Europäische Kommission: Reform der Datenschutz- und KI-Regulierung – Das plant der „digitale Omnibus“
Die Europäische Kommission arbeitet aktuell an einer weitreichenden Reform für den europäischen Datenschutz und die Regulierung von Künstlicher Intelligenz (KI). Im Zentrum steht ein neues Gesetzespaket („digitaler Omnibus“), das zentrale Digitalgesetze wie die Datenschutzgrundverordnung (DSGVO), die geplante KI-Verordnung sowie weitere Bereiche des Digitalrechts umfassend neu ausgestalten könnte. Ziel ist die Vereinfachung und Harmonisierung bestehender Regelwerke – jedoch zeichnen sich damit auch tiefgreifende Veränderungen für Datenschutz, KI-Regulierung und Unternehmenspraxis ab.
Was bedeutet der „digitale Omnibus“ konkret?
Mit dem digitalen Omnibus der EU-Kommission sollen bestehende Digitalgesetze verschlankt und Überschneidungen beseitigt werden. Im Fokus stehen die Überarbeitung zentraler Vorschriften zu Datenschutz, KI, Datennutzung und Cybersicherheit. Ein besonderer Schwerpunkt liegt auf dem Data Act, der künftig weitere Digitalgesetze integrieren und somit neue Anwendungsbereiche abdecken soll. Die Kommission verfolgt das Ziel, digitale Vorschriften stärker zu harmonisieren und administrative Hürden abzubauen.
Unternehmen, öffentliche Stellen und Individuen könnten von mehr Rechtssicherheit und weniger komplexen Prozessen profitieren. Allerdings gehen mit den geplanten Vereinfachungen auch Lockerungen beim Datenschutz einher – eine Entwicklung, die insbesondere für Unternehmen attraktiv erscheint, gleichzeitig aber Risiken für Betroffene und die Wahrung digitaler Grundrechte mit sich bringt.
Im Mittelpunkt steht die Debatte: Wie lassen sich Innovation und Wettbewerbsfähigkeit stärken, ohne den Schutz personenbezogener Daten sowie Verbraucherrechte zu schwächen?
DSGVO und KI-Regulierung vor wesentlichen Anpassungen
Im Rahmen der Reform steht auch die Datenschutz-Grundverordnung vor einschneidenden Änderungen. Personenbezogene Daten könnten in Zukunft auf Basis eines „berechtigten Interesses“ für das Training von KI-Systemen verwendet werden, sodass die bislang erforderliche explizite Einwilligung entfällt. Auch beim Umgang mit pseudonymisierten Daten plant die EU Kommission eine Lockerung der Schutzmechanismen, wodurch umfangreichere Datenanalysen durch Unternehmen ermöglicht würden. Das birgt allerdings die Gefahr, dass die Kontrolle über eigene Daten für Einzelpersonen schwieriger wird.
Präzisierungen beim Pseudonymisierungsbegriff
Daten sollen nicht mehr automatisch als personenbezogen gelten, nur weil theoretisch eine Identifizierung möglich wäre. Maßgeblich soll sein, ob der Verantwortliche anhand realistischer Mittel tatsächlich eine Person identifizieren kann.
Lockerungen beim Online-Tracking und bei Cookies
Der Entwurf sieht vor, dass künftig nahezu alle Rechtsgrundlagen der DSGVO – darunter auch das berechtigte Interesse – für den Einsatz von Cookies und Online-Tracking genutzt werden können. Anstelle einer aktiven Einwilligung der Nutzenden wäre oft nur noch ein nachträgliches Opt-Out möglich. Zwar sollen maschinenlesbare Einstellungen und weniger Cookie-Banner die Zustimmungsmüdigkeit reduzieren, doch die Schutzwirkung gegenüber Tracking könnte dadurch substanziell sinken.
Einschränkung der Betroffenenrechte
Künftig könnten Verantwortliche bei offenkundig unbegründeten oder exzessiven Anfragen, wie etwa häufigen oder missbräuchlichen Auskunftsersuchen, eine Gebühr erheben oder Auskünfte verweigern – sofern sie dies nachweisen können. Damit reagiert der Gesetzgeber auf zunehmende automatisierte Anfragen, etwa als Druckmittel in rechtlichen Auseinandersetzungen. Für gewisse Daten, die im Rahmen eines bekannten und begrenzten Verhältnisses erhoben werden und deren wesentliche Inhalte den Betroffenen bereits bekannt sind, soll es zudem Ausnahmen von den Informationspflichten geben.
Neuregelung für sensible Daten
Auch der Schutz sensibler Daten nach Artikel 9 DSGVO wird voraussichtlich enger gefasst. Künftig wären lediglich ausdrücklich genannte Merkmale wie Gesundheitsdaten oder sexuelle Orientierung geschützt; indirekt ermittelte oder vermutete sensible Informationen könnten schwächer geschützt sein. Dies erhöht das Risiko, dass sensible Daten im Unternehmensinteresse verarbeitet werden, ohne dass Betroffene hinreichend informiert oder geschützt werden.
Längere Meldefrist und neues Meldesystem bei Datenschutzverletzungen
Für die Meldung von Datenschutzverstößen soll künftig gelten: Nur bei Vorfällen mit hohem Risiko gilt eine Meldefrist von 96 Stunden, und die Meldung muss über einen einheitlichen, zentralen Meldekanal erfolgen. Die ENISA plant hierfür einen zentralen „Single-Entry Point“, über den Unternehmen ihre Meldepflichten nach mehreren Rechtsakten (u. a. NIS2, DSGVO, DORA, eIDAS und CER) bündeln können („report once, share many“).
Fazit und Ausblick
Die geplanten Reformen stoßen bereits jetzt auf Widerstand, da ein Rückschritt bei digitalen Grundrechten befürchtet wird. Ebenso bleibt offen, ob die geplanten Vereinfachungen tatsächlich zu besseren Rahmenbedingungen für Unternehmen führen.
