Wie in den letzten Tagen bekannt wurde, hat die EU-Kommission insgeheim eine potenziell massive Reform der DSGVO gestartet. Sollten die geleakten internen Entwürfe tatsächlich umgesetzt werden, hätte dies erhebliche Auswirkungen auf das Grundrecht der Menschen auf Privatsphäre und Datenschutz. Die Reform wurde an den sogenannten "Digital Omnibus" angehängt, der eigentlich nur gezielte Anpassungen bringen sollte, um die Einhaltung der Vorschriften für Unternehmen zu vereinfachen. Nun schlägt die Kommission jedoch Änderungen an Kernelementen wie der Definition des Begriffs "personenbezogene Daten" und allen Betroffenenrechten vor. Weiters sollen laut dem Entwurf KI-Unternehmen (wie Google, Meta oder OpenAI) einen Freibrief erhalten, um die personenbezogenen Daten der Europäer:innen aufzusaugen. Darüber hinaus würde der besondere Schutz sensibler Daten wie Gesundheitsdaten, politischer Ansichten oder sexuellen Orientierung erheblich eingeschränkt. Auch der Fernzugriff auf persönliche Daten auf PCs oder Smartphones ohne Zustimmung der Betroffenen könnte ermöglicht werden. Viele Elemente der vorgeschlagenen Reform verstoßen eindeutig gegen die Rechtsprechung des EuGH, europäische Konventionen und die Europäische Charta der Grundrechte. Ob dieser extreme Entwurf die offizielle Position der Europäischen Kommission wird, wird sich erst am 19. November zeigen, wenn der "Digital Omnibus" offiziell vorgestellt wird. Schrems: "Das wäre der extremste Angriff auf die Privatsphäre der Europäer:innen seit in Krafttreten der DSGVO."
- Übersichtstabelle des Entwurfs & Kommentare von noyb
- Durchgesickerte Positionen der Mitgliedstaaten (fordern weitgehend keine Reformen)
- Durchgesickerte Postion von Deutschland (fordert eine massive Reform, aber weitgehend nicht jetzt)
- Ursprüngliches Textleck (über Netzpolitik.org)
- Originalbericht von MLex (kostenpflichtig), Bericht von Reuters und Bericht von Netzpolitik.org
Heimlicher Angriff auf die DSGVO. Die Europäische Kommission plant die Vereinfachung mehrerer EU-Gesetze durch eine so genannte "Omnibus"-Reform, die verschiedene kleinere Elemente mehrerer Gesetze in einem abändert, um die Qualität der Gesetze zu verbessern und den Aufwand für Unternehmen zu vereinfachen. Im Gegensatz zur traditionellen Vorgehensweise bei der Rechtsetzung wird die Omnibus-Reform in einem Schnellverfahren durchgeführt, bei dem mehrere Elemente des Prozesses übersprungen werden, z.B. die Folgenabschätzungen und auch weniger Zeit für Rückmeldungen durch die juristischen Dienste und die zuständigen Stellen in den EU-Institutionen gegeben ist. Dies ist akzeptabel, wenn nur unstrittige, einfache Verbesserungen vorgenommen werden.
Wie jedoch bekannt wurde, arbeitet die Kommissions-Dienststellen unter Vizepräsidentin Henna Virkkunen (die so genannte"GD CONNECT") an einer massiven Reform der DSGVO unter dem Deckmantel angeblicher "Vereinfachungen" oder "Klarstellungen".
Max Schrems:"Der Entwurf ist nicht nur extrem, sondern auch sehr schlecht formuliert. Er hilft nicht, wie versprochen, 'kleinen Unternehmen', sondern kommt wieder einmal hauptsächlich 'Big Tech' zugute."
Der ursprüngliche Plan der Kommission war es, im Jahr 2026 einen sogenannten "Digitalen Fitness-Check" durchzuführen, die notwendigen Beweise zu sammeln und dann eine gezielte und gut ausgearbeitete Aktualisierung der DSGVO und anderer digitaler Gesetze vorzunehmen.
