noyb: Warnung vor heimlicher DSGVO-Reform durch EU-Kommission
Die EU-Kommission plant einen heimlichen Angriff auf die DSGVO, was erhebliche Auswirkungen auf das Grundrecht der Menschen auf Privatsphäre und Datenschutz haben könnte, sagt der Wiener Datenschutz-Rechtler Max Schrems. Seinem Verein noyb zufolge plant die Kommission die Vereinfachung mehrerer EU-Gesetze durch eine so genannte „Omnibus“-Reform, die verschiedene kleinere Elemente mehrerer Gesetze in einem abändert, um die Qualität der Gesetze zu verbessern und den Aufwand für Unternehmen zu mindern. Doch unter dem Deckmantel angeblicher „Vereinfachungen“ oder „Klarstellungen“ würde die Kommission nun auch die DSGVO verändern.
„Extremster Angriff auf die Privatsphäre seit in Krafttreten der DSGVO“
Zu den geleakten Plänen der EU-Kommission gehören laut Schrems Änderungen an Kernelementen wie der Definition des Begriffs „personenbezogene Daten“ und allen Betroffenenrechten. Außerdem sollen laut dem Entwurf KI-Unternehmen (wie Google, Meta oder OpenAI) einen „Freibrief“ erhalten, um die personenbezogenen Daten der Europäer:innen aufzusaugen. Darüber hinaus wolle man den besonderen Schutz sensibler Daten wie Gesundheitsdaten, politischer Ansichten oder sexuellen Orientierung erheblich einschränken. Auch der Fernzugriff auf persönliche Daten auf PCs oder Smartphones ohne Zustimmung der Betroffenen könnte drohen.
Viele Elemente der vorgeschlagenen Reform verstoßen Schrems zufolge gegen die Rechtsprechung des EuGH, europäische Konventionen und die Europäische Charta der Grundrechte. Ob dieser extreme Entwurf die offizielle Position der Europäischen Kommission wird, wird sich erst am 19. November zeigen. Hier will man den „Digital Omnibus“ offiziell vorstellen. Schrems: „Das wäre der extremste Angriff auf die Privatsphäre der Europäer:innen seit in Krafttreten der DSGVO.“
Druck aus Deutschland möglicherweise Grund für Änderungen
Im Gegensatz zur traditionellen Vorgehensweise bei der Rechtsetzung wird die Omnibus-Reform in einem Schnellverfahren ablaufen. Hier wird die EU-Kommission Elemente des Prozesses überspringen, z.B. die Folgenabschätzungen. Bei so einer Omnibus-Reform ist das laut Schrems akzeptabel, wenn nur unstrittige, einfache Verbesserungen stattfinden. Doch die Veränderung der DSGVO sei extrem und auch schlecht formuliert, heißt es von Schrems.
Der ursprüngliche Plan der Kommission war es, im Jahr 2026 einen sogenannten „Digitalen Fitness-Check“ durchzuführen. Im Zuge dessen wollte man die notwendigen Beweise sammeln und dann eine gezielte Aktualisierung der DSGVO und anderer digitaler Gesetze vornehmen. Sowohl die Interessengruppen als auch die Mitgliedstaaten hatten ausdrücklich darum gebeten, die DSGVO nicht wieder zu öffnen. Deutschland drängte jedoch auf erhebliche Änderungen an der DSGVO, die über das ursprüngliche Mandat dieses Gesetzes hinausgehen.
Laut Schrems ist die Kommission einfach auf ein deutsches Arbeitspapier aufgesprungen ist, das letzte Woche durchgesickert ist. Viele Änderungen im Gesetzesentwurf sollen eine 1:1-Kopie der Forderungen im durchgesickerten deutschen Brief zu sein.
„Es ist unklar, woher der politische Druck kommt. Die meisten Mitgliedstaaten haben nur geringfügige Änderungen und keine Wiedereröffnung gefordert. Deutschland hat traditionell eine extrem Anti-DSGVO-Position in Europa eingenommen. Es scheint einfacher zu sein, ein EU-Gesetz für die deutschen Probleme mit der Digitalisierung verantwortlich zu machen, als die Dinge auf nationaler Ebene zu regeln. Es überrascht uns nicht, dass dieser jüngste Vorstoß wieder aus Deutschland kommt. Es gibt Berichte, dass auch der Druck aus den USA eine Rolle spielt“, so Max Schrems.
DSGVO soll für kleine Firmen entschärft werden – Kritik von Datenschützern
„Tunnelblick“ auf das Training und den Einsatz von KI
Der potenzielle Schaden für die DSGVO wäre laut Schrems riesig. Die vorgeschlagenen Änderungen scheinen einen „Tunnelblick“ auf das Training und den Einsatz von KI zu haben – und dafür auch die Verwendung von personenbezogenen Daten erlauben. „Bei diesem Vorschlag wird übersehen, dass die meisten Datenverarbeitungen nicht auf KI basieren. Eine Änderung, die KI ‚befreien‘ würde, hätte massive unbeabsichtigte Folgen für viele andere Bereiche der DSGVO. Auch der Schutz von Gesundheitsdaten, Minderheiten oder Arbeitnehmer:innen wäre durch diesen Entwurf vorbei. Große Teile der Online-Werbebranche könnten aufgrund der vorgeschlagenen Änderungen ihre Pflichten nach der DSGVO umgehen.“
Die Änderungen reichen von der Einschränkung davon, was überhaupt als „personenbezogene Daten“ gilt und somit geschützt ist, bis hin zur Einschränkung des „Auskunftsrechts“. Die Änderungen ermöglichen auch, dass Unternehmen leichter Daten von Smartphones, PCs oder verbundenen Geräten abrufen können. Weiters hätten Unternehmen weitgehend die Möglichkeit, personenbezogene Daten von Europäer:innen für (kommerzielles) KI-Training zu verwenden. Offiziell soll das KMU helfen, indem es den Verwaltungsaufwand reduziert. Jedoch würden die Änderungen vor allem Firmen betreffen, die sich mit KI-Training befassen – also Tech-Konzerne wie OpenAI, Google, Meta, Amazon oder Microsoft.
Max Schrems: „Ein schlecht ausgearbeiteter Schnellschuss in einem hochkomplexen und sensiblen Bereich wird nicht nur den Nutzer:innen schaden, sondern auch den EU-Unternehmen nicht helfen. Es ist auch fraglich, ob der Omnibus in dieser Form schnell durch das Europäische Parlament und den Rat gehen kann. Die Kommission hat noch eine Woche Zeit, für die endgültige Fassung.“
