Am 19. November will die EU-Kommission einen Vorschlag für eine Generalüberholung ihrer Digitalregulierung vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen. Derzeit verdichten sich die Hinweise, dass in diesem Rahmen auch die Datenschutzgrundverordnung (DSGVO) erheblich aufgebohrt werden könnte.

Freie Fahrt für pseudonymisierte Daten

So berichtet heise online von jüngsten Äußerungen der mächtigen Kommissionsbeamtin Renate Nikolay. Als stellvertretende Generaldirektorin der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG Connect) verantwortet sie den digitalen Omnibus. Bei einer Veranstaltung des Bundesverbands Digitalwirtschaft (BVDW) habe sie unter anderem angekündigt, dass das Thema Online-Tracking künftig nicht mehr in der auch als „Cookie-Richtlinie“ bekannten ePrivacy-Richtlinie, sondern nur noch in der DSGVO geregelt werden soll. Bislang überschneiden sich die Regeln aus beiden Rechtsakten.

Welche inhaltliche Richtung die Kommission hierbei konkret einschlagen will, sagte Nikolay nicht. Aufhorchen lässt in diesem Zusammenhang jedoch eine zweite Ankündigung: So will die Kommission offenbar die Nutzungsmöglichkeiten pseudonymisierter Daten ausweiten. Der Europäische Gerichtshof habe den Spielraum hierfür in seiner Rechtsprechung kürzlich erweitert, so Nikolay laut heise online.

Das Thema ist deshalb brisant, weil die Datenindustrie seit langem versucht, pseudonymisierte Daten beispielsweise beim Online-Tracking als harmlos darzustellen. Datenhändler bewerben Datensätze mit pseudonymisierten personenbezogenen Daten irreführend als „anonym“. Pseudonymisierung bedeutet in der Regel jedoch, dass bei der Profilbildung statt eines direkten Identifikationsmerkmales wie eines Namens oder einer Telefonnummer etwa ein Zahlenschlüssel vergeben wird.

Erst in dieser Woche demonstrierte eine Recherche von netzpolitik.org und internationalen Partnermedien, wie leicht sich pseudonymisierte Daten aus der Online-Werbeindustrie nutzen lassen, um auch hochrangiges Personal der EU auszuspionieren. Die EU-Kommission zeigt sich „besorgt“. Sollte sie nun tatsächlich den Schutz für pseudonymisierte Daten einschränken, könnte sie die von uns aufgedeckte illegale Massenüberwachung durch Werbe-Tracking und Datenhandel legalisieren.

Weniger Schutz für sensible Daten

Mehrere Quellen bestätigten netzpolitik.org, dass die Generaldirektion Connect auch plane, den Schutz von sensiblen Daten einzuschränken. Nach Artikel 9 der DSGVO sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will nun offenbar erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, aus denen oben genannte Informationen explizit hervorgehen. Als sensibel würde dann beispielsweise noch die Aussage einer Person gelten, dass sie sich wegen Suchtproblemen in Behandlung befinde. Standortdaten, aus denen Besuche in einer Suchtklinik ersichtlich sind, würden dann vermutlich nicht mehr darunterfallen.

Dies steht im Widerspruch zur Rechtsprechung des Europäischen Gerichtshofes, der in einem Urteil kürzlich eine weite Definition sensibler Daten bestätigt hatte. Explizit sagte das Gericht, dass auch abgeleitete Informationen unter Artikel 9 DSGVO fallen können.

KI-Training: Freifahrtschein für Tech-Konzerne

Auch bei anderen Themen deutet sich an, dass die Kommission Änderungen anstrebt, die einen Kahlschlag beim Datenschutz bedeuten könnten. So plane die EU-Kommission laut dem Nachrichtendienst MLex [hinter Paywall], die Verwendung personenbezogener Daten für das Training von KI-Modellen datenschutzrechtlich grundsätzlich zu erlauben.

