Enligt vad som gradvis har läckt ut de senaste dagarna av olika nyhetsbyråer har EU-kommissionen i hemlighet satt igång en potentiellt omfattande reform av GDPR. Om de interna utkasten blir verklighet skulle detta få betydande konsekvenser för människors grundläggande rätt till integritet och dataskydd. Reformen skulle vara en del av den så kallade "Digital Omnibus" som endast skulle medföra riktade justeringar för att förenkla efterlevnaden för företag. Nu föreslår kommissionen ändringar av centrala delar som definitionen av "personuppgifter" och alla registrerades rättigheter enligt GDPR. Det läckta utkastet föreslår också att AI-företag (som Google, Meta eller OpenAI) ska få en blankocheck för att suga upp européernas personuppgifter. Dessutom skulle det särskilda skyddet för känsliga uppgifter som hälsouppgifter, politiska åsikter eller sexuell läggning minskas avsevärt. Dessutom skulle fjärråtkomst till personuppgifter på datorer eller smarta telefoner utan användarens samtycke möjliggöras. Många delar av den planerade reformen skulle kullkasta EU-domstolens rättspraxis och strida mot europeiska konventioner och Europeiska unionens stadga om de grundläggande rättigheterna. Om detta extrema utkast kommer att bli EU-kommissionens officiella ståndpunkt kommer att visa sig först den 19 november, då "Digital Omnibus" officiellt kommer att presenteras. Schrems: "Detta skulle innebära en massiv försämring av européernas integritet tio år efter att GDPR antogs."
- Översiktstabell över utkastet och kommentarer av noyb
- Läckt dokument om medlemsstaternas ståndpunkter (i stort sett inga krav på reformer)
- Läckt dokument från Tyskland (efterfrågar en omfattande reform, men i stort sett inte nu)
- Läckage av originaltext (via Netzpolitik.org)
- Originalrapportering av MLex (betalvägg), Rapportering av Reuters och Rapportering av Netzpolitik.org
Hemlig "snabbspårs"-attack mot GDPR. EU-kommissionen planerar att förenkla flera EU-lagar genom en s.k. "Omnibus"-reform, ett verktyg som normalt ändrar olika mindre delar av flera lagar horisontellt, för att förbättra lagens kvalitet och effektivisera pappersarbetet. Till skillnad från det traditionella tillvägagångssättet för lagstiftning görs Omnibus via ett "snabbspår" som hoppar över flera delar av processen, inklusive konsekvensbedömningar och tid för återkoppling från juridiska tjänster och relevanta enheter i EU-institutionerna. Detta är acceptabelt om endast enkla förbättringar som inte är kontroversiella görs.
Det har dock avslöjats att Europeiska kommissionens avdelningar under ledning av vice verkställande direktör Henna Virkkunen (det s.k."DG CONNECT") arbetar med en omfattande reform av GDPR under rubriken "förenklingar" eller "förtydliganden".
Max Schrems:"Utkastet är inte bara extremt, utan också mycket dåligt utformat. Det hjälper inte 'småföretag', som utlovat, utan gynnar återigen främst 'big tech'."
Kommissionens ursprungliga plan var att göra en så kallad "Digital Fitness Check" 2026, samla in nödvändiga bevis och sedan göra en riktad och välutvecklad uppdatering av GDPR och andra digitala lagar.
"Hoppar" EU på tyska eller amerikanska krav? Både intressenter och medlemsstater har uttryckligen uppmanats att inte återuppta GDPR. I en sammanfattning av medlemsstaternas ståndpunkter säger nästan alla medlemsstater som har lämnat synpunkter att de inte vill ha några förändringar. Tyskland har dock drivit på för att få till stånd betydande ändringar av GDPR som går utöver lagens ursprungliga mandat. Det verkar som om kommissionen helt enkelt "hoppade på" ett tyskt icke-papper som läckte ut förra veckan, med tanke på att många ändringar i utkastet verkar vara en 1:1-kopia av kraven i det läckta tyska brevet. Tyskland har inte lämnat några bevis för behovet av dessa reformer - det är oklart varifrån dessa krav kommer. Andra röster pekar på att Politico nyligen rapporterade att Virkkunens budskap till amerikanska företag i direkta möten var attEU kommer att se över sina regler och bli mer affärsvänligt.
