EU-Kommission will Datenschutzgrundverordnung und KI-Regulierung schleifen
Es geht um nicht weniger als eine Generalüberholung der europäischen Digitalregulierung: Am 19. November will die EU-Kommission einen umfassenden Gesetzesvorschlag vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll laut Kommission Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen.
Vier Regulierungsbereiche stehen im Fokus des umfangreichen Reformvorhabens: der Datenschutz, Regeln für die Datennutzung, der Umgang mit Cybersicherheitsvorfällen und die KI-Verordnung. Daher auch der Begriff Omnibus („für alle“) – er wird in der Gesetzgebung verwendet, wenn mehrere Rechtsakte zugleich geändert werden. Die Kommission hat ihre zahlreichen Pläne auf zwei getrennte Gesetzesvorschläge aufgeteilt.
Wir veröffentlichen einen Zwischenstand des Gesetzespakets.
Aus vier mach eins: der überarbeitete Data Act
Mit dem ersten „Digital-Omnibus“ plant die EU-Kommission eine umfassende Konsolidierung verschiedener Datengesetze.
Im Zentrum steht hier der vor rund zwei Jahren verabschiedete Data Act, der nach einer Übergangsfrist erst seit September EU-weit anwendbar ist und nun überarbeitet werden soll. Im neuen Data Act sollen gleich drei weitere Gesetze aufgehen: die Open-Data-Richtlinie, die Verordnung über den freien Fluss nicht-personenbezogener Daten und der Data Governance Act.
Die Kommission präsentiert das erste Omnibus-Gesetz als „eine ehrgeizige Liste technischer Änderungen an einem umfangreichen Korpus digitaler Rechtsvorschriften, die den breitesten Bereich digitaler Unternehmen abdecken.“ Ziel sei es, „Unternehmen, öffentlichen Verwaltungen und Bürgern gleichermaßen sofortige Erleichterungen zu verschaffen“.
Kommission will die Datenschutzgrundverordnung aufbohren
Dabei will die Kommission auch die Datenschutzgrundverordnung (DSGVO) aufbohren und in Teilen zurückschneiden. So bestätigt das Dokumente Gerüchte aus den vergangenen Tagen, wonach der Schutz an mehreren Stellen deutlich zurückgefahren werden soll, um mehr Datennutzung zu ermöglichen.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Das gilt etwa für das Training von KI-Systemen mit personenbezogenen Daten. Dies soll künftig auf Basis des berechtigten Interesses von Tech-Konzernen möglich sein. Die noch immer heftig geführte Debatte um möglicherweise notwendige Einwilligungen der Betroffenen hätte sich damit erledigt. Deutlich enger gefasst werden soll auch die Definition von pseudonymisierten Daten.
Im Fokus stehen zudem Online-Tracking und Cookies. Auch hier enthält der Vorschlag einen Passus, der den momentan bereits unzureichenden Schutz massiv aufweichen würde: Das Speichern und Auslesen von nicht-notwendigen Cookies auf dem Gerät der Nutzer:innen soll nämlich nicht wie bislang nur nach deren Einwilligung erlaubt sein. Stattdessen soll die ganze Palette der Rechtsgrundlagen eröffnet werden, die die DSGVO zu bieten hat. Dazu zählt auch: das berechtigte Interesse von Website-Betreibern und Tracking-Firmen. Nutzer:innen hätten dann nur noch die Möglichkeit zum nachträglichen Opt-Out.
Gleichzeitig will die Kommission der Cookie-Banner-Flut und der „Zustimmungsmüdigkeit“ bei den Nutzenden begegnen und „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter ebnen, sobald entsprechende Standards verfügbar sind“.
Konkret bedeutet das: Etwa Browser oder Betriebssysteme sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen. Ausgenommen von dieser Regel sollen Medienanbieter (media service providers) sein – „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“.
Weniger Schutz für sensible Daten
Darüber hinaus nimmt die Kommission Artikel 9 der DSGVO zu besonderen Kategorien von Daten ins Visier. Durch diesen Artikel sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.
Die Kommission will erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, die oben genannte Informationen explizit offenbaren. Das bedeutet: Gibt etwa eine Person in einem Auswahlfeld an, welche sexuelle Orientierung sie hat, wäre das weiterhin besonders geschützt. Schließt ein Datenverarbeiter aufgrund vermeintlicher Interessen oder Merkmale auf die mutmaßliche sexuelle Orientierung eines Menschen, würden bisherige Einschränkungen wegfallen.
Zugleich betont die Kommission, dass „der verstärkte Schutz genetischer Daten und biometrischer Daten aufgrund ihrer einzigartigen und spezifischen Merkmale unverändert bleiben sollte“.
KI-Verordnung soll aufgeweicht werden
Weitergehende Regelungen zum Umgang mit Künstlicher Intelligenz finden sich im zweiten Gesetzespaket zur KI-Verordnung.
Die hier geplanten Änderungen begründet die Kommission damit, dass es bei der KI-Verordnung noch „Herausforderungen bei der Umsetzung“ gebe, „die das wirksame Inkrafttreten wichtiger Bestimmungen gefährden könnten“. Die Kommission schlägt daher „gezielte Vereinfachungsmaßnahmen vor, die eine zeitnahe, reibungslose und verhältnismäßige Umsetzung gewährleisten sollen“.
