, bleibt das strukturelle Risiko bestehen, dass US-Behörden auf Daten zugreifen – selbst wenn diese in europäischen Rechenzentren gespeichert sind. Der US CLOUD Act wirkt extraterritorial. Hinzu kommen geopolitische Unsicherheiten, die sich auf Sicherheitslagen und Datenhoheit auswirken können.

Vor diesem Hintergrund betont der Bericht die Bedeutung digitaler Souveränität und begrüßt Initiativen zur Nutzung EU-konformer Cloud-Lösungen. Die strategische Ausrichtung auf europäische Anbieter wird nicht nur als datenschutzrechtlich sinnvoll, sondern als langfristig stabilisierend bewertet.

Für Unternehmen ist dies ein deutlicher Hinweis: Cloud-Entscheidungen sind keine rein technischen oder wirtschaftlichen Entscheidungen. Sie betreffen Compliance, IT-Sicherheit, Reputationsrisiken und langfristige Datenkontrolle. Eine belastbare Risikoanalyse sollte daher nicht nur Vertragsklauseln prüfen, sondern auch die Rechtsordnungen der Anbieter und deren staatliche Zugriffsmöglichkeiten einbeziehen. Insbesondere bei sensiblen Daten kann eine Segmentierung oder die bewusste Entscheidung für europäische Anbieter Teil einer nachhaltigen Digitalstrategie sein.

KI im redaktionellen Umfeld: Governance statt Experimentierfeld

Radio Bremen nutzt KI bereits in verschiedenen redaktionellen Kontexten, etwa für Rechtschreibprüfungen, Schlagzeilenvorschläge oder die Umwandlung von Skripten. Auch kreative Anwendungen wie die Animation historischen Bildmaterials wurden getestet. Entscheidend ist jedoch nicht der konkrete Use Case, sondern die organisatorische Einbettung: Sämtliche KI-Vorhaben werden von einem interdisziplinären KI-Board begleitet, in dem IT, Programmverantwortliche und Rechtsabteilung vertreten sind. Die Datenschutzbeauftragte ist frühzeitig eingebunden.

Diese Struktur verdeutlicht, wie KI rechtssicher implementiert werden kann. KI darf kein isoliertes IT-Projekt sein, sondern muss in eine klare Governance-Struktur eingebettet werden. Gerade wenn personenbezogene Daten verarbeitet werden oder Trainingsdaten betroffen sind, entstehen komplexe datenschutzrechtliche Fragestellungen, die eine frühzeitige Bewertung erfordern.

Hinzu kommt die Verpflichtung zur Vermittlung von KI-Kompetenz im Sinne der europäischen KI-Verordnung. Der entwickelte Grundlagenkurs bei Radio Bremen zeigt, dass Schulung und Sensibilisierung integraler Bestandteil einer KI-Strategie sein müssen. Unternehmen sollten daher nicht nur technische Implementierungen prüfen, sondern auch dokumentieren, wie sie ihre Mitarbeitenden im Umgang mit KI-Systemen schulen und Risiken, etwa durch unbedachte Eingabe sensibler Informationen, minimieren.

Externe KI-Tools: DeepSeek, ChatGPT und die Frage der Kontrolle

Besondere Aufmerksamkeit widmet der Bericht der Nutzung frei zugänglicher KI-Anwendungen wie DeepSeek oder ChatGPT. Hier werden erhebliche Datenschutz- und IT-Sicherheitsrisiken gesehen, insbesondere durch umfassende Speicherung von Eingaben, mögliche Drittlandübermittlungen und fehlende Kontrolle über Weiterverwendung oder Trainingszwecke.

Der zentrale Punkt ist die fehlende Steuerungsmöglichkeit: Sobald dienstliche oder personenbezogene Daten in externe KI-Tools eingegeben werden, verlassen sie regelmäßig den kontrollierten Verantwortungsbereich des Unternehmens. In Drittländern gilt zudem nicht das europäische Datenschutzniveau der DSGVO.

Für Unternehmen folgt daraus die Notwendigkeit klarer interner Regelungen. Eine verbindliche KI-Nutzungsrichtlinie, transparente Freigabeprozesse für neue Tools und Sensibilisierung für sogenannte „Shadow-AI“ sind unerlässlich. Technische Maßnahmen können flankierend sinnvoll sein, ersetzen aber nicht die organisatorische Klarheit.