Max Schrems:"Det är oklart varifrån de politiska påtryckningarna kommer. De flesta medlemsländer ville ha små förändringar och ingen återöppning. Tyskland har traditionellt intagit en anti-GDPR-position i Europa. Det verkar vara lättare att skylla tyska problem med digitalisering på någon EU-lag än att lösa problemen nationellt. Vi är inte förvånade över att de senaste påtryckningarna kommer från Tyskland igen. Det finns rapporter om att även påtryckningar från USA kan spela en roll."
När man läser det första interna utkastet står det klart att den potentiella skadan på GDPR (se detaljer nedan) skulle bli enorm. Stora delar av utkastet bryter mot europeiska konventioner, stadgan om de grundläggande rättigheterna eller domstolens rättspraxis. Huruvida detta är avsiktligt eller beror på det snabba arbetstempot och den dåliga kvaliteten på utkastet är fortfarande oklart. Insiders i Bryssel rapporterade att vissa enheter bara hade fem (!) arbetsdagar på sig att kommentera ett lagförslag på över 180 sidor.
Max Schrems: "En del av EU-kommissionen verkar försöka köra över alla andra i Bryssel och strunta i reglerna om god lagstiftning, med potentiellt fruktansvärda resultat. Det är mycket oroande att se hur trumpska lagstiftningsmetoder får fäste i Bryssel."
Tunnelvision för "AI-racet"? Även om det kan finnas flera bra sätt att förbättra och förenkla GDPR, verkar de föreslagna ändringarna lida av "tunnelseende" när det gäller att möjliggöra utbildning i och användning av AI - även när det gäller personuppgifter. I en nyligen genomförd studie säger dock endast 7% av tyskarna att de vill att Meta ska använda deras personuppgifter för att träna AI. Ändå syftar reformen till varje element i GDPR som kan begränsa AI-användningen.
Max Schrems: "Vad dessa förändringar verkar förbise är att den mesta databehandlingen inte är AI-baserad. Den potentiella förändring som skulle "befria" AI skulle få enorma oavsiktliga konsekvenser för många andra områden i GDPR. Skyddet för hälsouppgifter, minoriteter eller anställda skulle också dödas i detta utkast. Stora delar av online-annonsbranschen kan komma att kunna kringgå GDPR-kraven på grund av de planerade ändringarna."
Död genom 1000 nedskärningar. Även om många förändringar låter tekniska finns det människors rättigheter bakom varje "definition" i GDPR. Ändringarna sträcker sig från att minska vad som ens anses vara "personuppgifter" och därmed skyddas, till att begränsa "rätten till tillgång" så att anställda, journalister eller forskare inte längre kan få tillgång till sina egna uppgifter. Ändringarna innebär också att det blir lättare att "hämta" data från smartphones, datorer och andra anslutna enheter eller att företag i stor utsträckning får använda personuppgifter från européer för (kommersiell) AI-träning. Även om företag ofta hävdar att GDPR skulle vara en "börda" är verkligheten den att inte ens 1,3% av alla GDPR-klagomål leder till böter. I Irland har hittills endast 0,6 procent av böterna betalats.
Max Schrems:"Förslaget skulle skära många små hål i lagen, vilket skulle göra den totalt sett oanvändbar i de flesta fall. Vi ser redan nästan ingen tillämpning av EU:s integritetslagar, och med dessa ändringar skulle de flesta fall som vi för närvarande vinner sannolikt förloras eller leda till ännu mer komplicerade förfaranden."
I grund och botten ingen fördel för små och medelstora företag och EU-företag. Det officiella skälet till "förtydliganden" och "förenklingar" via Omnibus var att begränsa den administrativa bördan för små och medelstora företag (SMF) i EU. noyb stöder detta mål fullt ut. De föreslagna ändringarna berör dock främst företag som bedriver AI-utbildning - alltså företag som nu värderas i biljoner (som OpenAI, Google, Meta, Amazon eller Microsoft). Även om det finns vissa förtydliganden som kan gynna små och medelstora företag, t.ex. regler om när så kallade "konsekvensbedömningar avseende dataskydd" måste göras, kommer dessa inte att ha någon större inverkan på den europeiska konkurrenskraften.
Max Schrems:"Om det här utkastet blir slutgiltigt är allt tal om "småföretag" och "administrativa bördor" uppenbarligen bara en sidoshow för att få allmänhetens stöd. Igrunden är detta ett massivt avregleringsförsök som omkullkastar 40 år av europeisk doktrin om grundläggande rättigheter."
Uppmaning till brådskande stopp och korrekt lagstiftning. Med tanke på att det här förslaget är fullt av problem och dessutom skulle leda till stor rättslig osäkerhet, vilket skulle göra många förändringar utsatta för (framgångsrika) rättsliga angrepp i EU-domstolen, är det inte säkert att det här "snabbspåret" är till hjälp för någon - vare sig för små och medelstora företag, dataskyddsmyndigheter eller användare. De första indikationerna från Europaparlamentet visar också att långtgående förändringar helt klart skulle hindra "Omnibus" i parlamentet. Med tanke på att kommissionen har för avsikt att så snabbt som möjligt anta andra delar av den digitala omnibussen anser vi att det inte finns något annat sätt än att ta bort de flesta ändringarna av GDPR från utkastet.
Max Schrems: "Att avfyra ett dåligt utformat "snabbskott" på ett mycket komplext och känsligt område kommer inte bara att skada användarna, utan inte heller hjälpa EU:s företag. Det ifrågasätter också om denna Omnibus snabbt kan passera genom Europaparlamentet och rådet. Kommissionen har fortfarande en vecka på sig att besluta vad som ska ingå i det slutliga förslaget."
Översikt över förändringar
I utkastet till Digital Omnibus föreslås otaliga ändringar av många olika artiklar i GDPR. I kombination innebär detta en "död genom 1000 skärsår". Vi har gjort en allmän översikt över några av de viktigaste ändringarna. För den mest detaljerade juridiska analysen, ladda ner vår översikts-PDF här. Alla ändringar som anges nedan baseras på våra bästa ansträngningar att förstå kommissionens interna utkast. Vissa delar är otydliga och motstridiga i utkastet och av så dålig kvalitet att den verkliga innebörden och avsikten med texterna inte alltid framgår tydligt.
(1) Ett nytt kryphål i GDPR via "pseudonymer" eller "ID:n"? Det verkar som om kommissionen planerar att avsevärt begränsa definitionen av "personuppgifter" - vilket skulle leda till att dataskyddsförordningen inte skulle vara tillämplig i många fall. Planen är att lägga till ett "subjektivt förhållningssätt" i texten till GDPR. Detta skulle innebära att om ett visst företag inte kan identifiera en person är uppgifterna inte "personliga" för det företaget - och GDPR upphör att gälla.
Vidare hänvisas i utkastet till verktyg för identifiering som sannolikt kommer att användas av varje specifik personuppgiftsansvarig. Detta skulle kräva ytterligare undersökningar och förutsägelser om ett specifikt företags inre arbete och framtida åtgärder för att veta om en person fortfarande åtnjuter sina rättigheter enligt GDPR. I praktiken innebär detta att dataskyddsförordningen knappast längre är verkställbar och att den skulle leda till ändlösa debatter och bråk om ett företags verkliga avsikter och planer.
Utkastet kan åtminstone tolkas som att man överger uppfattningen att tekniker för att "peka ut" en person fortfarande omfattas av lagen. Istället antyder ordalydelsen i utkastet ett generellt undantag från GDPR om personuppgiftsansvariga bara använder "pseudonymer" (som "user12473" eller uppgifterna från en spårningscookie) istället för namn. Detta skulle innebära att hela industrisektorer som hittills har omfattats av GDPR och som arbetar med "pseudonymer" eller slumpmässiga ID-nummer inte längre skulle omfattas (fullt ut). Detta skulle kunna gälla nästan all spårning online, onlineannonsering och de flesta datamäklare.
Denna förändring skulle också innebära ett stort avsteg från EU-domstolens ganska vida tolkning. Det finns rättspraxis sedan mer än 20 år tillbaka som stöder en bred tolkning av vad som utgör "personuppgifter".
Med tanke på att termen "personuppgifter" kommer från artikel 8 i stadgan är det mycket troligt att en sådan djupgående förändring inte skulle överleva EU-domstolens granskning.
(2) Rätt till tillgång, radering eller rättelse får "ändamålsbegränsning". En stor förändring (på tysk begäran) är att begränsa användningen av registrerades rättigheter (som tillgång till uppgifter, rättelse eller radering) till enbart "dataskyddsändamål". Omvänt innebär detta att om en anställd använder en begäran om tillgång till uppgifter i en arbetskonflikt om obetalda arbetstimmar - t.ex. för att få en förteckning över de timmar som den anställde har arbetat - kan arbetsgivaren avslå begäran som "missbruk". Detsamma skulle gälla för journalister eller forskare.
I en bred tolkning skulle detta kunna gå ännu längre. Om en person begär att få radera falska uppgifter om kreditvärdighet för att få ett billigare lån på banken, får en sådan "rätt till rättelse" av falska ekonomiska uppgifter inte utövas enbart för ett "dataskyddssyfte" utan av ekonomiskt intresse. Även fall som den berömda "rätten att bli bortglömd" kan inte ses som ett "dataskyddsintresse" om den person som kräver radering av offentliga uppgifter gör det i ett affärsintresse.
Denna idé är en tydlig överträdelse av EU-domstolens rättspraxis och artikel 8.2 i stadgan. Rätten till informationellt självbestämmande är uttryckligen avsedd att jämna ut informationsgapet mellan användare och de företag som innehar informationen, eftersom allt mer information döljs på företagsservrar (t.ex. kopior av tidrapporter). EU-domstolen har flera gånger slagit fast att européer kan utöva dessa rättigheter för vilket syfte som helst - inklusive rättstvister eller för att generera bevis.
GDPR har redan begränsningar för "missbruk" av GDPR-rättigheter (t.ex. att nekas tillgång till data eller att behöva betala en avgift), men kommissionen vill nu också begränsa skälen till varför dessa rättigheter kan utövas.
(3) Google, Meta och OpenAI kan nu träna AI med dina data. Kommissionens utkast innehåller också ändringar av artiklarna 6.1 och 9.2 i GDPR för att tillåta behandling av personuppgifter för AI. Det innebär att en högriskteknik, som drivs av människors mest personliga tankar och känsliga uppgifter, får ett generellt "OK" enligt GDPR. Samtidigt förblir varje traditionell databas eller CCTV-kamera strikt reglerad.
Kommissionens utkast lyfter fram behovet av "uppgiftsminimering" (en princip som ändå redan gäller enligt artikel 5.1 b i GDPR) och kräver att odefinierade "skyddsåtgärder" införs. Det finns dock inga tekniska riktmärken eller standarder för sådana "skyddsåtgärder". Det enda specifika påstådda skyddet är en "rätt att göra invändningar". Men denna idé är dömd att misslyckas i de flesta fall:
- Det skulle innebära att användarna i EU först måste informeras om att deras uppgifter faktiskt används för AI-träning, vilket i stort sett är omöjligt. Företag som OpenAI har ingen aning om vilka personuppgifter som tillhör vem, än mindre vilka kontaktuppgifter de har. Människor kommer därför aldrig att få reda på att deras personuppgifter överhuvudtaget används
- Om människor ändå får reda på det måste de ständigt göra invändningar mot alla dessa företag. Detta innebär att man måste hitta hundratals personuppgiftsansvariga, fylla i formulär och upprepa övningen för alla som går AI-utbildningen individuellt
- Slutligen måste invändningen och de relevanta uppgifterna "matchas", trots att användarna inte vet om deras uppgifter överhuvudtaget används - och i så fall vilka uppgifter som används. Den personuppgiftsansvarige kommer i sin tur oftast inte att kunna göra en invändning när hela internet skrapas.
Slutsats: Google, Meta, Microsoft eller OpenAI kan fortsätta att tjäna biljoner (!) med data som genererats av europeiska företag, konstnärer eller privatpersoner, samtidigt som de får ett "frikort" av den europeiska lagstiftaren.
