Die AG Datenschutz von D64 – Zentrum für Digitalen Fortschritt hat eine Stellungnahme zum sogenanntem Digitalen Omnibus der Europäischen Kommission eingereicht. Die Initiative soll u.a. die Datenschutz-Grundverordnung (DSGVO) und die KI-Verordnung (AI Act) „vereinfachen“. Wir kritisieren die Deregulierung und schlagen Vereinfachung durch andere Maßnahmen vor.
Der Digitale Omnibus droht bestehende Schutzstandards der DSGVO zu schwächen. Die Kommission macht geltend, mit der Neufassung des Begriffs „personenbezogene Daten” lediglich die Rechtsprechung des EuGH zu kodifizieren. Das trifft nicht zu. Zwar hat der Gerichtshof in der Rechtssache SRB (C-413/23 P) bestätigt, dass pseudonymisierte Daten für einen Empfänger ohne Identifizierungsmöglichkeit keinen Personenbezug aufweisen können. Er verlangt jedoch eine Prüfung anhand aller Mittel, die „nach allgemeinem Ermessen wahrscheinlich“ zur Identifizierung genutzt werden – auch solcher Dritter. Der Entwurf weicht hiervon ab: Er stellt allein auf die Mittel der jeweiligen Entität ab und lässt offen, wie Wissen bei gemeinsamer Verantwortlichkeit oder Auftragsverarbeitung zuzurechnen ist. Nutzenden-IDs, zentral für Online-Werbung und Datenhandel, fielen so aus dem Anwendungsbereich der DSGVO. Damit würden die datenschutzrechtlichen Grenzen für kommerzielles Tracking, welches ein Großteil der Bürgerinnen und Bürger in der Europäischen Union auch bereits unter den bestehenden Schutzstandards ablehnt, entfallen.
Ebenso problematisch: Der Entwurf stuft Entwicklung und Betrieb von KI-Systemen als berechtigtes Interesse ein. Die Formulierung „in the context of the development and operation” erfasst dabei praktisch jede Datenverarbeitung mit auch nur vagem KI-Bezug. Warum ein solcher Bezug für das Schutzniveau maßgeblich sein soll, leuchtet angesichts des bisher technikneutralen Ansatzes der DSGVO nicht ein. Wesentliche Schutzanforderungen finden sich zudem nur in unverbindlichen Erwägungsgründen. Der Begriff „enhanced transparency” etwa bleibt unbestimmt; Fristenregelungen und effektive Widerspruchsverfahren für Dritte ohne Nutzendenkonto fehlen; der Kinderschutz erschöpft sich in einem allgemeinen Hinweis – um nur einige Defizite zu nennen.
Auch der Schutz besonders sensibler Daten nach Art. 9 DSGVO gerät unter Druck: Künftig sollen Betreiber von KI-Systemen solche Daten verarbeiten dürfen, wenn deren Entfernung „unverhältnismäßigen Aufwand“ verursacht. Das verkehrt die Schutzlogik des Datenschutzrechts und setzt einen Fehlanreiz: Je mehr Daten verarbeitet werden, desto einfacher gestaltet sich die Rechtfertigung.
Eine effektive Durchsetzung der DSGVO setzt voraus, dass sich die datenschutzrechtliche Praxis überprüfen lässt. Die geplante Anhebung der Meldeschwelle für Datenschutzverletzungen in Art. 33 DSGVO auf „hohes Risiko“ würde die Sichtbarkeit von Datenlecks und anderen Datenpannen massiv verringern. Auch die Einschränkungen des Auskunftsrechts nach Art. 15 DSGVO – Betroffene sollen ihre Berechtigung nachweisen müssen – und die Abschwächung der Informationspflichten nach Art. 13 DSGVO erschweren Betroffenen die Kontrolle. Dabei gilt: Wer seine Pflichten nach Art. 24 und Art. 25 DSGVO von Anfang an ordentlich erfüllt hat, für den wäre der Aufwand schon heute nicht unverhältnismäßig. Der Omnibus entlastet gerade jene, die diese Pflichten vernachlässigt haben.
Ob der Omnibus sein erklärtes Ziel erreicht, die Digitalgesetzgebung gerade für KMU und zivilgesellschaftliche Organisationen zu vereinfachen, ist daher zweifelhaft. Einzelne Ansätze wie die Einführung eines zentralen Meldesystems für Vorfälle nach DSGVO, NIS-2 und DORA zur Vermeidung von Mehrfachmeldungen verdienen Zustimmung, auch erscheinen terminologische Harmonisierungen zweckmäßig. Doch das strukturelle Problem bleibt ungelöst: Die DSGVO adressiert nur Verantwortliche, nicht Hersteller von Software und Diensten. Will man Verantwortliche entlasten, ohne das Schutzniveau zu senken, müssten die Pflichten auf Anbieter verlagert werden – wie im AI Act oder Cyber Resilience Act geschehen. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO wäre entsprechend zu erweitern und die Pflichten nach Art. 25 Abs. 1, 2 DSGVO sollten auch auf Hersteller von Soft- und Hardware sowie Auftragsverarbeiter ausgedehnt werden.
