Max Schrems ist eigentlich schwer aus der Ruhe zu bringen. Der Jurist aus Österreich zerrte unter anderem Facebook vor Gericht, treibt Datenschutzbehörden vor sich her und brachte vor dem Europäischen Gerichtshof gleich zwei transatlantische Datenabkommen zu Fall. Doch bei einer spontan anberaumten Pressekonferenz am Montagmorgen merkt man selbst ihm eine gewisse Fassungslosigkeit an.

Noch vor wenigen Wochen war der Gründer der Nichtregierungsorganisation noyb auf Einladung der Europäischen Kommission in Brüssel. Die Meinung bei einem Treffen zur Zukunft der Datenschutzgrundverordnung (DSGVO) war einhellig, so erzählt es Schrems: Es gibt Reformbedarf, aber der müsse sorgfältig austariert werden. Ein für 2026 geplanter Fitness-Check sei der richtige Rahmen.

Noch Anfang November gingen deshalb alle Beobachter:innen davon aus, dass die DSGVO im geplanten Gesetz zum „digitalen Omnibus“ nicht wesentlich angefasst wird. Mit dem Paket will die Kommission Teile ihrer Digitalregulierung vereinfachen.

Im Laufe der vergangenen Woche dann kocht die Brüsseler Gerüchteküche. Die Anzeichen verdichten sich, dass die Kommission am 19. November überraschend weitreichende Änderungen vorschlagen wird. Am Freitag platzt die Bombe: Wir veröffentlichen die Entwürfe der Kommission, die belegen, dass die Kommission eine Reform mit der Abrissbirne plant.

„Das wäre der extremste Angriff auf die Privatsphäre der Europäer:innen im Zeitalter der DSGVO“, schreibt Schrems in einer Pressemitteilung. „Im Kern handelt es sich um einen massiven Deregulierungsversuch, der 40 Jahre europäische Grundrechtsdoktrin über den Haufen wirft.“

Freifahrtschein für Werbe-Tracking und Datenhändler

Nach der Lektüre des ersten Entwurfs sei klar, dass der Schaden für die DSGVO riesig wäre, so Schrems weiter. Dem Gesetz, das die Europäische Kommission selbst gerne als weltweiten Goldstandard im Datenschutz feiert, drohe ein „Tod durch 1.000 Schnitte“. Große Teile des Entwurfs würden gegen europäische Konventionen, die Charta der Grundrechte und die ständige Rechtsprechung des Europäischen Gerichtshofs verstoßen.

Das wohl größte Schlupfloch könnte laut noyb durch eine Neudefinition dessen entstehen, was als personenbezogenes Datum zu verstehen und somit von der DSGVO erfasst sei. Weitgehend ausgenommen werden sollen nämlich offenbar pseudonymisierte Daten, also solche, bei denen Firmen die Daten nicht einem Namen zuordnen, sondern einem Pseudonym wie „user12473“ oder einer ID aus einem Tracking-Cookie. Die EU-Kommission wolle hier einen „subjektiven Ansatz“ einführen, bei dem Daten nicht mehr als personenbezogen gelten, wenn ein Unternehmen die Person hinter dem Pseudonym nicht identifizieren könne.

Erst vor wenigen Tagen hatte eine Recherche von netzpolitik.org mit internationalen Partnermedien demonstriert, wie leicht sich aus pseudonymisierten Daten metergenaue Bewegungsprofile erstellen lassen. Das Rechercheteam erhielt von Datenhändlern kostenlos Datensätze mit 278 Millionen Standortdaten aus Belgien. Die Daten enthalten weder Namen noch Telefonnummern, sondern nur pseudonyme Identifier, und doch war es möglich, mit den Daten das Leben von Spitzenpersonal der Europäischen Union auszuspionieren.

Während sich die EU-Kommission besorgt über die Recherchefunde äußerte und neue Sicherheitshinweise für ihre Beamten veröffentlichte, würde ihr Vorschlag für den digitalen Omnibus die aufgedeckte Praxis legalisieren, so Schrems. „Dies würde bedeuten, dass ganze Industriezweige, die mit Pseudonymen oder zufälligen ID-Nummern arbeiten, nicht mehr (vollständig) von der DSGVO abgedeckt wären. Dies könnte für fast alle Bereiche des Online-Trackings, der Online-Werbung und die meisten Datenbroker gelten.“

Wildcard für KI

Weiter kritisiert noyb eine mögliche „DSGVO-Wildcard“ für KI-Systeme, von der insbesondere große Tech-Konzerne wie Google, Meta, Microsoft oder OpenAI profitieren würden. Denn nicht nur das Training, auch der Betrieb von KI-Systemen mit personenbezogenen Daten könnte dann mit dem „berechtigten Interesse“ gerechtfertigt werden.

„Das bedeutet, dass eine Hochrisikotechnologie, die mit den persönlichsten Gedanken und sensiblen Daten der Menschen gespeist wird, im Rahmen der DSGVO ein generelles ‚OK‘ erhält. Gleichzeitig bleibt jede herkömmliche Datenbank oder Überwachungskamera streng reguliert“, so noyb.

Die DSGVO sieht ein solches Interesse als Rechtsgrundlage zwar grundsätzlich vor, bislang ist aber umstritten, ob es für KI-Systeme anwendbar ist. Im Rahmen der Abwägung mit den Interessen der betroffenen Personen sollen Betreiber nach den Ideen der Kommission bestimmte „Schutzmaßnahmen“ ergreifen. Es wird jedoch nicht näher definiert, wie diese aussehen.