Microsoft 365, Telemetrie und konzernweite Cloud-Strukturen

Auch die Umstellung auf Windows 11 und die Nutzung von Microsoft 365 werden im Bericht unter datenschutzrechtlichen Gesichtspunkten beleuchtet. Besonders problematisch bleiben Telemetriedaten, die standardmäßig an Microsoft übermittelt werden können. Zwar lassen sich diese Datenübermittlungen technisch reduzieren, aber nicht vollständig verhindern.

Das ARD-weite Projekt „One Tenant“, das eine gemeinsame M365-Umgebung vorsieht, wird datenschutzrechtlich eng begleitet. Ziel ist eine effizientere Zusammenarbeit, ohne die Verantwortlichkeitsstrukturen zu verwischen.

Für Unternehmensgruppen ist dies hochrelevant: Gemeinsame Cloud-Umgebungen erfordern klare Zuordnungen der Verantwortlichkeit, belastbare vertragliche Regelungen und ein konsistentes Rechte- und Rollenkonzept. Telemetriedaten sollten auf das technisch notwendige Minimum reduziert werden, und die Dokumentation der getroffenen Maßnahmen ist essenziell für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Betroffenenrechte und Identitätsprüfung im digitalen Umfeld

Der Bericht thematisiert zudem Auskunftsanfragen, die über standardisierte Plattformen geltend gemacht wurden. Hier stellte sich die Frage, ob die Identität der anfragenden Person ausreichend verifiziert werden konnte. Unter Verweis auf Art. 12 Abs. 6 DSGVO wurden zusätzliche Nachweise verlangt, um unbefugte Datenweitergaben zu verhindern.

Dies verdeutlicht ein häufig unterschätztes Risiko: Die ordnungsgemäße Bearbeitung von Betroffenenrechten verlangt nicht nur Schnelligkeit, sondern auch sorgfältige Identitätsprüfung. Unternehmen sollten entsprechende Prozesse standardisieren und dokumentieren, um sowohl Transparenz als auch Datensicherheit zu gewährleisten.

Fazit: Datenschutz und KI als strategische Führungsaufgabe

Der Tätigkeitsbericht von Radio Bremen zeigt eindrücklich, dass Datenschutz und KI kein Gegensatz sind, sondern integrale Bestandteile moderner Organisationsführung. Digitale Souveränität, klare Governance-Strukturen, frühzeitige Einbindung von Datenschutz und IT-Sicherheit sowie eine bewusste Cloud-Strategie sind zentrale Bausteine zukunftsfähiger Unternehmensführung.

Unternehmen sollten die Entwicklungen im öffentlich-rechtlichen Rundfunk nicht als Sonderfall betrachten, sondern als Indikator für regulatorische und gesellschaftliche Erwartungen. Wer KI einsetzen und gleichzeitig datenschutzkonform handeln will, benötigt mehr als einzelne Vertragsprüfungen – erforderlich ist ein ganzheitlicher Ansatz, der Technik, Recht und Organisation zusammenführt.

Als Datenschutzkanzlei begleiten wir Unternehmen bei der Entwicklung solcher Strukturen – von der KI-Governance über Drittlandtransfer-Analysen bis hin zur strategischen Cloud-Beratung. Denn nachhaltige Digitalisierung beginnt mit klarer rechtlicher Orientierung.

KI-Compliance aus einer Hand

Künstliche Intelligenz rechtssicher nutzen & entwickeln
  • KINAST KI-Beratung 
  • KINAST externer KI-Beauftragter
  • KINAST KI-Kompetenz-Schulungen
Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Im Trend

Die LDI NRW genehmigt TÜV-Nord-Kriterien für Datenschutz-Zertifizierungen nach Art. 42 DSGVO.
TÜV-Nord-Kriterien für Datenschutz-Zertifizierung genehmigt
Analysiert KI bald Gerichtsurteile?
Analysiert KI bald Gerichtsurteile?
Europas große Antwort auf digitale Risiken: der Cyber Resilience Act
Europas große Antwort auf digitale Risiken: der Cyber Resilience Act 
Der erste Entwurf des EU-Verhaltenskodex zur Kennzeichnung von Deepfakes und KI-Texten
Der erste Entwurf des EU-Verhaltenskodex zur Kennzeichnung von Deepfakes und KI-Texten