Digital-Omnibus: Bundesrat warnt vor DSGVO-Chaos und KI-Vollbremsung

Die EU-Kommission hat mit dem Entwurf für eine Digital-Omnibus-Verordnung ein ehrgeiziges Ziel formuliert: Der netzpolitische Rechtsrahmen soll vereinfacht, Bürokratie abgebaut, die Innovationsfähigkeit gestärkt werden. Der Bundesrat trägt dieses Anliegen in seinen Beschlüssen vom Freitag grundsätzlich mit. Zugleich sparen die Ländervertreter aber nicht mit Kritik an der konkreten Ausgestaltung. Die Sorge in dem Gremium ist groß, dass die angestrebte Erleichterung ins Gegenteil umschlagen und neue, unvorhersehbare Hürden aufbauen könnte.

Besonders skeptisch beäugt die Länderkammer in ihren zwei einschlägigen Stellungnahmen die geplante Änderung der Definition personenbezogener Daten in der Datenschutz-Grundverordnung (DSGVO). Hier warnt sie vor einer verstärkten Rechtsunsicherheit, da die Einordnung künftig stärker von subjektiven Gegebenheiten der verarbeitenden Stelle abhängen soll.

Bisher galt ein objektiverer Maßstab, was unter personenbezogene Informationen fällt. In der Praxis könnte die vorgesehene Neuregelung mit ihrem Fokus auf Pseudonymisierung laut dem Bundesrat bei arbeitsteiligen Prozessen dazu führen, dass völlig unklar bleibt, für wen die strengen Regeln der DSGVO gelten. Anstatt die Unternehmen zu entlasten, würde diese Unschärfe zu langwierigen Rechtsstreitigkeiten und einem Rückzug aus datengetriebenen Geschäftsmodellen führen, warnen die Länder. Das würde den gewünschten Entlastungseffekt zunichtemachen.

Datenschutz-Vabanque-Spiel

Ein weiterer Punkt betrifft KI und den Zugriff auf Daten in Fahrzeugen. Für die Entwicklung autonomer Fahrsysteme und moderner Assistenzsysteme wie Brems- oder Spurhaltehelfer benötigt die Automobilindustrie gigantische Mengen an Bild- und Videodaten aus dem realen Straßenverkehr. Der aktuelle Verordnungsvorschlag sieht dafür weitgehende Einwilligungspflichten vor, die in der Realität kaum umsetzbar seien, fürchtet der Bundesrat. Ihm zufolge ist es unmöglich, von jedem Passanten, der zufällig von einer Fahrzeugkamera erfasst wird, vorab eine Zustimmung einzuholen. Dies komme einem Entwicklungsverbot für autonomes Fahren in Europa gleich.

Ein solcher Ansatz würde auch die Verkehrssicherheit gefährden, warnt die Kammer. Gerade vulnerable Gruppen wie Kinder oder Menschen mit Beeinträchtigungen können ohne diese Trainingsdaten nicht zuverlässig von autonomen Systemen erkannt werden. Wenn die KI nicht lerne, wie ein junger Mensch am Straßenrand aussieht, sinke das Sicherheitsniveau für alle Verkehrsteilnehmer. Die Länder fordern daher eine rechtlich eindeutige Regelung für die Nutzung solcher Bilddaten, die über die engen Grenzen der aktuellen KI-Definition hinausgeht und auch klassische Assistenzsysteme umfasst.

Bürokratie-Hammer für Sicherheitsbehörden?

Zwar erkennt der Bundesrat das Bemühen an, den Einsatz von KI im Bereich der Strafverfolgung durch den AI Act und die Omnibus-Anpassungen zu regeln. Er warnt aber vor einer übermäßigen Belastung durch neue Dokumentations- und Nachweispflichten. Gerade bei Hochrisikosystemen bestehe die Gefahr, dass der enorme bürokratische Aufwand den künftigen Einsatz von KI in der Polizeiarbeit hemme oder sogar verhindere. Die hohen Investitionskosten für die Hardware stünden dann in keinem Verhältnis mehr zum operativen Nutzen, wenn Beamte einen Großteil ihrer Zeit mit dem Erstellen von Compliance-Berichten verbringen müssten.

Die Länder plädieren daher für erweiterte Ausnahmebestimmungen für Strafverfolgungsbehörden. Diese unterlägen bereits einer engen parlamentarischen und gerichtlichen Kontrolle. Zusätzliche bürokratische EU-Schichten schränkten die operative Handlungsfähigkeit ein, ohne den Grundrechtsschutz effektiv zu erhöhen. Anzustreben sei eine verantwortungsvolle Balance zwischen rechtsstaatlicher Kontrolle und der Effizienz der europäischen Sicherheitsarchitektur, um im internationalen Vergleich nicht den Anschluss an „moderne Ermittlungsmethoden“ zu verlieren.

Herstellerverantwortung statt Nutzerbelastung

Im Bereich Verbraucherrecht verlangt der Bundesrat, dass die Vereinfachungen nicht zu einer Absenkung des Schutzniveaus führen dürfen. Er moniert, dass der Entwurf bisher keine ausreichende Hersteller- und Anbieterverantwortung vorsieht. Nach Ansicht der Länder müssen die Produzenten digitaler Dienste stärker in die Pflicht genommen werden. Es gelte sicherzustellen, dass ihre Standardlösungen bereits ab Werk datenschutzkonform funktionieren (Privacy by Design). Es könne nicht sein, dass die Verantwortung für komplexe datenschutzrechtliche Einstellungen allein beim Endanwender oder dem kleinen mittelständischen Unternehmen liege, das die Software einsetzt.

(nie)