Die EU-Kommission hat am Mittwoch ihre Pläne für eine Überarbeitung mehrerer, teilweise noch neuer digitaler Regularien wie etwa der KI-Verordnung vorgestellt. Sie legt aber auch Vorschläge für Anpassungen und Vereinbarungen der DS-GVO vor. Erste Entwürfe waren bereits Anfang November vom Portal Netzpolitik.org veröffentlicht worden.  

Und auch wenn die Autoren dort eine Aufweichung des Verbraucher- und Datenschutzes befürchteten: Eine Reform des EU Digitalrechts ist sinnvoll. Es ist komplex, über eine Vielzahl von Gesetzestexten verstreut und selbst für Expertinnen und Experten kaum noch nachvollziehbar. Eine große Schwäche ist dabei die fehlende Abstimmung zwischen den unterschiedlichen Digitalrechtsakten. Die Annahme oder die Regelungstechnik, dass die unterschiedlichen Digitalrechtsakte "unberührt bleiben" sollten, ist weltfremd. Denn der Rechtsanwender muss die nebeneinanderstehenden Rechtsakte kumulativ umsetzen. 

Betrachtet man die neuere Rechtsprechung, stellt sich zudem die Frage, ob der EuGH den Datenschutz zunehmend in eine Art "Supergrundrecht" umwandelt. Bei der Abwägung zwischen Art. 7 und Art. 8 GRCh mit anderen Grundrechten lässt der EuGH oftmals eine zunehmend einseitige Gewichtung erkennen. Dies zeigt etwa die Entscheidung C-394/23 (Mousse/SNCF). Dort führt der EuGH in Rn. 56 aus, dass er die in den Erwägungsgründen der DS-GVO explizit genannte sprachliche und kulturelle Vielfalt im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO nicht als berechtigte Interessen berücksichtigt. Diese Vorschrift sei eng auszulegen und die sprachliche und kulturelle Vielfalt sei dort nicht ausdrücklich vorgesehen. Dabei ist es gerade das Wesen von Generalklauseln, dass sie verallgemeinern und mit unbestimmten Rechtsbegriffen wie berechtigten Interessen und nicht mit abschließenden Aufzählungen arbeiten. Noch erstaunlicher wird die Linie des EuGH aber, wenn man einen genaueren Blick in Art. 22 GRCh wirft: "Die Union achtet die Vielfalt der Kulturen, Religionen und Sprachen."

Vor diesem Hintergrund ist es nicht überraschend, dass die Kommission eine Anpassung der DS-GVO für erforderlich hält.

Klarheit, Abgrenzung und das Ende des Cookie-Banners

Der "Digital Omnibus", wie die EU-Kommission das Reformpaket bereits getauft hat, legt einen Fokus auf Präzisierungen, Klarstellungen und bessere Abstimmung von DS-GVO und KI-Verordnung. Bekannte Sollbruchstellen sollen entschärft werden. Dies betrifft nicht nur die umstrittene Abgrenzung personenbezogener Daten von anonymen Informationen – und damit die Reichweite der DS-GVO. Relevante Änderungen betreffen beispielsweise Transparenzpflichten bei Datenverarbeitungen und den Rechtsrahmen für die Verwendung von personenbezogenen Daten beim Training und Einsatz von KI. Auch das ePrivacy-Regime soll neu geregelt werden, etwa durch Vorgaben zum technischen Einwilligungsmanagement bei Cookies durch Browser und Apps. Mit anderen Worten: Der bei vielen Nutzerinnen und Nutzern verhasste Cookie-Banner könnte mit den richtigen Einstellungen im eigenen Browser oder eigenen Apps bald Geschichte sein. Andererseits sind die entsprechenden Reglungen so komplex, dass sie sich schwer mit dem Ziel der Vereinfachung vereinbaren lassen. Zudem dürften einige Regelungen für die Wirtschaft kaum umsetzbar sein.

Der Entwurf legt Wert auf mehr Klarheit beim für die Reichweite der DS-GVO maßgeblichen Personenbezug von Daten. Er grenzt Anonymisierung deutlicher gegen Pseudonymisierung ab und orientiert sich an der Frage, wann Daten "vernünftigerweise" einer Person zugeordnet werden können. Damit reagiert die Kommission auf das praktische Problem, dass es durch technischen Fortschritt immer einfacher wird, anonymisierte Daten zu re-identifizieren. Die vorgeschlagene präzisere Formulierung kann helfen, den Anwendungsbereich zu schärfen und zugleich den Schutzzweck zu bewahren. Entscheidend für die Anwendung der DS-GVO soll somit letztlich vor allem sein, ob sich aus der Verarbeitung der in Frage stehenden Informationen mögliche – und nicht rein hypothetische – Risiken für betroffene Personen ergeben.