(4) Får drift av AI-system ett "GDPR-jokerkort"? Ändringarna av artiklarna 6.1 och 9.2 i GDPR går ännu längre än väntat. Inte bara utvecklingen av AI-system skulle vara privilegierad, utan även driften av ett AI-system. Begreppet "drift" är inte definierat, men kommer sannolikt att omfatta alla typer av databehandling.
Detta skulle leda till en grotesk situation: Om personuppgifter behandlas via en traditionell databas, Excel-ark eller programvara måste ett företag hitta en rättslig grund enligt artikel 6.1 i GDPR. Men om samma behandling görs via ett AI-system kan det kvalificera som ett "berättigat intresse" enligt artikel 6.1 f i GDPR. Detta skulle ge en (riskfylld) teknik företräde framför alla andra former av databehandling och strida mot dataskyddsförordningens "teknikneutrala" synsätt.
(5) Känsliga uppgifter som hälsa, politik eller sexliv omfattas endast om de "avslöjas direkt"? Artikel 9 i GDPR skyddar särskilt "känsliga" uppgifter om människors hälsa, politiska åsikter, sexualliv, sexuella läggning eller medlemskap i fackförening. Hittills har EU-domstolen ansett att sådan information också skyddas om den endast kan härledas från annan information. Kommissionen försöker nu upphäva lagen och vill begränsa skyddet enligt artikel 9 till att endast gälla om sådan känslig information "direkt röjs".
Personer som "direkt avslöjar" att de är gravida, har cancer eller är homosexuella behöver dock vanligtvis detta skydd i mindre utsträckning än personer om vilka sådan känslig information endast kan "härledas" från annan information. Ett klassiskt exempel på detta är arbetsgivare som använder "big data" för att dra slutsatsen att en kvinna är gravid - för att sedan snabbt avskeda personen i fråga för att undvika socialbidrag och liknande. Just nu skulle detta falla under artikel 9 i GDPR. I framtiden skulle det reduceras till skydd enligt artikel 6 i GDPR - medan en person som offentligt tillkännager sin graviditet skulle falla under artikel 9 i GDPR.
Ur individens perspektiv är en sådan begränsning inte meningsfull, men kommissionen verkar främst vara bekymrad över företag som vill använda sådana uppgifter för AI-träning. Att filtrera efter "jag är gravid" är enklare än att filtrera de 1000 signaler som gör att Meta eller Google kan räkna ut att en person är gravid.
Denna förändring skulle strida mot artikel 6 i Europarådets konvention 108 som använder den nuvarande GDPR-ordalydelsen ("avslöjande") och ratificerades av 55 länder.
(6) Hämtning av personuppgifter från din enhet? Hittills har artikel 5.3 i ePrivacy skyddat användare mot fjärråtkomst av data som lagras på "terminalutrustning", t.ex. datorer eller smartphones. Detta är baserat på rätten till skydd för kommunikation enligt artikel 7 i stadgan och har säkerställt att företag inte kan "fjärrsöka" enheter.
Kommissionens förslag tillåter dock nu - beroende på hur man läser utkastet - upp till 10 (!) rättsliga grunder för att hämta information från en personlig enhet - eller placera spårningsteknik på din enhet (t.ex. "cookies"). De fyra "vitlistade" behandlingsåtgärderna för åtkomst till terminalutrustning skulle nu omfatta "aggregerad statistik" och "säkerhetsändamål". Även om den allmänna inriktningen på förändringarna är förståelig, är formuleringen extremt tillåtande och skulle också tillåta överdrivna "sökningar" på användarnas enheter för (små) säkerhetsändamål.
Dessutom skulle alla rättsliga grunder enligt artikel 6.1 i GDPR vara tillgängliga. I kombination skulle detta kunna leda till absurda resultat: AI-träning skulle vara ett "berättigat intresse", och företag kan nu få fjärråtkomst till personuppgifter på din enhet för ett sådant "berättigat intresse". Följaktligen skulle det vara en möjlig tolkning av lagen att företag som Google kan använda data från alla Android-appar för att träna sin Gemini AI. Särskilt "Big Tech"-företag skulle med stor sannolikhet ha en ännu mer expansiv tolkning av utkastet till lagtext. Det är tveksamt om författarna till detta lagförslag någonsin har tänkt på dessa kombinationer.
