Digitaler Omnibus: EU-Kommission will Kernprinzipien der DSGVO zerstören

• Vollständiger Text des Vorschlags der EU-Kommission

Größter Einschnitt in die Datenschutzrechte seit Jahren. Industrie-Lobbygruppen haben die Angst der Entscheidungsträger vor dem globalen wirtschaftlichen Druck erfolgreich genutzt, um massive Einschnitte in die digitalen Rechte der Europäer zu fordern. Diese abrupten Änderungen könnten mehr als 40 Jahre klarer europäischer Haltung gegen kommerzielle Überwachung untergraben. Diese Rechte sind nicht nur in Artikel 8 der Grundrechtecharta verankert sondern auch von der europäischen Öffentlichkeit breit unterstützt.

Max Schrems: "Der Digital Omnibus würde vor allem den großen Technologieunternehmen zugute kommen, während er den durchschnittlichen Unternehmen in der EU keine greifbaren Vorteile bringt. Die vorgeschlagene Reform ist ein Zeichen von Panik und kein Zeichen von Führungsstärke, wenn es um die Gestaltung der digitalen Zukunft Europas geht. Was wir wirklich brauchen, ist ein strategischer, gut durchdachter langfristiger Plan, um Europa voranzubringen - keine planlosen Löcher in Gesetzen."

Wenig politischer Rückhalt für Änderungen. Die Europäische Kommission hat diese DSGVO-Reform aus dem Hut gezaubert, obwohl die meisten EU-Mitgliedstaaten ausdrücklich darum gebeten hatten, die DSGVO nicht wieder zu öffnen. Darüber hinaus haben durchgesickerte Texte in der vergangenen Woche den starken Widerstand mancher Fraktionen im Europäischen Parlament (S&D, Renew und Grüne) hervorgerufen. Diese Fraktionen haben die Kommission ausdrücklich aufforderten, diese massiven Einschnitte in die DSGVO zu stoppen. Auch 127 Organisationen der Zivilgesellschaft (darunter noyb) haben den unerwarteten Vorstoß der Kommission und den durchgesickerten Text heftig kritisiert.

Dennoch wurde heute unter der Leitung von Kommissionspräsidentin Ursula von der Leyen, Vizepräsidentin Henna Virkkunen und Justizkommissar Michael McGrath vorgeschlagen, planlos Löcher in die DSGVO zu bohren. Es ist die Rede von massivem politischen Druck innerhalb der Kommission, Gesetze "irgendwie einzudämpfen" um der Öffentlichkeit ein "Signal" zu senden - ohne ein ordentliches Verfahren oder eine Analyse.

Max Schrems: "Es gibt nur begrenzte politische Unterstützung für das Zerlöchern von Gesetzen in der Öffentlichkeit, in den Mitgliedstaaten und im Europäischen Parlament. Die Kommission versucht hier einfach, alle anderen durch ein 'Fast Track'-Verfahren zu überrollen - um Schlagzeilen zu bekommen - aber ohne wirklichen Plan. Wir sehen eine Panikreaktion - keine wohlüberlegte, faktenbasierte Rechtsetzung."

Hintergrund: Deutscher oder amerikanischer Einfluss? Eine der treibenden Kräfte hinter der Reform, für die schriftliche Beweise existiert, ist Deutschland. Einige Stimmen verweisen auch auf die jüngste Berichterstattung von Politico, wonach Virkkunen in direkten Gesprächen mit US-Unternehmen erklärt hat, dass die EU "unternehmensfreundlicher" werden wird. Es gibt auch Berichte über den zunehmenden Druck der Trump-Regierung auf die EU, Gesetze die US-Unternehmen im Weg stehen abzubauen, um Zölle zu vermeiden.

Es ist zwar unklar, woher der Druck genau kommt, warum die Europäische Kommission überraschend und in einem heimlichen Verfahren weit über den ursprünglichen Plan für den "Digital Omnibus" hinausgeht. Ursprünglich sollten hier eigentlich keine Änderungen der DSGVO enthalten sein. Bezeichnend ist auch, dass die Kommission die Änderungen in der DSGVO auch in ihrere Pressearbeit in den Hintergrund drängt - wissend, dass es hier vermutlich öffentliche Kritik geben würde.