Erfüllt die EU deutsche oder amerikanische Forderungen? Sowohl die Interessengruppen als auch die Mitgliedstaaten haben ausdrücklich darum gebeten, die DSGVO nicht wieder zu öffnen. In einer Zusammenfassung der Standpunkte der Mitgliedstaaten sagen fast alle Mitgliedstaaten, die sich geäußert haben, dass sie keine Änderungen wünschen. Deutschland drängte jedoch auf erhebliche Änderungen an der DSGVO, die über das ursprüngliche Mandat dieses Gesetzes hinausgehen. Es scheint, dass die Kommission einfach auf ein deutsches Arbeitspapier aufgesprungen ist, das letzte Woche durchgesickert ist: viele Änderungen im Gesetzesentwurf scheinen eine 1:1-Kopie der Forderungen im durchgesickerten deutschen Brief zu sein. Deutschland hat keine Beweise für die Notwendigkeit dieser Reformen vorgelegt - es ist unklar, woher diese Forderungen stammen. Andere Stimmen verweisen auf einen kürzlich erschienenen Bericht von Politico, wonach Virkkunens US-Unternehmen in direkten Gesprächen versicherte, dass die EU ihre Regeln überarbeiten und wirtschaftsfreundlicher wird.
Max Schrems:"Es ist unklar, woher der politische Druck kommt. Die meisten Mitgliedstaaten haben nur geringfügige Änderungen und keine Wiedereröffnung gefordert. Deutschland hat traditionell eine extrem Anti-DSGVO-Position in Europa eingenommen. Es scheint einfacher zu sein, ein EU-Gesetz für die deutschen Probleme mit der Digitalisierung verantwortlich zu machen, als die Dinge auf nationaler Ebene zu regeln. Es überrascht uns nicht, dass dieser jüngste Vorstoß wieder aus Deutschland kommt. Es gibt Berichte, dass auch der Druck aus den USA eine Rolle spielt."
Nach der Lektüre des ersten internen Entwurfs ist klar, dass der potenzielle Schaden für die DSGVO riesig wäre (Details siehe unten). Große Teile des Entwurfs verstoßen gegen europäische Konventionen, die Charta der Grundrechte oder die ständige Rechtsprechung des Gerichtshofs. Ob das beabsichtig ist oder der knappen Zeit geschuldet ist, die in in diesen Entwurf investiert wurde, ist unklar. Brüsseler Insider berichteten, dass bestimmte Referate nur fünf (!) Arbeitstage Zeit hatten, um einen über 180-seitigen Gesetzesentwurf zu kommentieren.
Max Schrems: "Ein Teil der EU-Kommission scheint alle anderen in Brüssel überrennen zu wollen. Sie scheinen alle Regeln der Gesetzgebung zu missachten, mit potenziell schrecklichen Folgen. Es ist besorgniserregend, wie sich Trump'sche Gesetzgebungspraktiken in Brüssel durchzusetzen scheinen."
Tunnelblick auf das "KI-Rennen"? Während es mehrere gute Möglichkeiten gibt, die DSGVO zu verbessern und zu vereinfachen, scheinen die vorgeschlagenen Änderungen einen "Tunnelblick" auf das Trainung und den Einsatz von KI zu haben - und dafür auch die Verwendung von personenbezogene Daten erlauben. In einer kürzlich durchgeführten Studie wollen jedoch nur 7 % der Deutschen, dass Meta ihre persönlichen Daten zum Training von KI verwendet. Nichtsdestotrotz zielt die Reform auf jedes Element der DSGVO ab, das die KI-Nutzung einschränken könnte.
Max Schrems: "Bei diesem Vorschlag wird übersehen, dass die meisten Datenverarbeitungen nicht auf KI basieren. Eine Änderung, die KI "befreien" würde, hätte massive unbeabsichtigte Folgen für viele andere Bereiche der DSGVO. Auch der Schutz von Gesundheitsdaten, Minderheiten oder Arbeitnehmer:innen wäre durch diesen Entwurf vorbei. Große Teile der Online-Werbebranche könnten aufgrund der vorgeschlagenen Änderungen ihre Pflichten nach der DSGVO umgehen."
