Digital Omnibus: AI Act der EU könnte aufgeweicht werden
Die EU-Kommission bereitet mit dem sogenannten „Digital Omnibus“ eine umfassende Generalüberholung der europäischen Digitalregulierung vor. Das für den 19. November erwartete Gesetzespaket zielt darauf ab, Regeln zu vereinfachen und Bürokratie abzubauen – doch Kritiker befürchten einen „Kahlschlag“ bei Bürgerrechten. Netzpolitik.org hat die Entwürfe bereits vorab veröffentlicht.
Vier Regulierungsbereiche stehen im Fokus: Datenschutz, Datennutzung, Cybersicherheitsvorfälle und die KI-Verordnung. Die Kommission hat ihre Pläne auf zwei getrennte Gesetzesvorschläge aufgeteilt, die parallel bestehende Standards auf Kosten des Verbraucherschutzes zurückschrauben könnten.
AI Act: Aufsicht wird zentralisiert, Erleichterungen für KI-Systeme
Bei der KI-Verordnung begründet die Kommission die geplanten Änderungen damit, dass es noch „Herausforderungen bei der Umsetzung“ gebe, „die das wirksame Inkrafttreten wichtiger Bestimmungen gefährden könnten“. Die Lösung: „gezielte Vereinfachungsmaßnahmen vor, die eine zeitnahe, reibungslose und verhältnismäßige Umsetzung gewährleisten sollen“. Konkret soll die KI-Aufsicht teilweise beim AI Office gebündelt werden, das direkt bei der Kommission angesiedelt ist. Davon betroffen wären vor allem Very Large Online Platforms (VLOPS) – laut Digital Services Act solche Angebote, die monatlich mehr als 45 Millionen Nutzer in der EU erreichen, darunter Facebook, Instagram oder Amazon.
Zusätzlich will die Kommission es Anbietern und Betreibern von KI-Systemen „erleichtern“, Datenschutzgesetze einzuhalten, wenn sie personenbezogene Daten verarbeiten. Kleine und mittlere Unternehmen sollen durch Sonderregeln von bestimmten Verpflichtungen etwa bei Dokumentation und Monitoring ausgenommen werden. Unklar bleibt, ob die weitere Umsetzung der KI-Verordnung in Teilen aufgeschoben wird – eine Verschiebung, die im Sinne der Bundesregierung wäre. Der deutsche Digitalminister Karsten Wildberger (CDU) wirbt seit Monaten dafür und führt als Begründung an, dass die technischen Standards noch nicht vorlägen.
Der AI Act steht seitens Unternehmen sowohl in den USA als auch in Europa in der Kritik. Es gibt Befürchtungen, dass die EU in Sachen KI-Entwicklung zurückfallen könnte, weil anderswo die Regeln für AI-Unternehmen lockerer sind. Die Gründe, warum so manche KI-Anwendung wie etwa von Apple, OpenAI oder Meta verzögert in der EU auf den Markt kommen, sind aber mannigfaltig und haben nicht notwendigerweise mit dem AI Act zu tun.
DSGVO-Änderungen: Vom Opt-In zum Opt-Out bei Cookies
Die geplanten Änderungen an der Datenschutz-Grundverordnung gehen weit über kosmetische Korrekturen hinaus. Besonders brisant: Das Training von KI-Systemen mit personenbezogenen Daten soll künftig auf Basis des „berechtigten Interesses“ von Tech-Konzernen möglich sein – ohne explizite Einwilligung der Betroffenen. Beim Online-Tracking und Cookies plant die Kommission eine massive Aufweichung: Das Speichern und Auslesen von nicht-notwendigen Cookies soll nicht mehr nur nach Einwilligung der Nutzer erlaubt sein, sondern auf Basis der gesamten Palette an Rechtsgrundlagen der DSGVO – einschließlich des berechtigten Interesses von Website-Betreibern und Tracking-Firmen.
Nutzer hätten dann nur noch die Möglichkeit zum nachträglichen Opt-Out. Gleichzeitig will die Kommission der Cookie-Banner-Flut begegnen und „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen ebnen, sobald entsprechende Standards verfügbar sind“. Browser oder Betriebssysteme sollen Signale an Websites senden.
Auch bei sensiblen Daten plant die Kommission einen Rückschritt: Artikel 9 der DSGVO, der besondere Kategorien wie ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten oder sexuelle Orientierung schützt, soll enger gefasst werden. Besonders geschützt wären künftig nur noch Daten, die solche Informationen explizit offenbaren. Schließt ein Datenverarbeiter aufgrund vermeintlicher Interessen oder Merkmale auf die mutmaßliche sexuelle Orientierung eines Menschen, würden bisherige Einschränkungen wegfallen. Die Kommission betont zwar, dass „der verstärkte Schutz genetischer Daten und biometrischer Daten aufgrund ihrer einzigartigen und spezifischen Merkmale unverändert bleiben sollte“ – doch die Gesamtrichtung ist eindeutig: mehr Datennutzung, weniger Schutz.
Kritik von Datenschützern
„In Wirklichkeit schlagen die Beamten der Kommission nun Änderungen an Kernelementen wie der Definition personenbezogener Daten vor – und geben KI-Unternehmen wie Google und Open AI einen Blankoscheck für das Training von KI-Systemen unter Verwendung personenbezogener Daten von Menschen“, heißt es seitens der Datenschutzorganisation noyb rund um Max Schrems. „Außerdem würde der Schutz sensibler Daten gemäß Artikel 9 DSGVO erheblich eingeschränkt und andere Rechte wie das Recht auf Auskunft oder das Recht auf Berichtigung oder Löschung von Daten würden nutzlos werden.“