Konkret sieht der zweite Omnibus unter anderem vor, die KI-Aufsicht teilweise bei dem sogenannten AI Office zu bündeln, das direkt bei der Kommission angesiedelt ist. Davon wären vor allem sehr große Online-Plattformen (VLOPS) und Anbieter großer Suchmaschinen betroffen.
VLOPs sind laut dem Digital Services Act (DSA) solche Angebote, die monatlich mehr als 45 Millionen Nutzer:innen in der EU erreichen. Dazu zählen große soziale Netzwerke und Marktplätze wie Facebook, Instagram oder Amazon.
Außerdem will die Kommission es Anbietern und Betreibern von KI-Systemen „erleichtern“, Dateschutzgesetze einzuhalten, wenn sie personenbezogene Daten verarbeiten. Zudem will sie Sonderregeln für kleine und mittlere Unternehmen schaffen, um sie von bestimmten Verpflichtungen etwa bei Dokumentation und Monitoring auszunehmen.
Unklar ist derzeit offenbar noch, ob die weitere Umsetzung der KI-Verordnung in Teilen aufgeschoben wird. Eine solche Verschiebung wäre im Sinne der Bundesregierung. Digitalminister Karsten Wildberger (CDU) wirbt seit Monaten dafür. Als Grund führt der Minister an, dass die technischen Standards noch nicht vorlägen.
Update, 16:30 Uhr: Wir haben den Text um weitere Aspekte ergänzt.
Google bietet uns seine Dienste kostenlos an und lässt uns unbemerkt mit unseren Daten zahlen. Wer bei Metas Social-Media-Portalen Reichweite bekommt und wer untergeht, bestimmen undurchsichtige Empfehlungssysteme. Tech-Konzerne wenden Unsummen dafür auf, gesetzliche Regulierung in ihrem Sinne mit Lobbyarbeit zu beeinflussen.
Doch es gibt Alternativen zu den großen monopolistischen Strukturen – für den privaten Chat unter Freund:innen, die Datenspeicherung auf Arbeit oder auch für die Infrastruktur unseres Staates. Wir machen diese Lösungen sichtbar und geben auch denen eine Stimme, die keine millionenschweren Lobbyabteilungen hinter sich haben.
Netzwerk des Bundestags am Montag stundenlang ausgefallen
Ab 14:30 Uhr ging am Montagmittag erst einmal nichts mehr im Deutschen Bundestag – das Netzwerk, E-Mail, gemeinsame Laufwerke und die Drucker waren offline. Die bestätigte ein Sprecher auf Anfrage von heise online.
Weiterlesen nach der Anzeige
Parallel zu den Waffenstillstands-Verhandlungen, die wenige Meter weiter im Bundeskanzleramt mit dem ukrainisichen Präsidenten Wolodimir Selenskyj, Donald Trumps Schwiegersohn Jared Kushner und dem US-Sondergesandten Steve Witkoff stattfinden, ein gezielter Angriff auf die Bundestags-IT? Und das, nachdem erst am vergangenen Freitag das Auswärtige Amt die Bundesregierung den russischen Botschafter einbestellt hatte – wegen Desinfomations- und IT-Sicherheitsvorfällen, welche die Nachrichtendienste der Bundesrepublik klar russischen Akteuren zuschreiben? Sollte es sich um eine Machtdemonstration, etwa der Fancy Bear getauften, und auch als Advanced Persistent Threat 28 (APT28) identifizierten Einheit des russischen Militärgeheimdienstes GRU handeln? Der sich schon in der Vergangenheit im Bundestagsnetzwerk zu schaffen gemacht haben soll?
Systeme laufen wieder, Ausfallursache unklar
Die Aufregung jedenfalls war unter Abgeordneten, Mitarbeitern und Medien am Montagnachmittag ausgesprochen groß. Erst nach mehreren Stunden kamen die Netze wieder ans Laufen. Was genau passiert ist, darüber herrscht derzeit noch keine Klarheit, betont ein Sprecher der Verwaltung des Bundestags. „Routinemäßig“ sei das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzugezogen worden – was in der Vergangenheit nicht immer der Fall war, da das BSI als Exekutivbehörde eigentlich nicht für die gesetzgebende Gewalt, das Parlament, zuständig ist. Am frühen Abend, so der Sprecher, seien die Systeme nach und nach wieder in Betrieb genommen worden. Er betonte: „Die Ursache für die Störung ist aktuell weiter offen.“ Allerdings spricht die schnelle Wiederinbetriebnahme gegen den Verdacht, dass diese nachhaltig kompromittiert sein könnten.