Tod durch 1000 Schnitte. Viele Änderungen klingen sehr technisch, dahinter verbergen sich jedoch die Rechte von Menschen. Die Änderungen reichen von der Einschränkung davon, was überhaupt als "personenbezogene Daten" gilt und somit geschützt ist, bis hin zur Einschränkung des "Auskunftsrechts", so dass Betroffene keinen Zugang mehr zu ihren eigenen Daten haben. Die Änderungen ermöglichen auch, dass Unternehmen leichter Daten von Smartphones, PCs oder verbundenen Geräten abrufen können. Weiters wird es Unternehmen weitgehend ermöglicht, personenbezogene Daten von Europäer:innen für (kommerzielles) KI-Training zu verwenden. Während Unternehmen oft argumentieren, dass die DSGVO eine "Belastung" sei, zeigt die Realität, dass nicht einmal 1,3 % aller DSGVO-Beschwerden zu einer Geldstrafe führen. In Irland wurden bisher nur 0,6 % der Bußgelder gezahlt.
Max Schrems:"Der Entwurf würde viele kleine Löcher in das Gesetz schneiden, was es insgesamt für die meisten Fälle unbrauchbar machen würde. Wir sehen schon jetzt fast keine Durchsetzung der EU-Datenschutzgesetze, mit diesen Änderungen würden wir die meisten Fälle, die wir derzeit gewinnen, wahrscheinlich verlieren oder mit noch komplexeren Verfahren konfrontiert."
Kein großer Nutzen für KMU und EU-Unternehmen. Der offizielle Grund für die "Klarstellungen" und "Vereinfachungen" durch den Omnibus war, den Verwaltungsaufwand für kleine und mittlere Unternehmen (KMU) in der EU zu verringern. noyb unterstützt dieses Ziel voll und ganz. Die vorgeschlagenen Änderungen betreffen jedoch hauptsächlich Unternehmen, die sich mit KI-Training befassen - also Unternehmen, die mittlerweile Billionen wert sind (wie OpenAI, Google, Meta, Amazon oder Microsoft). Es gibt zwar einige Klarstellungen, die KMUs zugute kommen könnten, wie z.B. wann sogenannte "Datenschutz-Folgenabschätzungen" durchgeführt werden müssen. Diese werden jedoch keine größeren Auswirkungen auf die europäische Wettbewerbsfähigkeit haben.
Max Schrems:"Wenn dieser Entwurf endgültig ist, dann ist jedes Gerede über 'kleine Unternehmen' und 'Verwaltungsaufwand' eindeutig nur ein Nebenschauplatz, um öffentliche Unterstützung zu erhalten. Im Kern handelt es sich um einen massiven Deregulierungsversuch, der 40 Jahre europäische Grundrechtsdoktrin über den Haufen wirft."
Dringende Forderung nach Stopp und ordentlicher Gesetzgebung. Dieser Vorschlag ist höchst problematisch ist, steigert die Rechtsunsicherheit und viele Änderungen könnten möglicherweise vom Europäischen Gerichtshof aufgehoben werden. Daher ist es fraglich, ob dieser übereilte Ansatz irgendjemandem hilft - seien es KMU, Datenschutzbehörden oder Betroffenen. Erste Hinweise aus dem Europäischen Parlament zeigen auch, dass weitreichende Änderungen den "Omnibus" im Parlament aufhalten könnten. Da die Kommission andere Elemente des Digital Omnibus so schnell wie möglich verabschieden möchte, sehen wir keine andere Möglichkeit, als die meisten Änderungen an der DSGVO aus dem Entwurf zu streichen.
Max Schrems: "Ein schlecht ausgearbeiteter Schnellschuss in einem hochkomplexen und sensiblen Bereich wird nicht nur den Nutzer:innen schaden, sondern auch den EU-Unternehmen nicht helfen. Es ist auch fraglich, ob der Omnibus in dieser Form schnell durch das Europäische Parlament und den Rat gehen kann. Die Kommission hat noch eine Woche Zeit, für die endgültige Fassung."
Überblick über die Änderungen
Der Entwurf des Digital Omnibus schlägt unzählige Änderungen an vielen verschiedenen Artikeln der DSGVO vor. In der Kombination kommt dies einem "Tod durch 1000 Schnitte" gleich. Wir haben einen Überblick über die wichtigsten Änderungen erstellt. Die detaillierteste rechtliche Analyse finden Sie hier. Alle unten aufgeführten Änderungen basieren auf unseren besten Bemühungen, die internen Entwürfe der Kommission zu verstehen. Einige Elemente im Entwurfstext sind unklar und widersprüchlich, sodass die wahre Bedeutung und Intention der Texte nicht immer klar ist.
