← Zurück zur Titelseite Technologie

Wer trägt das Risiko? Stuttgarts DSFA unter der Lupe

9. Juli 2026 — — — Ada Voss, auf Sendung

Die Drähte summen, und diesmal geht es nicht um Funksprüche aus dem Reich, sondern um ein Dokument, das in den Amtsstuben einer schwäbischen Großstadt leise zirkuliert. Risikobewertung nennt es sich. Klingt trocken. Ist es nicht.

Was hier verhandelt wird, ist die Frage, wer das Sagen hat, wenn Algorithmen Daten greifen. Die Datenschutz-Folgenabschätzung, kurz DSFA, ist Teil der EU-Datenschutzgrundverordnung. Ihr Auftrag: datenschutzrechtliche Risiken bewerten und mindern. Die Methode: Identifikation der Risiken, Einschätzung der Eintrittswahrscheinlichkeit, Bewertung der Schwere möglicher Schäden, Zuordnung zu Risiko-Levels. Vier Schritte, sauber aufgereiht wie Drähte an einem Schaltbrett.

Die Stadt Stuttgart hat sich hingesetzt und geprüft — ihre eigene Nutzung sozialer Medien. Das Ergebnis: kein hohes Risiko, weil die Inhalte überwiegend ohne Personenbezug sind. Soweit die offizielle Lesart. Ich übersetze: Solange niemand markiert wird, bleibt das Risiko kalkulierbar. Eine bequeme Formel.

Doch die Plattform, auf der diese Inhalte landen, ist kein neutraler Briefkasten. TikTok bietet umfangreiche Bearbeitungswerkzeuge, die Erstellung und Teilung direkt in der App ermöglichen — und nutzt fortschrittliche Algorithmen, um personalisierte Inhalte bereitzustellen. Personalisierung heißt: Nutzerbindung. Nutzerbindung heißt: Daten, Daten, Daten. Die Stadt liefert also Inhalte; die Plattform erntet, was an Profilen vorbeistreift. Das ist das Geschäftsmodell, und es steht nicht in der Risikobewertung, weil es nicht Gegenstand der Prüfung ist. Ein schlauer Schnitt.

Verbindlich soll die Richtlinie für die DSFA sein, heißt es. Einheitlich, DSGVO-konform. Wer aber trägt die Verantwortung für die Durchführung? Die verantwortliche Person des Verarbeitungsprozesses. Nicht delegierbar. Das klingt nach klarer Zuständigkeit, doch es wirft die Frage auf: Wenn am Ende ein Sachbearbeiter die Risiko-Level zuweist, wessen Risiko wird da eigentlich bewertet — das der Bürger, das der Stadt oder das der Plattform?

Die DSFA ist Zulässigkeitsprüfung und Risikoanalyse zugleich. Sie soll notwendige Schutzmaßnahmen ableiten. Was sie nicht kann: die Architektur ändern, in der die Daten fließen. Stuttgart kann seine Beiträge kontrollieren — TikToks Algorithmus nicht.

Unklar bleibt, wer in der Verwaltung tatsächlich die Fäden zieht, wenn die eigene Risikoabschätzung der städtischen Nutzung die Plattform-Mechanik ausblendet. Die Folgenabschätzung bewertet, was in der Hand liegt. Was außerhalb liegt, bleibt unsichtbar.

Mein Büro riecht heute weniger nach Lötzinn als nach Aktenstaub. Die Frequenz ist dieselbe: jemand spricht, und alle hören weg.

✦ Ende des Artikels ✦
← Zurück zur Titelseite