Die Europäische Kommission plant, am 19. November das Digitale Omnibus vorzulegen, ein Paket von Änderungen, das unter dem Deckmantel der ‚Vereinfachung‘ und ‚Bürokratieabbau‘ fast das gesamte europäische digitale Rechtsrahmen öffnet. Theoretisch ist das Ziel, das Leben für Unternehmen zu erleichtern und die Entwicklung von künstlicher Intelligenz zu beschleunigen, aber in der Praxis stellt es laut Entwürfen und Analysen den tiefsten Eingriff in DSGVO, ePrivacy und AI-Gesetz dar, seit diese Vorschriften bestehen, mit Folgen, die weit über ‚technische Anpassungen‘ hinausgehen.
Laut dem neuen Omnibus hätte Big Tech zum ersten Mal eine Grundlage, um die personenbezogenen Daten von Europäern zu nutzen, um KI-Modelle zu trainieren und zu betreiben, unter dem Vorwand des ‚legitimen Interesses‘, zusammen mit einer Schwächung des Schutzes sensibler Daten und der Möglichkeit einer umfassenden Überwachung von Benutzergeräten.
Das digitale Omnibus ist Teil einer breiteren Agenda der Kommission zur Vereinfachung, und die Idee ist, eine Reihe von digitalen Vorschriften, von der DSGVO und der ePrivacy-Richtlinie bis zum Datenrecht und AI-Gesetz, zu kombinieren und ‚zu modernisieren‘. Die offizielle Erklärung der EU besagt, dass es weniger Überschneidungen, weniger Berichte, klarere Regeln und mehr Innovation geben wird.
Dokumente und rechtliche Analysen erzählen jedoch eine andere Geschichte. Das Omnibus ist kein Paket kosmetischer Änderungen, sondern ein Eingriff in das Wesen der DSGVO, in das, was überhaupt als personenbezogene Daten gilt, in die Rechte der betroffenen Personen, in das Regime sensibler Daten und in die Regeln für den Zugriff auf Daten auf Endgeräten (Computer und Mobiltelefone). Die österreichische Organisation NOYB (None Of Your Business), die sich auf den Schutz digitaler Rechte und die strikte Anwendung der DSGVO spezialisiert hat, insbesondere gegen große Technologieunternehmen, beschrieb diesen Ansatz des Omnibus in einem ‚offenen Brief‘ als den ‚Tod der DSGVO‘.
Verengung der Definition von ‚personenbezogenen Daten‘
Die umstrittenste Änderung betrifft die Definition von ‚personenbezogenen Daten‘. Laut der Analyse von NOYB des Entwurfs möchte die Kommission ein subjektives Kriterium einführen, sodass, wenn ein bestimmter Datenverantwortlicher ‚eine Person nicht vernünftigerweise identifizieren kann‘, die Daten nicht mehr als personenbezogen gelten und die DSGVO überhaupt nicht anwendbar wäre.
Obwohl es verwirrend klingen mag, bedeutet dies in der Praxis, dass verschiedene Pseudo-Identifikatoren, Werbe-IDs und Cookie-IDs als ’nicht-personenbezogene‘ Daten behandelt werden könnten. Das gesamte Online-Werbeökosystem, das heute formal unter die DSGVO fällt, könnte teilweise aus dem Schutz herausfallen. Gleichzeitig hat die EU-Rechtsprechung bisher nach dem völlig entgegengesetzten Prinzip gearbeitet, nämlich dass selbst Daten, die keinen Namen offenbaren, aber eine Profilierung oder ‚Identifizierung‘ einer Person ermöglichen, als personenbezogen gelten.
Noch umstrittener ist die geplante Handhabung sensibler Daten, wie Gesundheitsinformationen, politische Überzeugungen oder sexuelle Orientierung. Laut den Vorschlägen würde ein besonderer Schutz nur gelten, wenn solche Daten ‚direkt offengelegt‘ werden. Das bedeutet, dass, wenn Sie schreiben, dass Sie Mitglied einer bestimmten Partei sind, die DSGVO Sie schützt. Aber wenn ein Algorithmus Sie basierend auf beispielsweise ‚Likes‘, Standort oder Kontaktlisten in diese Partei einordnet, ist der Schutz viel schwächer.
Das Paradoxon ist offensichtlich, denn Menschen, die intime Daten offenlegen, verstehen in der Regel die Risiken besser, während diejenigen, die vom System aufgrund ihres Verhaltens ohne ihr Wissen ‚gelesen‘ werden, verletzlicher sind. Aus diesem Grund warnen Aktivisten, dass eine solche Reduzierung des Schutzes der bisherigen Praxis des EU-Gerichts widersprechen würde. Das neue Paket greift insbesondere in Daten auf Endgeräten wie Laptops und Smartphones ein. Die Idee ist, ePrivacy mit der DSGVO zu kombinieren und die Gründe, aus denen der Zugriff auf Daten auf dem Gerät erlaubt ist, erheblich zu erweitern, einschließlich ‚legitimen Interesses‘ und einer Reihe neuer rechtlicher Grundlagen. Dies würde die Datenabfrage oder die Platzierung von Trackern ohne die klassische klare Zustimmung ermöglichen.
Politischer Kampf
Die Diskussion beginnt gerade erst, da es sich noch um einen Entwurf handelt, der durch die Mitgliedstaaten und das Europäische Parlament gehen muss. Die meisten Regierungen sind nicht begeistert von der erheblichen ‚Verunstaltung‘ der DSGVO, während Deutschland und Finnland eine stärkere Lockerung der Regeln im Namen der ‚Wettbewerbsfähigkeit‘ vorantreiben. NOYB behauptet, dass Deutschland die weitreichendsten Änderungen gefordert hat, während andere Länder nur geringfügige Anpassungen angestrebt haben. Einige Analysten bringen dies mit Lobbyarbeit amerikanischer Technologieunternehmen und mit Draghi’s Bericht in Verbindung, der offen erklärt, dass die DSGVO die KI-Innovation behindert.
Gegner haben sich bereits im Parlament zu Wort gemeldet, darunter die Abgeordnete Markéta Gregorová, die warnt, dass eine lockerere Definition von personenbezogenen Daten und größere ‚Flexibilität‘ für KI eine Massenverarbeitung von personenbezogenen und sensiblen Daten ohne echten Schutz bedeuten würde und dass grundlegende Rechte hinter Geschäftsinteressen, d.h. Geld, zurückgedrängt würden.
Kommission: Wir schwächen die DSGVO nicht
Die Kommission behauptet natürlich, dass sie nur die Geschäfte erleichtern und die ‚technologische Souveränität‘ stärken will, während sie den Schutz der Bürger aufrechterhält. Das Problem ist jedoch, dass dies keine geringfügige Anpassung ist, sondern eine Änderung der Definition von personenbezogenen Daten, eine Schwächung des Schutzes sensibler Daten, eine Relativierung der Rechte der betroffenen Personen und die Einführung neuer Ausnahmen für das KI-Training auf der Grundlage von ‚legitimem Interesse‘. Noch problematischer ist, dass die Kommission laut verfügbaren Informationen keine vollständige Folgenabschätzung plant, obwohl es sich um Änderungen handelt, die den Kern der europäischen Regulierung betreffen.