Machine-Learning-Systeme, die heute hinter vielen KI-Anwendungen wie Chatbots oder Bildgeneratoren stehen, müssen mit großen Datenmengen trainiert werden. Milliardenschwere Tech-Unternehmen wie Google, Meta oder OpenAI sammeln hierfür massenweise Daten aus dem Internet oder bedienen sich an den Daten ihrer Nutzer:innen. Geht es nach der EU-Kommission, sollen sie Letzteres künftig tun können, ohne ihre Nutzer:innen vorab um Erlaubnis fragen zu müssen.

Erst vor wenigen Monaten hatte der Meta-Konzern für einen öffentlichen Aufschrei gesorgt, als er alle öffentlichen Daten seiner Nutzer:innen für das Training seiner Meta AI verwendet. Eine Widerspruchsmöglichkeit bot er nur versteckt an.

Als Rechtsgrundlage für ihr Vorgehen berufen sich Tech-Konzerne meist auf ihr „legitimes Interesse“. Diese Position ist rechtlich umstritten, wurde im Grundsatz jedoch von Datenschutzbehörden und in einem Eilverfahren auch von einem Verwaltungsgericht bestätigt. Um keinen Interpretationsspielraum mehr zu lassen, will die EU-Kommission nun offenbar gesetzlich festschreiben, dass das legitime Interesse als Rechtsgrundlage ausreicht.

„Vom Datenschutz wird nichts mehr übrigbleiben“, kommentiert der ehemalige Kommissionsdirektor Paul Nemitz den Bericht von MLex auf LinkedIn. Er ist einer der Gründerväter der Datenschutzgrundverordnung und lehrt heute Rechtswissenschaften am College of Europe. Das Vorhaben mache „das Leben von Menschen, ausgedrückt in personenbezogenen Daten, zum Gegenstand einer allgemeinen maschinellen Erfassung“ und verstoße gegen die Grundrechte-Charta der EU.

Bundesregierung will Auskunftsrecht einschränken

Laut MLex plant die EU-Kommission auch Betroffenenrechte einzuschränken. So sollen Menschen künftig weniger Möglichkeiten haben, bei Unternehmen oder Behörden zu erfragen, ob und für welche Zwecke diese ihre Daten verarbeiten.

Für die Beschneidung des Rechts auf Datenauskunft hatte sich kürzlich auch die deutsche Regierung ausgesprochen. In einem German Proposal for simplification of the GDPR, schlägt die Bundesregierung der EU-Kommission vor, Schutzmaßnahmen gegen „missbräuchliche Auskunftsersuchen“ einzurichten. So würden Einzelpersonen „ihre Unzufriedenheit mit dem Staat und seinen Institutionen zum Ausdruck bringen, indem sie Auskunftsverfahren nutzen, um künstlich langwierige und ressourcenintensive Streitigkeiten zu schaffen“.

Auch grundsätzliche Reformwünsche, die über den anstehenden digitalen Omnibus hinausgehen, richtet die Bundesregierung an die EU. So soll die Kommission überprüfen, ob die Datenschutzgrundverordnung tatsächlich einen Wettbewerbsvorteil für europäische Unternehmen biete oder ob sie nicht sogar „Chilling Effects“ habe. Damit sind abschreckende Effekte gemeint, die europäische Unternehmen davon abhalten könnten, Prozesse zu digitalisieren.

Bereits in ihrem Koalitionsvertrag hatten Union und SPD den Wunsch festgehalten, Ausnahmen der DSGVO für nicht-kommerzielle Akteure und für Datenverarbeitungen mit geringem Risiko zu schaffen. Diesen Wunsch wiederholt die Bundesregierung in dem Papier.

Gegen Ende des 19-seitigen Dokuments findet sich nur ein einziger Vorschlag, mit dem Schwarz-Rot den Datenschutz stärken will: Die Regierung regt an, auch Hersteller und Vertreiber von Software und Diensten haftbar zu machen, die bislang für Datenschutzverstöße ihrer Produkte keine Verantwortung übernehmen müssen.

Die Reformwelle rollt erst los

Ob und welche Ideen die Kommission tatsächlich zur Umsetzung vorschlagen wird, erfährt die Öffentlichkeit voraussichtlich erst am 19. November. In der Kommission kann die Generaldirektion Connect von Renate Nikolay nicht allein über den digitalen Omnibus entscheiden. Die Datenschutzgrundverordnung obliegt der Generaldirektion Justiz und Verbraucher.

Nach Veröffentlichung der Vorschläge werden das EU-Parlament und der Rat der Mitgliedstaaten dann eigene Positionen zum Gesetzespaket vorlegen. Später in diesem Jahr wird von der EU-Kommission ein weiteres Reformvorhaben, das sogenannte Digital Package, vorlegen. Auch dieses könnte gravierende Änderungen an der Datenschutzgrundverordnung enthalten.

In die seit Jahren feststeckenden Verhandlungen im EU-Rat zur sogenannten Chatkontrolle ist Bewegung gekommen. Die nationalen Botschafter haben laut einem Bericht von Politico (€) in der gestrigen Sitzung einem neuen Anlauf aus Dänemark zugestimmt. Wie MLex berichtet, habe mit Deutschland auch ein großes Kritikerland Zustimmung signalisiert. Damit ließe sich die Sperrminorität, die den Rat bisher gebremst hat, überwinden.

Seit Jahren ist der Gesetzentwurf der Europäischen Union zur Bekämpfung von Material über sexuellen Kindesmissbrauch (CSAM) umstritten; im EU-Rat gab es dazu seit drei Jahren keine Einigung. Knackpunkt bei den Verhandlungen ist immer wieder die verpflichtende, anlasslose Chatkontrolle, also die massenhafte Durchleuchtung privater und auch verschlüsselter Kommunikation.

Dänemark hatte, nachdem es keine Mehrheit für seinen Vorschlag erhalten hatte, einen neuen Kompromiss (PDF) vorgelegt. Demnach sollten die „Aufdeckungspflichten“ aus dem Gesetzentwurf entfallen, also Artikel 7 bis 11 – und damit auch die Anordnungen, die Dienste zur Chatkontrolle verpflichten könnten.

Von offizieller Seite gibt es widersprüchliche Signale über die mögliche, bevorstehende Einigung. Eine Sprecherin der dänischen Repräsentanz sagte am Mittwoch gegenüber netzpolitik.org, die EU-Ratspräsidentschaft sei zum Schluss gekommen, dass es „genügend Unterstützung für den vorgeschlagenen Weg gibt, obwohl mehrere Mitgliedstaaten sich einen ehrgeizigeren Ansatz gewünscht hätten.“ Ein neuer Kompromissvorschlag würde nächste Woche in der Sitzung der Arbeitsgruppe diskutiert werden.

Ausreichende Mehrheit nicht sicher

Ein Sprecher des EU-Rates äußerte sich verhaltener: „Der Vorsitz hat die nötige Unterstützung bekommen, um den neuen Vorschlag (der noch nicht vorliegt) auf technischer Ebene zu besprechen. Der heutige AStV hat sich nicht inhaltlich mit dem neuen Vorschlag auseinandergesetzt. Ob es eine ausreichende Mehrheit gibt, lässt sich zum jetzigen Zeitpunkt von daher nicht sagen.“

Auch ohne eine verpflichtende Chatkontrolle wäre die Überwachung vertraulicher Kommunikation nicht vom Tisch. Die „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation – also die freiwillige Chatkontrolle – will Dänemark nämlich „dauerhaft machen“. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen eigentlich nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Die freiwillige Chatkontrolle wurde allerdings 2021 vorübergehend erlaubt. Mit dem neuen Vorschlag soll sie dauerhaft erlaubt werden. Die Bundesdatenschutzbeauftragte kritisierte gegenüber der Bundesregierung jedoch auch das „freiwillige“ Scannen als rechtswidrig.