Der Bundestag steht immer wieder im Fokus von Angriffen. Das Parlament verfügt dabei über gleich mehrere, voneinander teilweise unabhängige IT-Infrastrukturen. Die Methoden schwanken dabei von manipulierten USB-Sticks über gestreute Attacken auf Office-Produkt bis hin zu gezieltem Spearphishing gegen einzeln Akteure. Der Bundestag selbst betreibt ein Netzwerk für die Arbeitsplatzrechner und Drucker der Abgeordneten und Mitarbeiter sowie der Parlamentsverwaltung. Die Bundestagsfraktionen wiederum nutzen teils eigene IT-Infrastruktur. Dazu kommt ein WLAN im Bundestag, das weitgehend vom Rest der Netze separiert ist – und auch vom heutigen Ausfall nicht betroffen gewesen sein soll.
Datenschutzkonferenz kritisiert Pläne der EU-Kommission
Eine große Zahl von Vereinen und Politiker:innen hat das geplante Digitalpaket der EU-Kommission bereits scharf kritisiert. Nun meldet sich auch die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) zu Wort – und reiht sich in die Liste der Kritiker:innen des sogenannten „Digitalen Omnibus“ ein. Vergangene Woche hatte die Konferenz in Berlin die geplanten Änderungen an mehreren EU-Digitalgesetzen diskutiert und zwei eigene Reformvorschläge gemacht.
Die Berliner Datenschutzbeauftragte und amtierende DSK-Vorsitzende Meike Kamp bezeichnet die Änderungsvorschläge als „an vielen Stellen nicht bis zu Ende gedacht“. Mit dem Sammelgesetz drohten neue Unklarheiten im Datenschutzrecht. Einfache Änderungen, die kleine und mittlere Unternehmen tatsächlich entlasten würden, lasse die Kommission liegen, so der Vorwurf. „Das selbst gesetzte Ziel des Bürokratieabbaus erfüllt die EU-Kommission damit nicht“, so Kamp weiter.
Anders als von der Kommission dargestellt, handelt es sich nach Ansicht der DSK bei den Vorschlägen nicht nur um kleinere oder technische Anpassungen. Die Änderung der Definition von personenbezogenen Daten gehe beispielsweise an das Fundament der DSGVO.
„Unangemessener“ Zeitdruck
Entsprechend kritisch sehen die Behörden das gewählte Omnibusverfahren, das auf schnelle Gesetzesänderungen abzielt. Der Zeitdruck sei „unangemessen“, warnen sie. Reformen dieser Tragweite müssten sorgfältig durchdacht und auch mit den Aufsichtsbehörden abgestimmt werden.
Die DSK bringt daher eigene Reformideen als Alternative zu den Kommissionsplänen ein, so etwa zu Datenschutz und sogenannter KI (PDF). Mit Blick auf die Verarbeitung personenbezogener Daten brauche es spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systemen. Diese sollen einerseits zeigen, unter welchen Voraussetzungen die Daten verarbeitet werden dürfen, und andererseits, was klar verboten ist.
Uns fehlen dieses Jahr noch 253.930 Euro.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Bist Du auch Feuer und Flamme für Grundrechte? Dann unterstütze jetzt unsere Arbeit mit einer Spende.
Außerdem fordert die DSK die Europäische Union dazu auf, die Betroffenenrechte beim KI-Einsatz in der DSGVO verankern. Das heißt konkret: Die betroffenen Personen müssen darüber informiert werden, wenn ihre personenbezogenen Daten in einem KI-System verarbeitet werden. Außerdem sollen sie Auskunft darüber erhalten können, ob und wie ein KI-System ihre Daten verarbeitet. Hier gebe es bislang eine Regelungslücke.
Gleichzeitig betont die DSK, dass es in der Praxis Schwierigkeiten bei der Verwirklichung von Betroffenenrechten gebe. Für Fälle, in denen die Rechte nur mit „unverhältnismäßigem Aufwand“ umgesetzt werden können, brauche es daher alternative, gleichwertige Schutzmechanismen.
Mehr Verantwortung für Hersteller und Anbieter
Zudem will die DSK die Hersteller und Anbieter von IT-Produkten und -Diensten stärker in die datenschutzrechtliche Verantwortung nehmen (PDF). Diese sollen künftig darauf achten, dass der Datenschutz bereits bei der Gestaltung ihrer Produkte berücksichtigt wird. Aktuell liegt die rechtliche Verantwortung allein bei denjenigen, die die Produkte nutzen. Kamp zufolge seien insbesondere kleine und mittlere Unternehmen (KMU) oft nicht dazu in der Lage, gegenüber großen Herstellern datenschutzkonforme Prozesse durchzusetzen. Eine Haftung der Hersteller würde sie entlasten.
Damit unterstützt die DSK nach eigenen Aussagen ein Ziel des Bundeskanzlers und der Regierungschefs der Länder aus der föderalen Modernisierungsagenda. Doch die Idee der Herstellerhaftung ist nicht neu. Bereits in ihrer ersten Evaluation der DSGVO vor sechs Jahren hatte die DSK einen solchen Vorschlag gemacht (PDF).
In den kommenden Wochen will die Datenschutzkonferenz den Vorschlag der Kommission weiter im Detail analysieren und eine ausführlichere Stellungnahme abgeben, kündigt Kamp an. Dazu werde sie mit anderen europäischen Datenschutzbehörden zusammenarbeiten.
