Kommentar zu weitreichenden EU-Plänen: Der trojanische Digital-Omnibus

Am Mittwoch hat die EU-Kommission eine Gesetzesinitiative vorgestellt, mit der sie an mehreren Stellen die Axt an die mühevoll durchgesetzte Digitalregulierung der vergangenen Jahre anzulegen gedenkt. Indirekt will sie Bürgerrechte einschränken, indem sie der datengetriebenen Ökonomie freiere Hand lässt.

Der harmlos und niedlich klingende „Digitale Omnibus“ werde als direkt geltende Änderungsverordnung zum Bürokratieabbau beitragen und EU-Rechtsvorschriften vereinfachen, versicherte man. Zur Erklärung: Das Omnibusverfahren wählen Gesetzgeber, wenn sie mehrere bestehende Gesetze ohne viel Gegenwehr in einem Rutsch ändern wollen. Im konkreten Fall geht es um einige Verordnungen der Digitalregulierung, an denen herumgeschraubt werden soll, unter anderem um den Data Act, die KI-Verordnung und vor allem die Datenschutz-Grundverordnung (DSGVO).

„Unfassbares Urteil“ als Begründung

Die EU-Kommission behauptet, größtenteils kodifiziere man lediglich mittlerweile herrschende Rechtsmeinung. Als Beispiel nennt sie den vorgeschlagenen Art. 88c, der in die DSGVO eingefügt werden soll. Demzufolge sollen sich KI-Anbieter künftig auf die Rechtsgrundlage des „berechtigten Interesses“ berufen dürfen, wenn sie personenbezogene Daten fürs Training ihrer Modelle nutzen. Eine Einwilligung (opt-in) wäre dann nicht erforderlich, lediglich ein aktiver Widerspruch möglich (opt-out). Ein neuer Erlaubnistatbestand ermöglicht sogar die Aufnahme von sensiblen Datenkategorien wie Gesundheitsdaten, wenn die Anbieter einige Schutzmechanismen vorhalten.

Der Europäische Datenschutzausschuss hatte im Dezember 2024 zu dieser Problematik Stellung genommen und tatsächlich erklärt, dass in bestimmten Szenarien beim KI-Training mit personenbezogenen Daten nicht die Erlaubnis der betroffenen Personen vorliegen muss. Außerdem gibt es eine Entscheidung des Oberlandesgerichts Köln in einem Eilverfahren (!), wonach Meta für den Abgriff von Nutzerdaten fürs KI-Training keine Einwilligungen benötigt. Viele deutsche Landesdatenschutzbehörden sehen das bis heute anders. Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider nannte das Kölner Urteil gar „unfassbar“ und „nicht zutreffend“.

Dennoch zieht die EU-Kommission diese beiden Rechtsansichten heran, um zu begründen, warum sie KI-Anbietern einen Freifahrtschein zum massenhaften Einspeisen personenbezogener Daten in ihre KI-Modelle geben will. Von gesicherter Rechtssprechung kann zumindest keine Rede sein, die kodifiziert werden müsste. Die Kommission hätte es in der Hand, Grundrechte der EU-Bürger im Gegenteil zu stärken, indem sie deren Daten in der DSGVO besser schützt. Daran besteht aber augenscheinlich kein Interesse.

Die Lockerung soll es vorgeblich europäischen KI-Start-ups erleichtern, an personenbezogene Daten zum Modelltraining zu kommen, und das auf ausdrücklichen Wunsch von Bundeskanzler Friedrich Merz und dem französischen Präsidenten Emmanuel Macron beim Souveränitätsgipfel in Berlin diese Woche. Doch dieser Zug ist eh längst abgefahren. Vielmehr würde sie es großen US-Tech-Konzernen noch einfacher machen, ihre Vormachtstellung weiter auszubauen. OpenAI, Meta, Google & Co. wären weitgehend davon befreit, den lästigen EU-Datenschutz berücksichtigen zu müssen.

Druck aus den USA

Was zur Frage führt: Warum will die EU-Kommission plötzlich und en passant Datenschutzstandards aufweichen? Eigentlich war geplant, sich frühestens 2026 gründlich Gedanken zu einer umfassenderen DSGVO-Reform zu machen. Ganz nebenbei hat die Kommission mit dem Omnibus auch verkündet, dass die Regeln der KI-Verordnung zu Hochrisiko-KI-Systemen bis zu 16 Monate später als geplant wirksam werden sollen.

Der stets gut informierte freie Brüssel-Korrespondent Dave Keating hat in einer lesenswerten Analyse dargelegt, dass der Digitale Omnibus dem Druck aus den USA geschuldet sein könnte. Er sei wohl das erste Ergebnis eines „umfassenden Angriffs“, den die Republikaner im US-Kongress „gegen die digitalen Regeln der EU gestartet“ haben. Man kann ohne gedankliche Verrenkungen annehmen, dass das nächste Ziel der Digital Services Act sein könnte.

Aufpolierter Bus

In den Vordergrund der Omnibus-Neuerungen stellt die Kommission seit Mittwoch gerne die geplanten Cookie-Regelungen. Nutzer sollen Tracking-Cookies künftig mit einem Klick ablehnen dürfen. Website-Betreiber sollen sich diese Entscheidungen sechs Monate merken müssen. Außerdem soll es möglich werden, über Browser, Apps oder Betriebssysteme automatisch Ablehnungen zu signalisieren. Wie all das technisch funktionieren soll, ist völlig unklar. Und doch ist es das einzige, was die EU-Kommission ihren Bürgern als für sie positives Vorhaben anbieten kann – sie will Dankbarkeit für die Beseitigung eines Problems, das sie selbst geschaffen hat.

Es scheint fast so, als wolle die EU-Kommission damit ihren Rechte schleifenden Omnibus aufpolieren. Etwas gegen die nervende Cookie-Banner-Flut zu unternehmen, sei eine „low hanging fruit“, erklärte kürzlich eine hochrangige Kommissionsbeamtin in einem Hintergrundgespräch zum Omnibus. Ja, da freuen sich die Bürger! Und die Medien stürzen sich lieber auf diese gute Nachricht, als die komplizierten DSGVO-Änderungen zu analysieren, wie netzpolitik.org treffend feststellte. Nun rollt er also, der niedliche, trojanische Omnibus.

(hob)