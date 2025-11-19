Die EU-Kommission hat ihren Vorschlag für den „Digital Omnibus“ veröffentlicht – ein Paket, das die GDPR modernisieren und Cookie-Banner vereinfachen soll. Die Kommission verspricht über 800 Millionen Euro jährliche Einsparungen für Unternehmen durch neue Cookie-Regeln und zusätzlich 1,5 Milliarden Euro einmalige Einsparungen für Cloud-Anbieter.

Nutzer sollen künftig mit einem einzigen Klick alle Cookies ablehnen können (auf Geräte- bzw. Browser-Ebene), und Websites müssen diese Entscheidung mindestens sechs Monate respektieren. Außerdem soll es keine Banner-Pop-ups mehr für „nicht riskante“ Zwecke wie das Zählen von Website-Besuchen brauchen.

„Die Änderungen reduzieren die Häufigkeit, mit der Cookie-Banner angezeigt werden, und ermöglichen es den Nutzern, ihre Zustimmung mit einem Klick zu erteilen und ihre Cookie-Einstellungen über zentrale Einstellungen in Browsern und Betriebssystemen zu speichern“, heißt es. Die Cookie-Regeln werden in den GDPR-Rahmen integriert, wodurch Verstöße mit Strafen von bis zu 4 Prozent des globalen Umsatzes geahndet werden können.

KI-Training mit persönlichen Daten und vereinfachte Compliance

Der Vorschlag klärt erstmals explizit, wie personenbezogene Daten für das Training von KI-Modellen genutzt werden dürfen. Unternehmen können sich auf „berechtigtes Interesse“ berufen, solange die Verarbeitung keine EU- oder nationalen Gesetze verletzt und alle GDPR-Anforderungen erfüllt. Dazu heißt es konkret:

„Gemäß der DSGVO darf die für die Verarbeitung personenbezogener Daten verantwortliche Stelle personenbezogene Daten aus „berechtigtem Interesse“ rechtmäßig verarbeiten. Der Vorschlag stellt klar, wie dies auf KI-Systeme anzuwenden ist. In Übereinstimmung mit der Stellungnahme des EDPB können personenbezogene Daten für KI-Modelle verarbeitet werden, solange die Verwendung in einer bestimmten Situation nicht gegen EU- oder nationales Recht verstößt und die Verarbeitung allen Anforderungen der DSGVO entspricht. Der Vorschlag unterwirft diese Verarbeitung strengen Schutzmaßnahmen und gewährleistet, dass betroffene Personen das uneingeschränkte Recht haben, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen.“

Die Kommission betont, dass Nutzer ein „unbedingtes Widerspruchsrecht“ behalten. Zusätzlich kodifiziert der Vorschlag ein aktuelles EuGH-Urteil: Datensätze können geteilt werden, wenn der Empfänger nicht in der Lage ist, Einzelpersonen zu re-identifizieren. Der ursprüngliche Datenverantwortliche trägt weiterhin alle GDPR-Pflichten.

Für Unternehmen sollen verschiedene Compliance-Pflichten vereinfacht werden. Die Kommission will klären, wann Datenschutz-Folgenabschätzungen durchgeführt werden müssen und wie Datenpannen den Aufsichtsbehörden zu melden sind. Kleinunternehmer – etwa Handwerker oder Sportvereine – müssen Nutzer nicht mehr über jede Datenverarbeitung informieren, wenn „vernünftige Gründe zur Annahme“ bestehen, dass die Person diese Information bereits hat. Die Definition personenbezogener Daten soll präzisiert werden, wobei die Kommission verspricht, „das höchste Schutzniveau“ beizubehalten.

Massive Kritik von Datenschützern

Datenschutzaktivist Max Schrems von der Datenschutzorganisation noyb widerspricht dieser Darstellung fundamental: „Dies ist der größte Angriff auf die digitalen Rechte der Europäer seit Jahren. Wenn die Kommission erklärt, dass sie ‚die höchsten Standards aufrechterhält‘, ist das schichtweg falsch. Die Vorschläge der Kommission würden diese Standards untergraben.“ Schrems argumentiert, dass die Änderungen vor allem Big Tech nützen, während durchschnittliche europäische KMU keinen wirklichen Nutzen hätten.

127 Zivilgesellschaftsorganisationen und mehrere Fraktionen im EU-Parlament (S&D, Renew, Grüne) haben den Vorschlag bereits scharf kritisiert. Die meisten EU-Mitgliedstaaten hatten die Kommission ausdrücklich gebeten, die DSGVO nicht wieder zu öffnen.

„Undurchsichtigen Algorithmen schutzlos ausgeliefert“

Besonders kritisch sieht Schrems die geplanten Änderungen für KI-Training: „Künstliche Intelligenz ist vielleicht eine der einflussreichsten und gefährlichsten Technologien für unsere Demokratie und Gesellschaft. Dennoch hat das Narrativ eines ‚KI-Wettlaufs‘ die Kommission dazu gebracht, sogar jene Maßnahmen aus dem Fenster zu werfen, die uns eigentlich davor schützen sollten, dass wir großen undurchsichtigen Algorithmen schutzlos ausgeliefert sind.“ Eine aktuelle noyb-Umfrage zeigt, dass nur 7 Prozent der Deutschen wollen, dass Meta ihre persönlichen Daten zum Training von KI verwendet. Der vorgeschlagene Opt-out-Ansatz funktioniere nicht, da Unternehmen und Nutzer meist nicht wüssten, wessen Daten in Trainingsdatensätzen enthalten sind.

Die Kommission führt die Reform unter Präsidentin Ursula von der Leyen, Vizepräsidentin Henna Virkkunen und Justizkommissar Michael McGrath durch – ohne die ursprünglich geplante Folgenabschätzung oder Evidenzerhebung. Schrems spricht von einer „Panikreaktion“ und kritisiert: „Wir können Gesetze, die das Leben von 450 Millionen Menschen betreffen, nicht nach dem Motto ‚Move Fast and Break Things‘ erlassen.“ Der politische Druck kommt laut verfügbaren Dokumenten unter anderem aus Deutschland, wobei auch Berichte über Druck der Trump-Regierung existieren, EU-Gesetze abzubauen, die US-Unternehmen im Weg stehen. Das Europäische Parlament und die Mitgliedstaaten müssen dem Vorschlag noch zustimmen – der Widerstand ist erheblich.