Nach Einigung im Rat käme der Trilog

Laut einer Notiz an Diplomaten, die Politico vorliegt, sehen die dänischen Pläne eine Überprüfungsklausel vor, um verpflichtende Scans in Zukunft erneut zu erwägen. Demnach dürfte die verpflichtende Chatkontrolle immer wieder als Thema auftauchen und auf EU-Ebene diskutiert werden.

Einen neuen Vorschlag soll es erst in der kommenden Woche geben; Dänemark hatte bislang nur eine Zusammenfassung geliefert. Laut dem MLex-Bericht haben einige Länder gesagt, dass sie ihre Zustimmung vom endgültigen Text abhängig machen. Sollte der EU-Rat letztlich grünes Licht geben, dann geht die Verordnung in den sogenannten Trilog, also die finalen Verhandlungen zwischen EU-Kommission, EU-Parlament und EU-Rat.

Die Windows-Sicherheitsupdates, die Microsoft zum Oktober-Patchday verteilt hat, können dazu führen, dass beim Rechnerneustart die Bitlocker-Wiederherstellung gestartet wird. Der Startvorgang ist dann nur mit der Eingabe des Wiederherstellungsschlüssels möglich.

Das hat Microsoft nicht öffentlich in den Windows-Release-Health-Notzien eingeräumt, sondern in nur zahlenden Admins zugänglichen Eintrag im Micosoft-Admin-Center versteckt. Dort schreibt der Hersteller: „Nach der Installation der Windows-Updates, die am oder nach dem 14. Oktober 2025 veröffentlicht wurden (KB5066835), können bei einigen Geräten Probleme beim Neustart oder Start auftreten. Betroffene Geräte starten möglicherweise mit dem BitLocker-Wiederherstellungsbildschirm, sodass Benutzer den Wiederherstellungsschlüssel einmal eingeben müssen. Nach Eingabe des Schlüssels und Neustart des Geräts wird es normal gestartet, ohne dass weitere BitLocker-Eingabeaufforderungen angezeigt werden.“

Abhilfe schafft Teil-Deinstallation

Das Unternehmen erklärt weiter: „Das Problem scheint vorrangig Intel-basierte Geräte zu betreffen, die Connected Standby unterstützen – einer Funktion, die den Geräten ermöglicht, auch in einem Stromsparmodus mit dem Netzwerk verbunden zu bleiben“. Um das Problem zu lösen, bietet Microsoft einen Known Issues Rollback (KIR) an, also eine Teil-Deinstallation der Windows-Updates. Admins, die das in ihrer Einrichtung umsetzen wollen, sollen dazu den Microsoft-Support kontaktieren.

Betroffen sind Microsofts Angaben zufolge alle unterstützten Client-Betriebssysteme: Windows 10 22H2, Windows 11 22H2, 23H2, 24H2 und 25H2. Server zeigen offenbar keine derartigen Probleme. Microsoft gibt an, das Problem noch weiter zu untersuchen.

Wer Windows einsetzt, sollte sicherstellen, eine Kopie des Bitlocker-Wiederherstellungsschlüssels im Zugriff zu haben oder in dem eigenen Microsoft-Konto zu hinterlegen. Insbesondere in Windows-Home-Versionen ist Bitlocker öfter aktiviert, ohne, dass die Nutzerinnen und Nutzer ein Backup angelegt haben. In solchen Situationen laufen Betroffene dann Gefahr, den Zugriff auf ihre Daten auf dem Rechner zu verlieren.

Im Oktober kam es bereits zu weiteren unerwünschten Nebenwirkungen der Sicherheitsupdates und der Update-Vorschauen für Windows. Microsoft berichtete von fehlschlagender Authentifizierung mit Smartcards, nicht funktionierender Maus und Tastatur in der Windows-Wiederherstellungsumgebung oder dem Fehlschlagen des Ladens von IIS-Webseiten von localhost.

(dmk)