Entwürfe der EU-Kommission für den sogenannten Digital-Omnibus und damit verknüpfte umfangreiche Änderungen an der Datenschutz-Grundverordnung (DSGVO) nähren die Befürchtungen von Kritikern vor einem „Kahlschlag“ und einem „massiven Stutzen“ von Bürgerrechten. Hauptsächlich verfolgt die Brüsseler Regierungsinstitution mit dem umfangreichen Gesetzespaket das Ziel, digitale Vorschriften zu vereinfachen und so den Verwaltungsaufwand sowie Kosten für Unternehmen zu senken. Dies soll die Wettbewerbsfähigkeit Europas stärken. Allerdings verdichten sich nun die Hinweise, dass dies auf Kosten bestehender Datenschutzstandards geschehen könnte.

Größter Stein des Anstoßes bei den Verordnungsvorschlägen, die Netzpolitik.org veröffentlicht hat, ist die angestrebte Ausweitung der Anwendung des „berechtigten Interesses“ aus Artikel 6 DSGVO als Rechtsgrundlage für die Verarbeitung personenbezogener Informationen. Die DSGVO erlaubt eine solche nur, wenn eine gesetzliche Basis dafür vorliegt. Das legitime Interesse ist eine solche, erfordert aber eine Abwägung zwischen den Interessen des Verantwortlichen wie eines Unternehmens und den Grundrechten und Grundfreiheiten der Betroffenen.

Der Entwurf umschreibt umfangreiche Veränderungen für das Online-Tracking und die Nutzung von Cookies, die den momentan bereits als unzureichend empfundenen Schutz der Nutzerdaten weiter aufweichen würden. Im Fokus steht dabei die Rechtsgrundlage für das Speichern und Auslesen von nicht unbedingt notwendigen Cookies auf den Geräten der Nutzer. Bisher verlangen EU-Gesetze wie die E-Privacy-Richtlinie hierfür die ausdrückliche und informierte Einwilligung der Nutzer per Opt-in.

Alt-neuer Ansatz gegen Cookie-Banner-Flut

Der Vorschlag der Kommission würde diese strenge Zustimmungspflicht aufheben und stattdessen die gesamte Palette an Rechtsgrundlagen eröffnen, welche die DSGVO bietet. Darunter fällt auch das berechtigte Interesse von Website-Betreibern und Tracking-Firmen. Damit könnte das Speichern und Auslesen von Tracking-Cookies bereits aufgrund unternehmerischer Ziele erfolgen. Die Anwender hätten in diesem Fall nur noch die Möglichkeit eines nachträglichen Widerspruchs (Opt-out), was eine erhebliche Verschiebung der Beweislast und des Schutzniveaus zugunsten von Firmen darstellen würde.

Gleichzeitig will die Kommission der Cookie-Banner-Flut und der damit einhergehenden Zustimmungsmüdigkeit der Nutzer entgegenwirken. Ihr schwebt vor, den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter zu ebnen, sobald entsprechende Standards verfügbar sind. Dies soll technisch über Signale funktionieren, die beispielsweise von Browsern oder Betriebssystemen an die Websites gesendet werden und die individuelle Entscheidung der Nutzer über die Annahme oder Ablehnung von Cookies übermitteln. Seitenbetreiber wären so verpflichtet, Voreinstellungen automatisch zu beachten.

Eine wesentliche Ausnahme von dieser geplanten Anpassung soll für Medienanbieter gelten. Die Kommission beabsichtigt, diese von der automatisierten Berücksichtigung der Nutzereinstellungen auszunehmen „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“. Dies würde es Nachrichten-Portalen weiterhin ermöglichen, strengere Regeln für die Einwilligung zu verlangen, um Einnahmen durch personalisierte Werbung zu sichern. An einer einschlägigen Lösung arbeitet die EU seit Jahren.

Rühren am AI Act

Zugleich will die Kommission den Papieren zufolge das Training von KI-Systemen mit personenbezogenen Daten künftig auf Basis des berechtigten Interesses von Tech-Konzernen ermöglichen. Auch dies würde die derzeit oft nötige Einholung von Einwilligungen der Betroffenen erübrigen und den Datenkonsum für die Entwicklung von Künstlicher Intelligenz erleichtern. Die EU-Datenschutzbeauftragten warnten dagegen voriges Jahr: Das vielbeschworene berechtigte Interesse sei kein Patentrezept.

Die Exekutivinstanz bringt ferner „gezielte Vereinfachungsmaßnahmen“ ins Spiel, die eine zeitnahe, reibungslose und verhältnismäßige Umsetzung der KI-Verordnung gewährleisten sollen. Eine konkrete Maßnahme ist die Bündelung der Aufsicht über KI beim sogenannten AI Office. Das ist eine Behörde, die direkt bei der Kommission angesiedelt ist. Von dieser zentralisierten Kontrollstruktur würden vor allem sehr große Online-Plattformen profitieren, da ihre KI-Systeme aufgrund ihrer Reichweite und ihres Einflusses nach dem AI Act als besonders kritisch gelten.

Schutz sensibler Daten aufgeweicht

Der Entwurf sieht auch eine signifikante Neudefinition von besonders sensiblen Daten vor, die derzeit mit Artikel 9 der DSGVO einen erhöhten Schutz genießen. Die Kommission argumentiert, dass für die meisten der dort aufgeführten Datenarten keine signifikanten Risiken für die Grundrechte der Betroffenen entstünden, wenn sie nicht direkt sensible Informationen offenbarten. Letzteres gelte etwa, wenn die sexuelle Orientierung oder der Gesundheitszustand einer Person nur durch „einen aufwendigen intellektuellen Prozess“ wie Vergleich, Querverweise oder logische Schlussfolgerungen abgeleitet werden könne.

Auch in Situationen, in denen die sensible Information nicht mit Gewissheit einer spezifischen natürlichen Person zuzuordnen ist, sieht die Kommission keine signifikanten Risiken. Für diese „indirekt sensiblen Daten“ soll daher der allgemeine Schutz der Artikel 5 und 6 der DSGVO ausreichen, ohne dass das grundsätzliche Verarbeitungsverbot des Artikels 9 greifen müsse.

„Vom Datenschutz wird nichts bleiben“

In diesem Sinne soll der Anwendungsbereich von Artikel 9 angepasst werden. Der erhöhte Schutz soll künftig nur noch Daten umfassen, die sich unmittelbar auf eine spezifische betroffene Person beziehen und deren ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, den Gesundheitszustand, das Sexualleben oder die sexuelle Orientierung direkt offenbaren. Der besonders strenge Schutz von genetischen und biometrischen Daten soll aufgrund ihrer einzigartigen und spezifischen Merkmale indes unangetastet bleiben.

Der frühere Kommissionsdirektor und einer der DSGVO-Gründerväter, Paul Nemitz, schlägt angesichts der Initiative Alarm: „Vom Datenschutz wird nichts mehr übrigbleiben.“ Seiner Ansicht nach führt das Vorhaben dazu, dass „das Leben von Menschen, ausgedrückt in personenbezogenen Daten, zum Gegenstand einer allgemeinen maschinellen Erfassung“ gemacht würde. Er sieht darin einen Verstoß gegen die Grundrechte-Charta der EU. Ihren finalen Entwurf will die Kommission Mitte November vorlegen.

(nie)