EU-Kommission arbeitet nach dem Motto "Move Fast and Break Things". Anstatt sich an den ursprünglichen Plan eines "Digitalen Fitness-Checks" im Jahr 2026 zu halten, um den Verwaltungsaufwand zu reduzieren, scheint die Europäische Kommission dem Motto des Silicon Valley ("Move Fast and Break Things") zu folgen, um Grundrechte im Schnellverfahren abzuändern. Das Fehlen der üblichen Folgenabschätzung oder Evidenzerhebung wirft die seit langem etablierten Grundsätze der Mindeststandards für die EU-Rechtsetzung über Bord und folgt einem "trump'schen" Typus sprunghafter und unüberlegter Gesetzgebung. Die Folge sind massive Qualitätsprobleme und ein Gesetz, das nicht nicht mal den offiziellen Zweck der Verwaltungsvereinfachung erfüllt.

Max Schrems: "Diese Änderungen erfolgten ohne ordnungsgemäße Verfahren und basieren nicht auf Fakten, sondern auf Angst und Behauptungen der Industrie. Wir können Gesetzte die das Leben von 450 Millionen Menschen betreffen nicht nach dem Motto "Move Fast and Break Things" erlassen -  gerade wo Digitalkonzerne das Funktionieren unserer Gesellschaften und Demokratien immer mehr strapazieren."

"KI-Tunnelblick". Die vorgeschlagene Reform der DSGVO scheint in erster Linie darauf abzuzielen, alle Hindernisse zu beseitigen, die die Nutzung personenbezogener Daten (z. B. von Daten aus sozialen Medien) für KI einschränken könnten. Viele dieser Änderungen hätten jedoch massive Auswirkungen auf die Gesellschaft in anderen Bereichen als KI, wie etwa der Online-Werbung. Diese unintendierten Resultate scheinen der Kommission völlig egal zu sein.

Max Schrems: "Künstliche Intelligenz ist vielleicht eine der einflussreichsten und gefährlichsten Technologien für unsere Demokratie und Gesellschaft. Dennoch hat das Narrativ eines 'KI-Wettlaufs' die Kommission dazu gebracht, sogar jene Maßnahmen aus dem Fenster zu werfen, die uns eigentlich davor schützen sollten, dass wir großen undurchsichtigen Algorithmen schutzlos ausgeliefert sind."

Keine Vorteile für europäische KMU - aber Öffnung der Schleusen für die "Großen". Trotz der häufigen Versprechungen, vor allem die kleinen europäischen Unternehmen zu entlasten, sind die vorgeschlagenen Änderungen nichts alles andere als "Schlupflöcher" in der bestehenden Gesetzgebung die vor allem großen Databrokern und Big Tech nützen. Die meisten Bestimmungen werden noch komplexer, unklarer und unlogischer. Anstatt sich um eine Verringerung des bürokratischen Aufwands zu bemühen (was das Hauptproblem der normalen europäischen Unternehmen darstellt), führt die Kommission rechtliche Schlupflöcher ein, die nur von großen Unternehmen und Anwaltskanzleien ausgenutzt werden können. 

Max Schrems: "Während die Kommission immer wieder argumentiert, dass diese Reform gut für kleine Unternehmen wäre, ist für Kleinunternehmer hier fast nichts gelöst. Kein Kleinunternehmer wird diese neuen gesetzlichen Schlupflöcher finden oder nutzen können. Die Änderungen an bewährten Gesetzen werden nur die Monopole stärken, mehr Rechtsunsicherheit schaffen, neue Klagen auslösen und teure Rechtsberatung erfordern."

Der Tod durch 1000 Schnitte. Laut der öffentlichen Konsultation der Kommission im Oktober hätten sich die datenschutzrelevanten Aspekte des Vorschlags hauptsächlich auf die Bekämpfung der "Cookie-Banner" konzentrieren sollen - ein löbliches Ziel. Heute hat die Kommission jedoch tiefgreifende Einschnitte in die DSGVO vorgelegt. Viele dieser neune Öffnungen scheinen auch gegen Artikel 8 der EU-Grundrechtecharta zu verstoßen oder zumindest im Widerspruch dazu zu stehen. Hier ist ein Überblick über einige der problematischen Änderungen:

Hier ist ein erster Überblick über die Hauptprobleme:

(1) Ein neues DSGVO-Schlupfloch über "Pseudonyme" oder "IDs". Die Kommission schlägt vor, die Definition des Begriffs "personenbezogene Daten" erheblich einzuschränken - was dazu führen würde, dass die DSGVO für viele Unternehmen in verschiedenen Sektoren nicht gilt. So würden beispielsweise Sektoren, die derzeit mit "Pseudonymen" oder zufälligen ID-Nummern arbeiten, wie Datenbroker oder die Werbeindustrie, nicht mehr (vollständig) erfasst werden. Dies geschähe durch die Hinzufügung eines "subjektiver Ansatz" in der DSGVO.

