EU-Kommission will Datenschutzgrundverordnung und KI-Regulierung aufbohren

Es geht um nicht weniger als eine Generalüberholung der europäischen Digitalregulierung: Am 19. November will die EU-Kommission einen umfassenden Gesetzesvorschlag vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll laut Kommission Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen.

Vier Regulierungsbereiche stehen im Fokus des umfangreichen Reformvorhabens: der Datenschutz, Regeln für die Datennutzung, der Umgang mit Cybersicherheitsvorfällen und die KI-Verordnung. Daher auch der Begriff Omnibus („für alle“) – er wird in der Gesetzgebung verwendet, wenn mehrere Rechtsakte zugleich geändert werden. Die Kommission hat ihre zahlreichen Pläne auf zwei getrennte Gesetzesvorschläge aufgeteilt.

Wir veröffentlichen einen Zwischenstand des Gesetzespakets.

Aus vier mach eins: der überarbeitete Data Act

Mit dem ersten „Digital-Omnibus“ plant die EU-Kommission eine umfassende Konsolidierung verschiedener Datengesetze.

Im Zentrum steht hier der vor rund zwei Jahren verabschiedete Data Act, der nach einer Übergangsfrist erst seit September EU-weit anwendbar ist und nun überarbeitet werden soll. Im neuen Data Act sollen gleich drei weitere Gesetze aufgehen: die Open-Data-Richtlinie, die Verordnung über den freien Fluss nicht-personenbezogener Daten und der Data Governance Act.

Die Kommission präsentiert das erste Omnibus-Gesetz als „eine ehrgeizige Liste technischer Änderungen an einem umfangreichen Korpus digitaler Rechtsvorschriften, die den breitesten Bereich digitaler Unternehmen abdecken.“ Ziel sei es, „Unternehmen, öffentlichen Verwaltungen und Bürgern gleichermaßen sofortige Erleichterungen zu verschaffen“.

Kommission will die Datenschutzgrundverordnung aufbohren

Dabei will die Kommission auch die Datenschutzgrundverordnung (DSGVO) aufbohren. Im Fokus stehen hier unter anderem Cookies und pseudonymisierte Daten.

Um der Cookie-Banner-Flut und der „Zustimmungsmüdigkeit“ bei den Nutzenden zu begegnen, will die Kommission „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter ebnen, sobald entsprechende Standards verfügbar sind“.

Konkret bedeutet das: Etwa Browser oder Betriebssysteme sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen. Ausgenommen von dieser Regel sollen Medienanbieter (media service providers) sein – „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“.

Darüber hinaus will die Kommission Artikel 9 der DSGVO zu besonderen Kategorien von Daten aufbohren. Durch diesen Artikel sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, die oben genannte Informationen explizit offenbaren. Das bedeutet: Gibt etwa eine Person in einem Auswahlfeld an, welche sexuelle Orientierung sie hat, wäre das weiterhin besonders geschützt. Schließt ein Datenverarbeiter aufgrund vermeintlicher Interessen oder Merkmale auf die mutmaßliche sexuelle Orientierung eines Menschen, würden bisherige Einschränkungen wegfallen.

Zugleich betont die Kommission, dass „der verstärkte Schutz genetischer Daten und biometrischer Daten aufgrund ihrer einzigartigen und spezifischen Merkmale unverändert bleiben sollte“. Auch die Verwendung personenbezogener Daten für das Training von KI-Modellen auf Grundlage des berechtigten Interesses soll nach den Plänen der EU-Kommission künftig grundsätzlich erlaubt sein.

KI-Verordnung soll aufgeweicht werden

Weitergehende Regelungen zum Umgang mit Künstlicher Intelligenz finden sich im zweiten Gesetzespaket zur KI-Verordnung.

Die hier geplanten Änderungen begründet die Kommission damit, dass es bei der KI-Verordnung noch „Herausforderungen bei der Umsetzung“ gebe, „die das wirksame Inkrafttreten wichtiger Bestimmungen gefährden könnten“. Die Kommission schlägt daher „gezielte Vereinfachungsmaßnahmen vor, die eine zeitnahe, reibungslose und verhältnismäßige Umsetzung gewährleisten sollen“.

Konkret sieht der zweite Omnibus unter anderem vor, die KI-Aufsicht teilweise bei dem sogenannten AI Office zu bündeln, das direkt bei der Kommission angesiedelt ist. Davon wären vor allem sehr große Online-Plattformen (VLOPS) und Anbieter großer Suchmaschinen betroffen.

VLOPs sind laut dem Digital Services Act (DSA) solche Angebote, die monatlich mehr als 45 Millionen Nutzer:innen in der EU erreichen. Dazu zählen große soziale Netzwerke und Marktplätze wie Facebook, Instagram oder Amazon.

Außerdem will die Kommission es Anbietern und Betreibern von KI-Systemen „erleichtern“, Dateschutzgesetze einzuhalten, wenn sie personenbezogene Daten verarbeiten. Zudem will sie Sonderregeln für kleine und mittlere Unternehmen schaffen, um sie von bestimmten Verpflichtungen etwa bei Dokumentation und Monitoring auszunehmen.

Unklar ist derzeit offenbar noch, ob die weitere Umsetzung der KI-Verordnung in Teilen aufgeschoben wird. Eine solche Verschiebung wäre im Sinne der Bundesregierung. Digitalminister Karsten Wildberger (CDU) wirbt seit Monaten dafür. Als Grund führt der Minister an, dass die technischen Standards noch nicht vorlägen.