(1) Ein neues DSGVO-Schlupfloch durch "Pseudonyme" oder "IDs"? Offenbar plant die Kommission, die Definition von personenbezogenen Daten erheblich einzuschränken, wodurch die DSGVO in vielen Fällen nicht mehr anwendbar wäre. Es ist geplant, einen "subjektiven Ansatz" in den Text der DSGVO aufzunehmen. Wenn ein bestimmtes Unternehmen eine Person nicht identifizieren kann, wären die Daten für dieses Unternehmen nicht "personenbezogen" - und die DSGVO würde nicht mehr gelten.
Darüber hinaus verweist der Entwurf auf Tools zur Identifizierung, die wahrscheinlich von jedem Unternehmen genutzt werden. Dies würde weitere Untersuchungen über interne Abläufe und Prognosen über die zukünftigen Handlungen eines bestimmten Unternehmens erfordern, um herauszufinden, ob eine Person noch ihre Rechte gemäß der DSGVO hat. In der Praxis macht dies die DSGVO kaum noch durchsetzbar und würde zu endlosen Debatten und Auseinandersetzungen über die wahren Absichten und Pläne eines Unternehmens führen.
Der Entwurf kann so gelesen werden, dass Techniken zum "Herausfiltern" einer Person nicht mehr unter das Gesetz fallen. Stattdessen deutet die Formulierung des Entwurfs auf eine generelle Ausnahme von der DSGVO hin, wenn anstelle von Namen nur "Pseudonyme" (wie "user12473" oder die Daten aus einem Tracking-Cookie) verwendet werden. Dies würde bedeuten, dass ganze Industriezweige, die mit Pseudonymen" oder zufälligen ID-Nummern arbeiten, nicht mehr (vollständig) von der DSGVO abgedeckt wären. Dies könnte für fast alle Bereiche des Online-Trackings, der Online-Werbung und die meisten Datenbroker gelten.
Diese Änderung würde auch massiv von der Auslegung des Europäischen Gerichtshofs (EuGH) abweichen. Seit mehr als 20 Jahren gibt es eine umfangreiche Rechtsprechung, die ein weites Verständnis des Begriffs "personenbezogene Daten" unterstützt.
Da der Begriff "personenbezogene Daten" aus Artikel 8 der Charta stammt, könnte eine so tiefgreifende Änderung der Prüfung durch den EuGH nicht standhalten.
(2) Recht auf Auskunft, Löschung oder Berichtigung erhalten "Zweckbindung". Eine massive Änderung (auf deutsche Forderung hin) besteht darin, die Nutzung der Rechte der Betroffenen (wie Auskunft, Berichtigung oder Löschung) auf "Datenschutzzwecke" zu beschränken. Im Umkehrschluss bedeutet dies, dass z.B. ein Arbeitgeber einen Antrag auf Auskunft als "missbräuchlich" ablehnen könnte, wenn ein Arbeitnehmer diesen im Rahmen eines Arbeitskonflikts über unbezahlte Arbeitsstunden stellt - zum Beispiel, um einen Nachweis über die geleisteten Arbeitsstunden zu erhalten. Das Gleiche würde für Journalist:innen oder Forschende gelten.
Dies könnte sogar noch weiter gehen: Wenn eine Person die Löschung falscher Bonitätsdaten verlangt, um bei der Bank einen günstigeren Kredit zu erhalten, darf ein solches "Recht auf Berichtigung" falscher Finanzinformationen nicht nur aus "Datenschutzgründen", sondern auch aus wirtschaftlichem Interesse ausgeübt werden. Selbst Fälle wie das "Recht auf Vergessenwerden" können nicht als "Datenschutzinteresse" angesehen werden, wenn eine Person die Löschung ihrer Daten aus geschäftlichen Interesse verlangt.