Anstelle einer objektiven Definition personenbezogener Daten (z. B. Daten, die mit einer direkt oder indirekt identifizierbaren Person verknüpft sind) bedeutet eine subjektive Definition, dass, wenn ein bestimmtes Unternehmen behauptet, es könne (noch) nicht oder zielt nicht darauf ab eine Person zu identifizieren, die DSGVO nicht mehr anwendbar ist. Eine solche Fall-zu-Fall-Entscheidung ist von Natur aus komplexer und alles andere als eine "Vereinfachung". Es bedeutet auch, dass Daten "personenbezogen" sein können oder nicht, je nach der internen Denkweise eines Unternehmens oder angesichts der Umstände, die sie zu einem bestimmten Zeitpunkt haben. Dies kann auch die Zusammenarbeit zwischen Unternehmen komplizierter machen, da einige unter die DSGVO fallen würden und andere nicht.

Außerdem ist es durch eine solche "subjektive" Definition für Nutzer:innen oder Behörden unmöglich zu wissen, ob die DSGVO in jedem Fall gilt. In der Praxis kann dies dazu führen, dass die DSGVO aufgrund endloser Debatten und Meinungsverschiedenheiten über die wahren Absichten und Pläne eines Unternehmens kaum durchsetzbar ist.

Max Schrems: "Es ist wie ein Waffengesetz, das nur dann für Waffen gilt, wenn der Besitzer bestätigt, dass er in der Lage ist, mit einer Waffe umzugehen, und die Absicht hat, jemanden zu erschießen. Es ist offensichtlich, wie absurd solche subjektiven Definitionen sind."

(2) Abruf persönlicher Daten von deinem Gerät? Bisher hat Artikel 5 (3) ePrivacy die Nutzer:innen vor dem Fernzugriff auf Daten geschützt, die auf "Endgeräten" wie PCs oder Smartphones gespeichert sind. Dies beruht auf dem Recht auf Schutz der Kommunikation gemäß Artikel 7 der Charta der Grundrechte der EU und stellte sicher, dass Unternehmen keine Geräte aus der Ferne durchsuchen können.

Die Kommission fügt nun Verarbeitungen auf der "weißen Liste" für den Zugang zu Endgeräten hinzu, die "aggregierte Statistiken" und "Sicherheitszwecke" einschließen würden. Während die allgemeine Richtung der Änderungen verständlich ist, ist die Formulierung extrem freizügig und würde auch exzessive "Durchsuchungen" von Nutzergeräten zu (winzigen) Sicherheitszwecken erlauben.

(3) KI-Training von Meta oder Google mit personenbezogenen Daten der EU? Als Meta oder LinkedIn damit begannen, Daten aus sozialen Medien zu verwenden, war dies weithin unpopulär. In einer aktuellen Studie sagen zum Beispiel sagen nur 7 % der Deutschen, dass sie wollen, dass Meta ihre persönlichen Daten zum Training von KI verwendet. Dennoch will die Kommission nun die Verwendung sehr persönlicher Daten (wie die Inhalte von 15+ Jahren eines Social-Media-Profils) für das KI-Training durch Big Tech erlauben.

Max Schrems: "Es gibt absolut keine öffentliche Unterstützung dafür, dass Meta oder Google die persönlichen Daten der Europäer in ihre Algorithmen einbeziehen. Jahrelang wurde uns gesagt, dass wir uns keine Sorgen machen müssen, weil unsere persönlichen Daten dazu verwendet werden, uns zu 'verbinden' oder bestenfalls für gezielte Werbung genutzt werden. Jetzt fließen alle unsere Daten in die Algorithmen von Meta, Google oder Amazon ein. Dadurch wird es für KI-Systeme einfacher, selbst die intimsten Details zu kennen - und folglich Menschen zu manipulieren. Davon profitiert vor allem die Billionen-Dollar-Industrie in den USA, die auf der Grundlage unserer persönlichen Daten Modelle erstellt."

Die Europäische Kommission sieht vor, dass die Nutzer:innen sich dagegen entscheiden können, aber weder Unternehmen noch Betroffene wissen in der Regel, wessen Daten in einem Trainingsdatensatz enthalten sind. Und selbst wenn sie es wüssten, müssten Betroffene tausende Male pro Jahr Widerspruch einlegen, wenn ein anderes Unternehmen einen Algorithmus mit ihren Daten trainiert.

Max Schrems: "Der Opt-out-Ansatz funktioniert in der Praxis nicht. Die Unternehmen kennen die Vertragsdaten der Nutzer nicht, und die Nutzer wissen nicht, wer auf der Grundlage ihrer Daten trainiert. Mit dem Opt-Out-Ansatz versucht die Kommission, ein Feigenblatt über diese offensichtlich rechtswidrige Verarbeitung zu legen."

Die Kommission will nicht nur das Training von KI-Systemen privilegieren, sondern auch den "Betrieb" solcher Systeme. Dies käme einer "Wildcard" gleich, bei der eine ansonsten illegale Verarbeitung legal wird, nur weil sie mit KI erfolgt.

Max Schrems: "Normalerweise müssen riskantere Technologien einen höheren Standard erfüllen. Der Kommissionsvorschlag öffnet nun die Schleusen, sobald KI zum Einsatz kommt - während die herkömmliche Datenverarbeitung noch unter das geltende Recht fallen würde. Das ist irrsinnig."

(4) Beschneidung der Betroffenenrechte auf fast Null - auf deutschen Wunsch? Ausgehend von einer nationalen Debatte darüber, dass die DSGVO-Betroffenenrechte genutzt werden können, um z.B. die Nichtbezahlung von Arbeitsverträgen zu beweisen, hat die Deutsche Regierung eine massive Einschränkung dieser Rechte gefordert - und bezeichnete eine solche Nutzung als "Missbrauch", obwohl die DSGVO bereits eine "Missbrauchsklausel" enthält. Die Kommission ist dieser deutschen Forderung gefolgt und schlägt vor, die Nutzung des Auskunftsrechts auf "Datenschutzzwecke" zu beschränken.

Im Umkehrschluss bedeutet dies, dass Arbeitgeber einen Antrag auf Auskunft als "missbräuchlich" ablehnen könnte, wenn ein Arbeitnehmer ihn im Rahmen eines Arbeitskonflikts über unbezahlte Arbeitsstunden stellt - zum Beispiel, um einen Nachweis über die geleisteten Arbeitsstunden zu erhalten. Das Gleiche würde für Journalist:innen oder Forschende gelten. In einer weit gefassten Lesart könnte dies sogar noch weiter gehen. Wenn eine Person Zugang zu ihren Daten verlangt, um anschließend falsche Bonitätsdaten zu löschen, um bei der Bank einen billigeren Kredit zu erhalten, dürfen solche Rechte nicht aus reinem "Datenschutzinteresse" ausgeübt werden, sondern aus wirtschaftlichem Interesse.

Diese Einschränkung ist ein klarer Verstoß gegen die Rechtsprechung des EuGH und Artikel 8(2) der Charta. Das Recht auf informationelle Selbstbestimmung ist ausdrücklich dazu gedacht, das Informationsgefälle zwischen den Nutzer:innen und den Unternehmen, die über die Informationen verfügen, auszugleichen, da immer mehr Informationen auf den Servern der Unternehmen versteckt werden. Der EuGH hat mehrfach entschieden, dass man diese Rechte zu jedem Zweck ausüben kann - auch für Rechtsstreitigkeiten oder zur Beweisführung.

Max Schrems: "Diese Änderung ist ein klarer Verstoß gegen die Charta und die Rechtsprechung des EuGH. Sie wird von den für die Verarbeitung Verantwortlichen in ganz Europa genutzt werden, um die Rechte der Nutzer weiter zu untergraben. In Wirklichkeit gibt es keinen weit verbreiteten Missbrauch der DSGVO-Rechte durch die Bürger, sondern eine weit verbreitete Nichteinhaltung durch die Unternehmen. Die Rechte der Nutzer noch weiter zu beschneiden, zeigt, wie weit die Kommission von den täglichen Erfahrungen der Nutzer entfernt ist."