Detta är en första reaktion på en historia under utveckling. För eventuella ändringar och/eller uppdateringar av vårt uttalande, vänligen kontrollera denna sida igen.
Trots stark kritik från civilsamhället och stora delar av EU-parlamentet har EU-kommissionen nu publicerat sitt förslag till "Digital Omnibus". I motsats till kommissionens officiella pressmeddelande är dessa förändringar inte "upprätthålla den högsta nivån av skydd för personuppgifter", utan innebär kraftigt försämrat skydd för européerna. Samtidigt som de föreslagna ändringarna i princip inte har några verkliga fördelar för genomsnittliga europeiska små och medelstora företag, är de en gåva till amerikanska storföretag inom tekniksektorn eftersom de öppnar upp många nya kryphål som deras juridiska avdelningar kan utnyttja. Schrems: "Det här är den största attacken på EU:s digitala rättigheter på flera år. När kommissionen säger att den 'upprätthåller högsta standard', är det helt klart felaktigt. Den föreslår att dessa standarder ska undergrävas."
Största inskränkningen i rätten till privatliv på flera år. Industrilobbygrupper har framgångsrikt använt den europeiska rädslan för globala ekonomiska påtryckningar för att kräva massiva nedskärningar av européernas digitala rättigheter. De plötsliga förändringar som föreslogs idag kan undergräva mer än 40 år av en tydlig europeisk hållning mot kommersiell övervakning av privata aktörer, vilket också fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och har brett stöd av den europeiska allmänheten.
Max Schrems: "Den digitala omnibussen skulle främst gynna stora teknikföretag, men inte ge några konkreta fördelar för genomsnittliga EU-företag. Den här föreslagna reformen är ett tecken på panik inför utformningen av Europas digitala framtid, inte ett tecken på ledarskap. Vad vi verkligen behöver är en strategisk, väl utformad långsiktig plan för att föra Europa framåt."
Litet politiskt stöd för förändringar. EU-kommissionen har dragit upp denna GDPR-reform ur en hatt trots att de flesta av EU:s medlemsstater uttryckligen hade begärt att GDPR inte skulle öppnas på nytt. Dessutom ledde läckta texter i förra veckan till starkt motstånd från Europaparlamentets center- och vänstergrupper (S&D, Renew och De gröna) som uttryckligen uppmanade kommissionen att stoppa dessa massiva nedskärningar av GDPR. Dessutom 127 organisationer i det civila samhället (inklusive noyb) kraftigt kritiserat kommissionens oväntade utspel och den läckta texten.
Trots detta har man i dag, under ledning av kommissionens ordförande Ursula von der Leyen, Vice ordförande Henna Virkkunen och Michael McGrath, kommissionsledamot med ansvar för rättsliga frågor, beslutat att gå vidare med de stora nedskärningarna i GDPR. Det talas om massiva politiska påtryckningar inom kommissionen för att skära i lagar - utan ordentlig process eller analys.
Max Schrems: "Det finns ett begränsat politiskt stöd för dessa nedskärningar från allmänheten, medlemsstaterna och Europaparlamentet. Det verkar som om EU-kommissionen helt enkelt försöker köra över alla andra genom ett "snabbspår", som mer liknar en panikreaktion än en väl genomtänkt, evidensbaserad lagstiftning."
Bakgrund: Tyskt eller amerikanskt inflytande? En av drivkrafterna bakom reformen för vilken "pappersbevis" finns är Tyskland. Vissa röster pekar också på nyligen publicerade rapporter från Politicoenligt vilken Virkkunens budskap till amerikanska företag vid direkta möten var att EU kommer att bli mer "affärsvänligt". Det finns också rapporter om ökande påtryckningar från Trump-administrationen att EU ska minska sina skyddsåtgärder för att undvika tullar.
Även om det är oklart exakt varifrån dessa påtryckningar kommer, står det klart att EU-kommissionen överraskande och i hemlighet har gått långt utöver den ursprungliga planen för "Digital Omnibus", som borde inte skulle ha omfattat ändringar av GDPR.
EU-kommissionen "rör sig snabbt - och förstör saker". Istället för att hålla sig till den ursprungliga planen om en "Digital Fitness Check" 2026 för att minska de administrativa bördorna verkar EU-kommissionen ha följt Silicon Valleys motto att "agera snabbt och förstöra saker" för att driva igenom reformer av grundläggande regler i ett "snabbspårsförfarande". Avsaknaden av konsekvensbedömning eller insamling av bevis kastar överbord sedan länge etablerade principer om minimistandarder för EU:s lagstiftning och följer en "trump'iansk" typ av oregelbundna förändringar. Följden blir mycket dåliga utkast och en lagstiftning som inte är ändamålsenlig.
Max Schrems: "Dessa förändringar skedde utan korrekta förfaranden och baseras inte på bevis utan snarare på rädsla och påståenden från industrin. "Snabba ryck och sönderslagna saker" är inte ett motto som fungerar för att driva igenom lagstiftning som inte bara påverkar 450 miljoner människors liv, utan i slutändan också våra samhällens och demokratiers funktion."
"AI-tunnelvision". Den föreslagna reformen av GDPR verkar i första hand syfta till att undanröja alla hinder som kan begränsa användningen av personuppgifter, t.ex. uppgifter från sociala medier, för AI. Många av dessa förändringar skulle dock få stora konsekvenser för samhället inom andra områden än AI, t.ex. annonsering på nätet.
Max Schrems: "Artificiell intelligens kan vara en av de tekniker som har störst inverkan på och är farligast för vår demokrati och vårt samhälle. Ändå har berättelsen om en "AI-kapplöpning" fått politiker att till och med kasta ut skydd genom fönstret som borde ha skyddat oss från att alla våra uppgifter hamnar i en stor ogenomskinlig algoritm."
Inga fördelar för europeiska små och medelstora företag - men öppna dammluckorna för "de stora". Trots återkommande löften om att främst lätta på bördan för små europeiska företag är de föreslagna förändringarna allt allt annat än en förenkling. De flesta artiklar blir mer komplexa, otydliga och ologiska. I stället för att arbeta för att minska behovet av pappersarbete (vilket är det största problemet för europeiska företag) inför kommissionen rättsliga kryphål som endast stora företag och stora advokatbyråer kommer att kunna utnyttja.
Max Schrems: "Även om kommissionen ständigt hävdar att denna reform skulle vara bra för småföretag, finns det mycket lite för dem i dessa förändringar. Ändringarna av väletablerad lagstiftning kommer bara att öka marknadskoncentrationen, skapa mer rättsosäkerhet, generera nya stämningar och kräva dyrare juridisk rådgivning. Den enda verkliga förmånstagaren här är stora teknik- och advokatbyråer."
Döden genom 1000 nedskärningar. Enligt kommissionens offentliga samråd i oktober skulle de dataskyddsrelaterade aspekterna av förslaget främst ha fokuserat på att motverka trötthet på "cookiebanner". I dag lade dock kommissionen fram ett förslag om djupgående nedskärningar av GDPR. Många av dessa ändringar verkar strida mot, eller åtminstone vara i konflikt med, rätten till dataskydd i artikel 8 i EU:s stadga om de grundläggande rättigheterna.
Här är en första översikt över de viktigaste problemen:
(1) Ett nytt kryphål i GDPR via "pseudonymer" eller "ID:n". Kommissionen föreslår att definitionen av "personuppgifter" ska begränsas avsevärt - vilket skulle leda till att GDPR inte skulle gälla för många företag inom olika sektorer. Exempelvis skulle sektorer som för närvarande arbetar med "pseudonymer" eller slumpmässiga ID-nummer, såsom datamäklare eller reklambranschen, inte längre omfattas (fullt ut). Detta skulle göras genom att lägga till en "subjektivt förhållningssätt" i texten till GDPR.
Istället för att ha en objektiv definition av personuppgifter (t.ex. uppgifter som är kopplade till en direkt eller indirekt identifierbar person), skulle en subjektiv definition innebära att om ett visst företag hävdar att det (ännu) inte kan eller inte har som mål att (för närvarande) identifiera en person, upphör GDPR att gälla. Ett sådant beslut från fall till fall är till sin natur mer komplext och allt annat än en "förenkling". Det innebär också att uppgifter kan vara "personliga" eller inte beroende på hur ett företag resonerar internt eller utifrån de omständigheter som råder vid en viss tidpunkt. Detta kan också göra samarbetet mellan företag mer komplext eftersom vissa skulle omfattas av GDPR och andra inte.
Dessutom kan en sådan "subjektiv" definition gör det omöjligt för användare eller myndigheter att veta om GDPR är tillämplig i varje enskilt fall. I praktiken kan detta leda till att GDPR blir svår att tillämpa på grund av ändlösa debatter och meningsskiljaktigheter om ett företags verkliga avsikter och planer.
Max Schrems: "Det är som en vapenlag som bara gäller för vapen när ägaren bekräftar att han kan hantera ett vapen och har för avsikt att skjuta någon. Det är uppenbart hur absurda sådana subjektiva definitioner är."
(2) Personuppgifter från din enhet? Hittills har artikel 5.3 i ePrivacy skyddat användare mot fjärråtkomst av data som lagras på "terminalutrustning", t.ex. datorer eller smartphones. Detta är baserat på rätten till skydd av kommunikation enligt artikel 7 i EU:s stadga om de grundläggande rättigheterna och har säkerställt att företag inte kan "fjärrsöka" enheter.
Kommissionen lägger nu till "vitlistade" behandlingar för åtkomst till terminalutrustning, som skulle omfatta "aggregerad statistik" och "säkerhetsändamål". Även om den allmänna inriktningen på förändringarna är förståelig, är formuleringen extremt tillåtande och skulle också tillåta överdrivna "sökningar" på användarnas enheter för (små) säkerhetsändamål.
(3) AI-träning av Meta eller Google med EU:s personuppgifter? När Meta eller LinkedIn började använda sociala mediedata var det allmänt impopulärt. I en nyligen genomförd studie till exempel bara 7% av tyskarna säger att de vill att Meta ska använda sina personuppgifter för att träna AI. Ändå vill kommissionen nu tillåta användning av mycket personliga uppgifter (som innehållet i 15+ år av en profil på sociala medier) för AI-träning av Big Tech.
Max Schrems: "Det finns absolut inget stöd från allmänheten för att Meta eller Google ska inkludera européernas personuppgifter i sina algoritmer. I åratal fick vi höra att människor inte skulle oroa sig, eftersom våra personuppgifter kommer att användas för att "ansluta" oss, eller i bästa fall användas för att rikta in någon annons. Nu förs alla dina uppgifter in i algoritmerna hos Meta, Google eller Amazon. Detta gör det lättare för AI-system att känna till även de mest intima detaljerna - och följaktligen manipulera människor. Detta gynnar i första hand den amerikanska biljonindustri som bygger upp modeller utifrån våra personuppgifter."
EU-kommissionen förutser att användarna kan välja bort detta, men företag och användare vet vanligtvis inte vems uppgifter som finns i ett träningsdataset. Även om de visste det skulle användarna behöva välja bort detta tusentals gånger per år, varje gång ett annat företag tränar en algoritm med deras data.
Max Schrems: "Opt-out-strategin fungerar inte i praktiken. Företagen har inte användarnas avtalsuppgifter och användarna vet inte vem som tränar utifrån deras uppgifter. Opt-out-metoden är kommissionens försök att lägga ett fikonlöv över denna uppenbarligen olagliga behandling."
Kommissionen vill inte bara privilegiera utbildning av AI-system, utan även "driften" av sådana system. Detta skulle innebära ett "wildcard" där annars olaglig behandling skulle bli laglig, bara för att den sker med hjälp av AI.
Max Schrems: "Vanligtvis måste mer riskfyllda tekniker uppfylla en högre standard. Kommissionens förslag öppnar nu dammluckorna när AI används - medan traditionell databehandling fortfarande skulle falla under gällande lagar. Det är vansinnigt."
(4) Användarrättigheterna reduceras till nästan noll - på tysk begäran? Baserat på en nationell debatt om att GDPR-åtkomsträttigheter kan användas för att bevisa t.ex. utebliven betalning i anställningsavtal, krävde den Krävde den tyska regeringen en massiv begränsning av dessa rättigheter - och betecknade sådan användning som "missbruk", trots att GDPR redan innehåller en klausul om "missbruk". Kommissionen har följt det tyska kravet och föreslår att den registrerades rätt till tillgång till uppgifter endast ska få användas för "dataskyddsändamål".
Omvänt innebär detta att om en anställd använder en begäran om tillgång till uppgifter i en arbetskonflikt om obetalda arbetstimmar - t.ex. för att få en förteckning över de timmar som den anställde har arbetat - kan arbetsgivaren avslå begäran som "missbruk". Detsamma skulle gälla för journalister eller forskare. I en bred tolkning skulle detta kunna gå ännu längre. Om en person begär tillgång till sina uppgifter för att senare radera falska kreditupplysningar för att få ett billigare lån på banken, får sådana rättigheter inte utövas enbart för ett "uppgiftsskyddsändamål" utan av ekonomiskt intresse.
Denna begränsning är en klar överträdelse av EU-domstolens rättspraxis och artikel 8.2 i stadgan. Rätten till informationellt självbestämmande är uttryckligen avsedd att jämna ut informationsklyftan mellan användare och de företag som innehar informationen, eftersom allt mer information döljs på företagens servrar (t.ex. kopior av tidrapporter). EU-domstolen har flera gånger slagit fast att man kan utöva dessa rättigheter för vilket syfte som helst - inklusive rättstvister eller för att generera bevis.
Max Schrems: "Den här ändringen är ett tydligt brott mot stadgan och EU-domstolens rättspraxis. Den kommer att användas av personuppgiftsansvariga i hela Europa för att ytterligare undergräva användarnas rättigheter. Verkligheten är att vi inte har ett utbrett missbruk av GDPR-rättigheter från medborgarnas sida, utan att vi har en utbredd bristande efterlevnad från företagens sida. Att ytterligare inskränka användarnas rättigheter visar hur långt kommissionen har kommit från användarnas dagliga erfarenheter."
noybs arbete är endast möjligt tack vare våra 5 287 stödjande medlemmar. Skulle du också vilja stödja oss?