Dieser Gedanke ist ein klarer Verstoß gegen die Rechtsprechung des EuGH und Artikel 8 Absatz 2 der Charta. Das Recht auf informationelle Selbstbestimmung ist ausdrücklich dazu gedacht, das Informationsgefälle zwischen den Betroffenen und den Unternehmen, die über die Informationen verfügen, auszugleichen, da immer mehr Informationen auf Unternehmensservern versteckt werden. Der EuGH hat mehrfach entschieden, dass diese Rechte zu jedem Zweck ausgeübt werden können - auch für Rechtsstreitigkeiten oder die Erstellung von Beweisen.
Die DSGVO enthält bereits Beschränkungen für die "missbräuchliche" Nutzung von Rechten (z. B. die Verweigerung des Zugangs zu Daten oder die Zahlung einer Bearbeitungsgebühr). Die Kommission will nun auch die Gründe für die Ausübung dieser Rechte einschränken.
(3) Google, Meta und OpenAI können nun KI mit Ihren Daten trainieren. Der Kommissionsentwurf sieht auch Änderungen an Artikel 6(1) und 9(2) DSGVO vor, um die Verarbeitung personenbezogener Daten für KI zu ermöglichen. Das bedeutet, dass eine Hochrisikotechnologie, die mit den persönlichsten Gedanken und sensiblen Daten der Menschen gespeist wird, im Rahmen der DSGVO ein generelles "OK" erhält. Gleichzeitig bleibt jede herkömmliche Datenbank oder Überwachungskamera streng reguliert.
Der Kommissionsentwurf unterstreicht die Notwendigkeit der "Datenminimierung" (ein Grundsatz, der ohnehin schon gemäß Artikel 5 (1)(b) DSGVO gilt) und verlangt, dass nicht näher definierte "Schutzmaßnahmen" ergriffen werden. Es gibt jedoch keine technischen Maßstäbe oder Standards für solche "Garantien". Der einzige spezifische angebliche Schutz ist ein "Widerspruchsrecht". Dieses wird jedoch in den meisten Fällen scheitern:
- Es würde bedeuten, dass die Betroffenen erst darüber informiert werden müssten, dass ihre Daten tatsächlich für das KI-Training verwendet werden, was weitgehend unmöglich ist. Unternehmen wie OpenAI haben keine Ahnung, welche persönlichen Daten wem gehören, geschweige denn, welche Kontaktdaten diese Personen haben. Die Menschen werden daher nie erfahren, dass ihre persönlichen Daten überhaupt verwendet werden.
- Wenn die Menschen es dennoch herausfinden, müssten sie ständig bei all diesen Unternehmen Widerspruch einlegen. Das bedeutet, dass man Hunderte Unternehmen ausfindig machen und einzlene Formulare ausfüllen muss.
- Schließlich müssten der Widerspruch und die entsprechenden Daten "abgeglichen" werden, obwohl die Nutzer:innen nicht wissen, ob ihre Daten überhaupt verwendet werden - und wenn ja, welche Daten. Das Unternehmen wiederum wird in den meisten Fällen nicht in der Lage sein, einen Widerspruch auszuführen, wenn das gesamte Internet gescannt wird.
Unterm Strich: Google, Meta, Microsoft oder OpenAI können weiterhin Billionen (!) mit Daten verdienen, die von europäischen Unternehmen, Künstler:innen oder Privatpersonen generiert wurden, während sie vom europäischen Gesetzgeber einen "Freifahrtschein" erhalten.
(4) Bekommt der Betrieb von KI-Systemen eine "DSGVO Wildcard"? Die Änderungen an Artikel 6(1) und 9(2) DSGVO gehen sogar noch weiter als erwartet. Nicht nur die Entwicklung von KI-Systemen soll privilegiert werden, sondern auch der Betrieb. Der Begriff "Betrieb" ist nicht definiert, wird aber wahrscheinlich jede Art von Datenverarbeitung umfassen.
Dies würde zu einer grotesken Situation führen: Wenn personenbezogene Daten über eine herkömmliche Datenbank, eine Excel-Tabelle oder eine Software verarbeitet werden, muss ein Unternehmen eine Rechtsgrundlage gemäß Artikel 6(1) DSGVO finden. Erfolgt die gleiche Verarbeitung jedoch über ein KI-System, kann sie als "berechtigtes Interesse" gemäß Artikel 6(1)(f) DSGVO gelten. Dies würde eine (riskante) Technologie gegenüber allen anderen Formen der Datenverarbeitung privilegieren und dem "technologieneutralen" Ansatz der DSGVO zuwiderlaufen.
(5) Sensible Daten nur geschützt, wenn sie "direkt offengelegt" werden? Artikel 9 DSGVO schützt speziell "sensible" Daten über die Gesundheit, die politischen Überzeugungen, das Sexualleben, die sexuelle Ausrichtung oder die Gewerkschaftszugehörigkeit von Personen. Bislang hat der EuGH entschieden, dass solche Informationen auch dann geschützt sind, wenn sie nur aus anderen Informationen abgeleitet werden können. Die Kommission will in ihrem Entwurden den Schutz von Artikel 9 nur dann gewähren, wenn solche sensiblen Informationen "direkt offenbart" werden.
Personen, die "direkt offenbaren", dass sie schwanger, krebskrank oder homosexuell sind, benötigen diesen Schutz jedoch in der Regel weniger als Personen, über die solche sensiblen Informationen nur aus anderen Informationen "abgeleitet" werden können. Ein klassisches Beispiel hierfür sind Arbeitgeber, die mithilfe von "Big Data" darauf schließen, dass eine Frau schwanger ist - um diese Person dann schnell zu entlassen, um Sozialabgaben und Ähnliches zu vermeiden. Im Moment würde dies unter Artikel 9 DSGVO fallen. In Zukunft würde es auf den Schutz nach Artikel 6 DSGVO reduziert werden - während eine Person, die ihre Schwangerschaft öffentlich bekannt gibt, unter Artikel 9 DSGVO fallen würde.
Aus der Sicht des Einzelnen macht eine solche Einschränkung keinen Sinn, aber die Kommission scheint sich vor allem um Unternehmen zu kümmern, die solche Daten für das KI-Training nutzen wollen. Es ist einfacher, nach "Ich bin schwanger" zu filtern als nach den 1000 Signalen, anhand derer Meta oder Google herausfinden können, dass eine Person schwanger ist.
Diese Änderung würde gegen Artikel 6 des Übereinkommens Nr. 108 des Europarats verstoßen, das den aktuellen Wortlaut der DSGVO verwendet ("aufschlussreich") und von 55 Ländern ratifiziert wurde.
(6) Abruf personenbezogener Daten von deinem Gerät? Bisher hat Artikel 5(3) ePrivacy die Nutzer:innen vor dem Fernzugriff auf ihren Daten geschützt, die auf "Endgeräten" wie Computern oder Smartphones gespeichert sind. Dies stützt sich auf das Recht auf Schutz der Kommunikation gemäß Artikel 7 der Charta und stellt sicher, dass Unternehmen Geräte nicht aus der Ferne durchsuchen können.
Der Kommissionsvorschlag erlaubt nun jedoch - je nach Lesart des Entwurfs - bis zu 10 (!) Rechtsgrundlagen, um Informationen von einem persönlichen Gerät abzurufen - oder Tracking-Technologien auf deinem Gerät zu platzieren (z. B. Cookies). Zu den vier Verarbeitungen auf der "weißen Liste" für den Zugriff auf Endgeräte würden nun auch "aggregierte Statistiken" und "Sicherheitszwecke" gehören. Während die allgemeine Richtung der Änderungen verständlich ist, ist der Wortlaut extrem freizügig und würde auch exzessive "Durchsuchungen" von Nutzergeräten zu (winzigen) Sicherheitszwecken erlauben.
Darüber hinaus wären alle Rechtsgrundlagen nach Artikel 6(1) der DSGVO verfügbar. In Kombination könnte dies zu absurden Ergebnissen führen: KI-Training wäre ein "berechtigtes Interesse", und Unternehmen können nun aus der Ferne auf personenbezogene Daten auf Geräten zugreifen, um ein solches "berechtigtes Interesse" zu verfolgen. Folglich wäre es eine mögliche Lesart des Gesetzes, dass Unternehmen wie Google Daten aus beliebigen Android-Apps verwenden können, um ihre Gemini-KI zu trainieren. Insbesondere "Big Tech"-Unternehmen würden den Textentwurf wahrscheinlich noch weiter auslegen. Es ist fraglich, ob die Verfasser:inne dieses Gesetzentwurfs jemals an diese Kombinationen gedacht haben.