Der einzige angebliche Schutz sei ein Widerspruchsrecht, das in der Praxis jedoch scheitern werde, analysiert noyb. Nutzer:innen müssten „hunderte Unternehmen ausfindig machen und einzelne Formulare ausfüllen“. Widersprüche und eine mögliche Informationspflicht könnten die Unternehmen kaum umsetzen.

Betroffenenrechte unter Druck

Unter Druck ist außerdem eine zentrale Errungenschaft der DSGVO: die Betroffenenrechte. Anträge auf Auskunft, Berichtigung oder Löschung von Daten sollen künftig abgelehnt werden können, wenn sie „missbräuchlich“ seien. Die Ausübung dieser Rechte soll nur noch gestattet sein, wenn sie „Datenschutzzwecken“ dient.

„Im Umkehrschluss bedeutet dies, dass zum Beispiel ein Arbeitgeber einen Antrag auf Auskunft als ‚missbräuchlich‘ ablehnen könnte, wenn ein Arbeitnehmer diesen im Rahmen eines Arbeitskonflikts über unbezahlte Arbeitsstunden stellt – zum Beispiel, um einen Nachweis über die geleisteten Arbeitsstunden zu erhalten.“ Das Gleiche würde für Journalist:innen oder Forschende gelten, so noyb.

Massiv eingeschränkt werden soll zudem der Schutz für sensible Daten nach Artikel 9 der DSGVO. Dazu zählen beispielsweise Daten zu ethnischer Herkunft, sexueller Orientierung, politischer oder gewerkschaftlicher Zugehörigkeit sowie Gesundheitsdaten. Entgegen der Rechtsprechung des Europäischen Gerichtshofs will die Kommission den Schutz nur dann gewähren, wenn solche sensiblen Informationen „direkt offenbart“ werden, kritisiert noyb.

Nicht mehr geschützt wären Menschen, bei denen etwa auf die Zugehörigkeit zu bestimmten Gruppen geschlossen werde. „Die Kommission scheint sich vor allem um Unternehmen zu kümmern, die solche Daten für das KI-Training nutzen wollen.“

Kritisch sieht noyb auch erweiterte Befugnisse, Daten auf Endgeräten zu speichern und auszulesen. Tracking-Cookies könnten dann statt wie bisher nicht mehr nur nach Einwilligung, sondern zum Beispiel ebenfalls auf Basis des berechtigten Interesses platziert werden. Auch die Zwecke, zu denen Daten von Geräten ausgelesen werden dürfen, sollen erweitert werden. Zu den Verarbeitungen auf der „weißen Liste“ würden nun auch „aggregierte Statistiken“ und „Sicherheitszwecke“ landen. Das sei zwar grundsätzlich verständlich, könne Unternehmen jedoch zu vermeintlichen Sicherheitszwecken die komplette Durchleuchtung von Privatgeräten erlauben.

Kritik am verstolperten Vorstoß

Alles in allem helfe der Entwurf nicht wie versprochen „kleinen Unternehmen“, sondern komme „wieder einmal hauptsächlich ‚Big Tech‘ zugute“, so das Fazit von Max Schrems und noyb. Der Entwurf sei außerdem „auch sehr schlecht formuliert“, so Schrems. Auch andere Jurist:innen hatten in den vergangenen Tagen die juristische Qualität bemängelt.

Erklärt werden kann dies wohl unter anderem durch massiven Zeitdruck. „Brüsseler Insider berichteten, dass bestimmte Referate nur fünf (!) Arbeitstage Zeit hatten, um einen über 180-seitigen Gesetzesentwurf zu kommentieren“, so Schrems. Ein Teil der EU-Kommission scheint alle anderen in Brüssel überrennen zu wollen.

„Sie scheinen alle Regeln der Gesetzgebung zu missachten, mit potenziell schrecklichen Folgen. Es ist besorgniserregend, wie sich Trumpsche Gesetzgebungspraktiken in Brüssel durchzusetzen scheinen.“

Danke, Deutschland?

Motiviert werde die Kommission offenbar durch einen Tunnelblick auf den KI-Hype und der Sorge, Europa könne abgehängt werden, mutmaßt Schrems. „Bei diesem Vorschlag wird übersehen, dass die meisten Datenverarbeitungen nicht auf KI basieren.“ Eine Änderung, die KI „befreien“ würde, hätte jedoch massive unbeabsichtigte Folgen für viele andere Bereiche der DSGVO. Schrems weiter: „Auch der Schutz von Gesundheitsdaten, Minderheiten oder Arbeitnehmer:innen wäre durch diesen Entwurf vorbei. Große Teile der Online-Werbebranche könnten aufgrund der vorgeschlagenen Änderungen ihre Pflichten nach der DSGVO umgehen.“

Verantwortlich macht der Jurist dafür auch die deutsche Bundesregierung. Diese hatte in einem Arbeitspapier, das wir kürzlich veröffentlicht haben, weitreichende Einschnitte bei der DSGVO angeregt. Die EU-Kommission sei auf diesen Zug aufgesprungen, obwohl zuvor eigentlich sowohl Interessengruppen als auch die Mitgliedstaaten ausdrücklich darum gebeten hätten, die DSGVO nicht wieder zu öffnen.

Dazu Schrems: „Deutschland hat traditionell eine extreme Anti-DSGVO-Position in Europa eingenommen. Es scheint einfacher zu sein, ein EU-Gesetz für die deutschen Probleme mit der Digitalisierung verantwortlich zu machen, als die Dinge auf nationaler Ebene zu regeln.“