Künstliche Intelligenz

Kommentar zum Digital Omnibus: Schafft die EU den van-Damme-Split?


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Der digitale Omnibus polarisiert: Die einen warnen, vom europäischen Datenschutz werde am Ende kaum etwas übrig bleiben. Die anderen winken ab und verweisen darauf, dass es Brüssel doch nur um die Vereinfachung und den Bürokratieabbau geht. Aber das eine ist Alarmismus und das andere bloße Beschwichtigung – dabei lohnt sich ein nüchterner Blick auf das, was der Entwurf für ein neues europäisches Datenschutz- und Digitalrecht tatsächlich vorsieht.

Weiterlesen nach der Anzeige




Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt am Main und Professor für IT-Sicherheitsrecht.

Unter anderem sollen Open Data Directive, die Verordnung Free Flow of non-personal Data, Data Governance Act und Data Act in einem überarbeiteten Data Act gebündelt werden. Das Ziel ist nachvollziehbar: weniger Redundanzen, geringerer Compliance-Aufwand, insbesondere für kleine und mittlere Unternehmen, und eine klarere Struktur der Vorgaben. Angesichts der bisherigen Fragmentierung mit überschneidenden Zuständigkeiten und nicht immer trennscharfen Begrifflichkeiten im europäischen Datenrecht kann eine solche Konsolidierung durchaus zu mehr Übersichtlichkeit und Rechtssicherheit führen.

Wenn „berechtigtes Interesse“ zur Daten-Flatrate wird

Der Preis dieser Vereinheitlichung liegt jedoch im Detail. Besonders umstritten ist die geplante Ausweitung des „berechtigten Interesses“ nach Artikel 6 DSGVO als Rechtsgrundlage. Künftig soll eben jenes weit gefasste Interesse – jedenfalls nach dem Entwurf – ausreichen, um Cookies und das Training von KI-Modellen mit personenbezogenen Daten zu legitimieren. Das wäre ein Bruch mit der bisherigen Linie, wonach in vielen Fällen die ausdrückliche Einwilligung der Betroffenen erforderlich ist. Zugleich sollen pseudonymisierte Daten datenschutzrechtlich nicht mehr als personenbezogen gelten.

Auf den ersten Blick erscheint das konsequent, weil der EuGH schon länger darauf abstellt, ob eine bestimmte Stelle realistischerweise re-identifizieren kann. In der Praxis würde diese Neubewertung aber die Schwelle für die Verarbeitung persönlicher Daten deutlich absenken – mit spürbar erhöhten Risiken für die Betroffenen.

Schon heute erlauben datengetriebene Verfahren, aus Verhaltensdaten und Metainformationen sensible Persönlichkeitsprofile mit hoher Treffsicherheit abzuleiten. Wenn solche Daten künftig nicht mehr als personenbezogen gelten und zugleich das „berechtigte Interesse“ als Türöffner für umfangreiche KI-Trainings dient, gerät der Kern der DSGVO ins Wanken: Transparenz, Zweckbindung, Datenminimierung und echte Wahlmöglichkeiten für durch die Datenverarbeitung betroffene Personen. Die Gefahr einer faktischen Entgrenzung der Datenverarbeitung und einer Schwächung der informationellen Selbstbestimmung ist daher keineswegs reine Panikmache.

Weiterlesen nach der Anzeige

Problematische Vorschläge nicht enthalten

Gleichzeitig wäre es verkürzt zu behaupten, der Omnibus sei eine reine Abrissbirne für den Datenschutz. Denn positiv ist zumindest hervorzuheben, dass besonders problematische Vorschläge aus vorangegangenen Entwurfsfassungen nun nicht mehr enthalten sind. So sollte ursprünglich die Definition sensibler Daten nach Artikel 9 DSGVO enger gefasst und auf Informationen beschränkt werden, die sensible Merkmale unmittelbar offenlegen.

Daten, aus denen sich etwa Gesundheit, politische Überzeugungen oder sexuelle Orientierung nur mittelbar erschließen lassen, wären damit aus dem besonderen Schutz herausgefallen – ein Einfallstor für weitreichendes Profiling und neue Diskriminierungsrisiken. Dass diese Neudefinition im offiziellen Omnibus-Entwurf nicht mehr auftaucht, ist ein wichtiges Korrektiv.

Flickenteppich aus Regeln

Auch die Befürworter des digitalen Omnibusses haben durchaus ihre Argumente: Innovation, insbesondere im Bereich KI, benötigt große Datenmengen und klare, möglichst einheitliche Regeln. Unternehmen – gerade Start-ups aus der Europäischen Union – sind auf Rechtssicherheit angewiesen und kämpfen heute mit einem Flickenteppich aus unterschiedlichen Rechtsakten und Auslegungen, die im Laufe der letzten Jahre mit den massiven technologischen Disruptionen gewachsen sind.

Der Versuch, Begriffe zu harmonisieren, Pflichten zu bündeln und digitale Prozesse planbarer zu machen, ist deshalb nicht per se ein Angriff auf Grundrechte. Zunächst ist es ein organisations- und wirtschaftspolitisch nachvollziehbares Projekt, das durchaus auch Potenziale birgt, unsere digitale Souveränität in der EU technisch abzusichern.

Der eigentliche Lackmustest kommt noch

Die entscheidende Frage lautet daher nicht, ob Innovation oder Datenschutz gewinnen, sondern ob es gelingt, beides klug miteinander zu verbinden. Ein digitaler Omnibus, der Komplexität reduziert, Begriffe schärft und technische wie organisatorische Mindeststandards klar definiert, kann Innovation sogar erleichtern. Gerade dann, wenn er datensparsame KI-Verfahren, Privacy-by-Design und robuste Transparenzmechanismen nach europäischen Vorgaben und Made in Europe stärkt. Gefährlich wird es aber dort, wo Vereinfachung über die Absenkung von Schutzstandards erkauft wird, ohne dass das für Innovation zwingend notwendig wäre.

Am Ende wird der politische Feinschliff darüber entscheiden, wie weitreichend der digitale Omnibus tatsächlich in das Gefüge des europäischen Datenschutzes eingreift. Weder ist sicher, dass „vom Datenschutz nichts mehr übrig bleibt“, noch dürfen wir davon ausgehen, dass am Ende alles beim Alten bleibt.


(axk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen