Intern ontwerp van EU-Commissie zou kernbeginselen GDPR doen wankelen

• Overzichtstabel van het ontwerp & commentaar door noyb
• Uitgelekt document over de standpunten van de lidstaten (vraagt grotendeels niet om hervormingen)
• Uitgelekt document van Duitsland (vraagt om een grootschalige hervorming, maar grotendeels niet nu)
• Uitgelekte originele tekst (via Netzpolitik.org)
• Originele rapportage door MLex (paywalled), rapportage door Reuters en rapportage door Netzpolitik.org

Geheime "fast-track" aanval op de GDPR. De Europese Commissie is van plan om verschillende EU-wetten te vereenvoudigen via een zogenaamde "omnibus"-hervorming, een instrument dat normaal gesproken verschillende kleinere elementen van verschillende wetten horizontaal wijzigt om de kwaliteit van de wet te verbeteren en de papierwerkverplichtingen te stroomlijnen. In tegenstelling tot de traditionele aanpak van het maken van wetten, wordt de omnibus gedaan via een "fast-track" procedure die verschillende elementen van het proces verspringt, waaronder effectbeoordelingen en het maken van tijd voor feedback door juridische diensten en relevante eenheden in de EU-instellingen. Dit is acceptabel als er alleen niet-controversiële, eenvoudige verbeteringen worden aangebracht.

Zoals echter is onthuld, werken de diensten van de Europese Commissie onder leiding van uitvoerend vicevoorzitter Henna Virkkunen (het zogenaamde"DG CONNECT") aan een grootschalige hervorming van de GDPR onder de noemer van vermeende "vereenvoudiging" of "verduidelijking".

Max Schrems:"Het ontwerp is niet alleen extreem, maar ook zeer slecht opgesteld. Het helpt niet 'kleine bedrijven', zoals beloofd, maar is weer vooral in het voordeel van 'big tech'."

Het oorspronkelijke plan van de Commissie was om in 2026 een zogenaamde "Digital Fitness Check" te doen, het nodige bewijs te verzamelen en dan een gerichte en goed uitgewerkte update van de GDPR en andere digitale wetten uit te voeren.

Springt de EU in op Duitse of Amerikaanse eisen? Zowel belanghebbenden als lidstaten hebben expliciet gevraagd om de GDPR niet te heropenen. In een overzicht van de standpunten van de lidstaten zeggen bijna alle lidstaten die feedback hebben gegeven dat ze geen verandering willen. Duitsland drong echter aan op belangrijke wijzigingen in de GDPR die verder gaan dan het oorspronkelijke mandaat van deze wet. Het lijkt erop dat de Commissie simpelweg is "ingesprongen" op een Duits non-paper dat vorige week uitlekte, gezien het feit dat veel wijzigingen in het ontwerp een 1:1 kopie lijken te zijn van de eisen in de uitgelekte Duitse brief. Duitsland heeft geen bewijs geleverd voor de noodzaak van deze hervormingen - het is onduidelijk waar deze eisen vandaan komen. Anderen wijzen op recente berichtgeving van Politico, dat Virkkunens boodschap aan Amerikaanse bedrijven in directe ontmoetingen was datde EU haar regels zal herzien en bedrijfsvriendelijker zal worden.

Max Schrems:"Het is onduidelijk waar de politieke druk vandaan komt. De meeste lidstaten vroegen om minieme veranderingen en geen heropening. Duitsland heeft traditioneel een anti-GDPR standpunt ingenomen in Europa. Het lijkt makkelijker om een EU-wet de schuld te geven van Duitse problemen met digitalisering dan om zaken op nationaal niveau op te lossen. Het verbaast ons dan ook niet dat deze laatste druk weer uit Duitsland komt. Er zijn berichten dat ook druk vanuit de VS een rol zou kunnen spelen."

Bij het lezen van het eerste interne ontwerp is het duidelijk dat de potentiële schade aan de GDPR (zie details hieronder) enorm zou zijn. Grote delen van het ontwerp zijn in strijd met Europese verdragen, het Handvest van de grondrechten of vaste jurisprudentie van het Hof van Justitie. Of dit opzettelijk is of te wijten is aan het hoge werktempo en de daaruit voortvloeiende slechte kwaliteit van het ontwerp blijft open. Insiders uit Brussel meldden dat bepaalde eenheden slechts vijf (!) werkdagen hadden om commentaar te geven op een wetsontwerp van meer dan 180 pagina's.

Max Schrems: "Een deel van de EU-Commissie lijkt te proberen alle anderen in Brussel te overstemmen en de regels voor goede wetgeving te negeren, met mogelijk verschrikkelijke resultaten. Het is zeer verontrustend om te zien dat Trumpiaanse wetgevingspraktijken in Brussel voet aan de grond krijgen."

Tunnelvisie op de "AI-race"? Hoewel er verschillende goede manieren zouden kunnen zijn om de GDPR te verbeteren en te vereenvoudigen, lijken de voorgestelde wijzigingen te lijden aan "tunnelvisie" op het mogelijk maken van het trainen en gebruiken van AI - zelfs op persoonsgegevens. In een recent onderzoek zegt slechts 7% van de Duitsers dat ze willen dat Meta hun persoonlijke gegevens gebruikt om AI te trainen. Toch richt de hervorming zich op elk element van de GDPR dat het gebruik van AI zou kunnen beperken.

Max Schrems: "Wat deze veranderingen over het hoofd lijken te zien, is dat de meeste gegevensverwerking niet op AI is gebaseerd. De mogelijke verandering die AI zou "bevrijden" zou enorme onbedoelde gevolgen hebben voor veel andere gebieden van de GDPR. De bescherming van gezondheidsgegevens, minderheden of werknemers zou ook sneuvelen in dit ontwerp. Grote delen van de online reclamebusiness zouden de GDPR-verplichtingen kunnen omzeilen door de overwogen wijzigingen."

Dood door 1000 sneden. Hoewel veel veranderingen technisch klinken, staan achter elke "definitie" in de GDPR de rechten van mensen. De veranderingen variëren van het inperken van wat zelfs als "persoonlijke gegevens" wordt beschouwd en daarom beschermd is, tot het beperken van het "recht op toegang", zodat werknemers, journalisten of onderzoekers geen toegang meer hebben tot hun eigen gegevens. Veranderingen staan ook milde toegang toe om gegevens van smartphones, pc's of verbonden apparaten te "trekken" of staan bedrijven grotendeels toe om persoonlijke gegevens van Europeanen te gebruiken voor (commerciële) AI-training. Hoewel bedrijven vaak aanvoeren dat de GDPR een "last" zou zijn, is de realiteit dat nog geen 1,3% van alle GDPR-klachten tot een boete leidt. In Ierland werd tot nu toe slechts 0,6% van de boetes betaald.

Max Schrems:"Het ontwerp zou veel kleine gaatjes in de wet snijden, waardoor de wet over het algemeen onbruikbaar zou worden voor de meeste gevallen. We zien nu al bijna geen handhaving van de EU-privacywetgeving, met deze veranderingen zouden we de meeste zaken die we nu winnen waarschijnlijk verliezen of te maken krijgen met nog complexere procedures."

In principe geen voordeel voor KMO's en EU-bedrijven. De officiële reden voor "verduidelijkingen" en "vereenvoudigingen" via de Omnibus was om de administratieve last voor het midden- en kleinbedrijf (MKB) in de EU te beperken. noyb staat volledig achter dit doel. De voorgestelde wijzigingen hebben echter vooral betrekking op bedrijven die zich bezighouden met AI-opleidingen - dus bedrijven die nu in de miljarden lopen (zoals OpenAI, Google, Meta, Amazon of Microsoft). Hoewel er een aantal verduidelijkingen zijn waar KMO's hun voordeel mee kunnen doen, zoals regels over wanneer zogenaamde "Data Protection Impact Assessments" moeten worden uitgevoerd, zullen deze geen grotere impact hebben op het Europese concurrentievermogen.

Max Schrems:"Als dit ontwerp definitief is, dan is al het gepraat over 'kleine bedrijven' en 'administratieve lasten' duidelijk slechts een bijzaak om publieke steun te krijgen. In de kern is dit een enorme dereguleringspoging, die 40 jaar Europese doctrine over grondrechten omver werpt."

Oproep tot dringende stopzetting & goede wetgeving. Gezien het feit dat dit voorstel vol problemen zit en ook zou leiden tot grote rechtsonzekerheid waardoor veel veranderingen vatbaar zijn voor (succesvolle) juridische aanvallen bij het Hof van Justitie, is deze "fast track" aanpak voor niemand nuttig - of het nu gaat om KMO's, gegevensbeschermingsautoriteiten of gebruikers. Uit de eerste aanwijzingen van het Europees Parlement blijkt ook dat ingrijpende wijzigingen de "omnibus" in het Parlement duidelijk zouden tegenhouden. Aangezien de Commissie van plan is andere elementen van de digitale omnibus zo snel mogelijk goed te keuren, denken wij dat er geen andere manier is dan de meeste wijzigingen aan de GDPR uit het ontwerp te schrappen.

Max Schrems: "Het afvuren van een slecht opgesteld 'quick shot' op een zeer complex en gevoelig gebied zal niet alleen gebruikers schaden, maar ook EU-bedrijven niet helpen. Het is ook de vraag of deze omnibus snel door het Europees Parlement en de Raad kan komen. De Commissie heeft nog een week om te beslissen wat er in het definitieve voorstel komt te staan."

Overzicht van veranderingen

De ontwerp Digitale Omnibus stelt talloze wijzigingen voor in veel verschillende artikelen van de GDPR. In combinatie komt dit neer op een "dood door 1000 sneden". We hebben een algemeen overzicht gemaakt van enkele van de belangrijkste wijzigingen. Download voor de meest gedetailleerde juridische analyse onze overzichts-PDF hier. Alle onderstaande wijzigingen zijn gebaseerd op onze beste inspanningen om de interne ontwerpen van de Commissie te begrijpen. Sommige elementen zijn onduidelijk en tegenstrijdig in de ontwerptekst en van zo'n slechte kwaliteit, dat de ware betekenis en bedoeling van de teksten niet altijd duidelijk is.

(1) Een nieuw GDPR achterpoortje via "pseudoniemen" of "ID's"? Het lijkt erop dat de Commissie van plan is om de definitie van "persoonsgegevens" aanzienlijk te beperken, waardoor de GDPR in veel gevallen niet van toepassing zou zijn. Het plan is om een "subjectieve benadering" toe te voegen aan de tekst van de GDPR. Dit zou betekenen dat als een specifiek bedrijf een persoon niet kan identificeren, de gegevens niet "persoonlijk" zijn voor dat bedrijf - en de GDPR niet meer van toepassing is.

Bovendien verwijst het ontwerp naar identificatie-instrumenten die waarschijnlijk door elke specifieke verwerkingsverantwoordelijke zullen worden gebruikt. Dit zou verder onderzoek en voorspellingen over de innerlijke werking en de toekomstige acties van een specifiek bedrijf vereisen om te weten of een persoon nog steeds zijn of haar rechten geniet onder de GDPR. In de praktijk maakt dit de GDPR nauwelijks nog afdwingbaar en zou dit leiden tot eindeloze debatten en ruzies over de ware bedoelingen en plannen van een bedrijf.

Het ontwerp kan in ieder geval worden gelezen om af te stappen van het idee dat technieken om een persoon "uit te sluiten" nog steeds onder de wet vallen. In plaats daarvan hint de formulering van het ontwerp naar een algemene vrijstelling van de GDPR als controllers gewoon "pseudoniemen" gebruiken (zoals "user12473" of de gegevens van een tracking cookie) in plaats van namen. Dit zou betekenen dat hele industriesectoren die tot nu toe onder de GDPR vallen en via "pseudoniemen" of willekeurige ID-nummers werken, niet meer (volledig) onder de GDPR zouden vallen. Dit zou van toepassing kunnen zijn op bijna alle online tracking, online reclame en de meeste gegevensmakelaars.

Deze verandering zou ook enorm afwijken van de vrij ruime interpretatie van het Hof van Justitie (HvJEU). Er is al meer dan 20 jaar jurisprudentie die een brede interpretatie van "persoonsgegevens" ondersteunt.

Aangezien de term "persoonsgegevens" afkomstig is uit artikel 8 van het Handvest, is het zeer waarschijnlijk dat een dergelijke ingrijpende wijziging de toetsing door het HvJEU niet zou overleven.

(2) Recht op toegang, wissen of corrigeren krijgt "doelbinding". Een enorme verandering (op Duits verzoek) is om het gebruik van rechten van betrokkenen (zoals toegang tot gegevens, rectificatie of verwijdering) te beperken tot "gegevensbeschermingsdoeleinden". Omgekeerd betekent dit dat als een werknemer een verzoek om toegang gebruikt in een arbeidsgeschil over onbetaalde uren - bijvoorbeeld om een overzicht te krijgen van de uren die hij heeft gewerkt - de werkgever dit verzoek kan afwijzen als "misbruik". Hetzelfde zou gelden voor journalisten of onderzoekers.

In een brede lezing zou dit zelfs nog verder kunnen gaan. Als iemand vraagt om valse gegevens uit zijn kredietranglijst te verwijderen om bij de bank een goedkopere lening te krijgen, kan zo'n "recht op correctie" van valse financiële informatie niet louter worden uitgeoefend voor een "doel van gegevensbescherming", maar uit economisch belang. Zelfs zaken als het beroemde "recht om vergeten te worden" kan niet worden gezien als een "gegevensbeschermingsbelang" als de persoon die vraagt om verwijdering van openbare gegevens dit doet uit zakelijk belang.

Dit idee is een duidelijke schending van de jurisprudentie van het HvJEU en artikel 8(2) van het Handvest. Het recht op informatieve zelfbeschikking is expliciet bedoeld om de informatiekloof tussen gebruikers en de bedrijven die de informatie bezitten te dichten, aangezien steeds meer informatie verborgen blijft op bedrijfsservers (bijv. kopieën van urenstaten). Het HvJEU heeft meerdere malen geoordeeld dat Europeanen deze rechten voor elk doel kunnen uitoefenen - inclusief rechtszaken of het genereren van bewijs.

De GDPR kent al beperkingen voor het "misbruik" van GDPR-rechten (zoals geen toegang krijgen tot gegevens of een vergoeding moeten betalen), maar de Commissie wil nu ook de redenen beperken waarom deze rechten kunnen worden uitgeoefend.

(3) Google, Meta en OpenAI kunnen nu AI trainen met jouw gegevens. Het ontwerp van de Commissie voorziet ook in wijzigingen van artikel 6, lid 1, en artikel 9, lid 2, GDPR om de verwerking van persoonsgegevens voor AI mogelijk te maken. Dit betekent dat een technologie met een hoog risico, gevoed door de meest persoonlijke gedachten en gevoelige gegevens van mensen, een algemene "OK" krijgt onder de GDPR. Tegelijkertijd blijft elke traditionele database of CCTV-camera streng gereguleerd.

Het ontwerp van de Commissie benadrukt de noodzaak van "dataminimalisatie" (een principe dat toch al geldt onder artikel 5(1)(b) GDPR) en vereist dat er ongedefinieerde "waarborgen" worden ingebouwd. Er zijn echter geen technische benchmarks of normen voor dergelijke "waarborgen". De enige specifieke vermeende bescherming is een "recht van bezwaar". Maar dit idee zal in de meeste gevallen mislukken:

1. Het zou betekenen dat gebruikers in de EU eerst geïnformeerd moeten worden dat hun gegevens daadwerkelijk worden gebruikt voor AI-training, wat grotendeels onmogelijk is. Bedrijven als OpenAI hebben geen idee welke persoonlijke gegevens van wie zijn, laat staan welke contactgegevens ze hebben. Mensen zullen er dus nooit achter komen dat hun persoonlijke gegevens worden gebruikt
   
2. Als mensen er toch achter komen, zouden ze voortdurend bezwaar moeten maken bij al deze bedrijven. Dit betekent honderden verwerkingsverantwoordelijken vinden, formulieren invullen en de oefening herhalen voor iedereen die individueel AI-training doet
   
3. Tot slot zouden het bezwaar en de relevante gegevens moeten worden "gematcht", ondanks het feit dat gebruikers niet weten of hun gegevens überhaupt worden gebruikt - en zo ja, welke gegevens worden gebruikt. Op zijn beurt zal de verwerkingsverantwoordelijke meestal niet in staat zijn om een bezwaar uit te voeren wanneer het hele internet wordt geschraapt.

Conclusie: Google, Meta, Microsoft of OpenAI kunnen miljarden (!) blijven verdienen met gegevens die zijn gegenereerd door Europese bedrijven, kunstenaars of particulieren, terwijl ze een "vrijbrief" krijgen van de Europese wetgever.

(4) Krijgt de werking van AI-systemen een "GDPR wildcard"? De wijzigingen in artikel 6, lid 1 en artikel 9, lid 2 GDPR gaan zelfs verder dan verwacht. Niet alleen de ontwikkeling van AI-systemen zou worden bevoorrecht, maar ook de werking van een AI-systeem. De term "werking" is niet gedefinieerd, maar zal waarschijnlijk elke vorm van gegevensverwerking omvatten.

Dit zou tot een groteske situatie leiden: Als persoonsgegevens worden verwerkt via een traditionele database, Excel-sheet of software, moet een bedrijf een rechtsgrondslag vinden onder artikel 6(1) GDPR. Maar als dezelfde verwerking wordt gedaan via een AI-systeem, kan dit worden aangemerkt als een "legitiem belang" onder artikel 6, lid 1, onder f) GDPR. Dit zou één (riskante) technologie bevoorrechten boven alle andere vormen van gegevensverwerking en in strijd zijn met de "technologisch neutrale" benadering van de GDPR.

(5) Gevoelige gegevens zoals gezondheid, politiek of seksleven alleen gedekt indien "direct geopenbaard"? Artikel 9 GDPR beschermt specifiek "gevoelige" gegevens over de gezondheid, de politieke overtuiging, het seksleven, de seksuele geaardheid of het lidmaatschap van een vakbond. Tot nu toe oordeelde het HvJEU dat dergelijke informatie ook beschermd is als deze alleen kan worden afgeleid uit andere informatie. De Commissie probeert nu de wet omver te werpen en wil de bescherming van artikel 9 alleen beperken als dergelijke gevoelige informatie "direct openbaar wordt gemaakt".

Mensen die "direct onthullen" dat ze zwanger zijn, kanker hebben of homoseksueel zijn, hebben deze bescherming echter meestal minder nodig dan mensen over wie dergelijke gevoelige informatie alleen kan worden "afgeleid" uit andere informatie. Een klassiek voorbeeld hiervan zijn werkgevers die "big data" gebruiken om af te leiden dat een vrouw zwanger is - om die persoon vervolgens snel te ontslaan om sociale uitkeringen en dergelijke te voorkomen. Op dit moment valt dit onder artikel 9 GDPR. In de toekomst zou dit worden teruggebracht tot bescherming onder Artikel 6 GDPR - terwijl een persoon die publiekelijk zijn zwangerschap aankondigt onder Artikel 9 GDPR zou vallen.

Vanuit het perspectief van individuen heeft een dergelijke beperking geen zin, maar de Commissie lijkt vooral bezorgd te zijn om bedrijven die dergelijke gegevens willen gebruiken voor AI-training. Filteren op "Ik ben zwanger" is makkelijker dan filteren op de 1000 signalen waarmee Meta of Google kunnen achterhalen dat iemand zwanger is.

Deze wijziging zou in strijd zijn met artikel 6 van Conventie 108 van de Raad van Europa, die de huidige GDPR-formulering ("onthullend") gebruikt en door 55 landen is geratificeerd.

(6) Persoonlijke gegevens van je apparaat halen? Tot nu toe heeft artikel 5, lid 3, ePrivacy gebruikers beschermd tegen toegang op afstand tot gegevens die zijn opgeslagen op "eindapparatuur", zoals computers of smartphones. Dit is gebaseerd op het recht op communicatiebescherming van artikel 7 van het Handvest en zorgde ervoor dat bedrijven apparaten niet "op afstand kunnen doorzoeken".

Het voorstel van de Commissie staat nu echter - afhankelijk van de lezing van het ontwerp - tot 10 (!) rechtsgrondslagen toe om informatie van een persoonlijk apparaat te halen - of trackingtechnologie op je apparaat te plaatsen (zoals "cookies"). De vier "witte lijst" van verwerkingsactiviteiten voor toegang tot eindapparatuur zouden nu "geaggregeerde statistieken" en "beveiligingsdoeleinden" omvatten. Hoewel de algemene richting van de veranderingen begrijpelijk is, is de formulering extreem permissief en zou deze ook buitensporige "zoekopdrachten" op gebruikersapparaten voor (minieme) beveiligingsdoeleinden toestaan.

Bovendien zouden alle rechtsgronden onder artikel 6(1) GDPR beschikbaar zijn. In combinatie zou dit tot absurde resultaten kunnen leiden: AI-training zou een "legitiem belang" zijn, en bedrijven kunnen nu op afstand toegang krijgen tot persoonlijke gegevens op je apparaat voor zo'n "legitiem belang". Bijgevolg zou de wet zo kunnen worden geïnterpreteerd dat bedrijven zoals Google gegevens van Android-apps kunnen gebruiken om hun Gemini AI te trainen. Vooral "Big Tech"-bedrijven zouden de ontwerptekst waarschijnlijk nog ruimer interpreteren. Het is de vraag of de auteurs van dit wetsontwerp ooit over deze combinaties hebben nagedacht.