Transparenz: Klarere Informationspflichten für komplexe Datenumgebungen

Geltende Datenschutzrechtliche Transparenzpflichten sollen für niederschwellige Verarbeitungen vereinfacht und für hochkomplexe, mehrstufige Verarbeitungen konkretisiert werden. Dazu gehört eine besser strukturierte Information über Quellen, Zwecke, Kategorien und die Weitergabe von Daten, einschließlich Trainingszwecken für KI. Das ist eher eine operative Präzisierung als eine Absenkung des Schutzniveaus: Was muss wann, wie und in welcher Tiefe erklärt werden, damit Betroffene tatsächlich sinnvoll verstehen können, was mit ihren Daten geschieht? Dazu zählt auch die Stärkung des in der DS-GVO bereits angelegten Ansatzes, dass man bereits bekannte Informationen nicht erneut mitteilen muss. Für die Praxis besonders wichtig dürfte die geplante Regelung sein, dass Unternehmen und andere datenschutzrechtlich Verantwortliche missbräuchliche Auskunftsansprüche für Zwecke, die nicht dem Datenschutz dienen, zurückweisen können.

Für Unternehmen kann das die Erteilung von Auskünften über die von ihnen verarbeiteten Daten erleichtern Entscheidend bleibt, dass Transparenz nicht zur bloßen Formalie gerät. Der Entwurf setzt hier auf klare, praktikable Informationen statt auf Generalklauseln.

Kein Freibrief für KI-Training

Besonders kontrovers dürften die Regelungen zum KI-Training diskutiert werden. Der Entwurf versucht, den bestehenden Rechtsrahmen der DS-GVO auf die Trainingspraxis zu übertragen. Er regelt vor allem drei Punkte:

Erstens geht es um die Rechtsgrundlage. Der Entwurf klärt, dass KI-Training nicht außerhalb des DS-GVO-Systems steht. Damit kommen als Grundlagen wie schon bisher nur Einwilligung, Vertragserfüllung, gesetzliche Pflichten oder berechtigte Interessen in Betracht. Die Schwelle für berechtigte Interessen wird aber nicht abgesenkt: Es bleibt bei einer Abwägung und der Pflicht, Risiken zu beherrschen. Für sensible Daten gelten weiterhin strengere Voraussetzungen. Die Kommission sieht erfreulicherweise aber auch Erleichterungen für die wissenschaftliche Forschung vor. Die entsprechenden Regelungen sind weit gefasst und dürften so auch (und vor allem) für das Training von KI gelten.

Zudem geht es um die Zweckbindung des Trainings. Der Entwurf konkretisiert, wann die Verwendung vorhandener Daten für das Training mit der ursprünglichen Zweckbestimmung kompatibel ist. Das setzt auf bekannte Kriterien wie Kontext, Beziehung zu Betroffenen, Art der Daten und Schutzmaßnahmen. 

Drittens thematisiert der Entwurf die Transparenz und Betroffenenrechte: Das Training soll in den Informationen erkennbar werden. Bei hohen Risiken kommen zusätzliche Schutzmechanismen in Betracht, etwa technische und organisatorische Maßnahmen gegen unbeabsichtigte Rekonstruktion personenbezogener Inhalte.

Die teilweise erhobene Kritik, hier werde ein genereller Freibrief für Trainingszwecke geschaffen, findet im Entwurf keine Stütze. Vielmehr werden die bereits geltenden Prinzipien angewandt und konkretisiert.

Die Anpassungen an der KI-VO dienen der Vereinheitlichung des komplexen digitalen Rechtsrahmens der EU. Sie sollen Widersprüche vermeiden und die Compliance-Architektur glätten. Dazu gehört eine klarere Verzahnung der Risikoklassifizierung der KI-VO mit den Schutzprinzipien der DS-GVO, etwa beim Umgang mit Datensätzen, Datenqualität, Bias-Kontrolle und Rückverfolgbarkeit. Die Leitidee: Wer KI-Systeme baut oder einsetzt, soll aus einem konsistenten Normgefüge heraus agieren, statt parallel widersprüchliche Vorgaben zu erfüllen.

Mehr technische Reform als politische Kehrtwende

Für Unternehmen in der EU deutet sich zwar kein abrupter Kurswechsel an – aber ein etwas präziserer Rechtsrahmen. Das kann die digitale Rechtslage im Binnenmarkt berechenbarer machen. Drei besonders relevante praktische Konsequenzen sind absehbar: Erstens gewinnt die Datenklassifikation an Bedeutung. Wer auf der Basis der konkretisierten Definition personenbezogener Daten belastbar zwischen anonymisierten, pseudonymisierten und personenbezogenen Daten trennt, reduziert Risiken. Zweitens wird die Dokumentation der Zweckbindung und Kompatibilitätsprüfung beim Einsatz bestehender Daten für KI-Training zentral. Drittens steigen die Anforderungen an verständlich kommunizierte modulare Transparenz über die Verarbeitung personenbezogener Daten. Wo KI-Training eine Rolle spielt, sind zusätzliche Analysen und Maßnahmen notwendig, vor allem bei sensiblen Daten oder hohen Re-Identifizierungsrisiken.

Der aktuelle Entwurf zum Digital Omnibus ist mehr technische Reform als politische Kehrtwende. Er ordnet Definitionen, schärft Transparenz, und er integriert das KI-Regime etwas besser als bislang mit dem Datenschutzrecht. Für Unternehmen bringt das ein wenig mehr Klarheit, aber keine Absenkung der Schutzanforderungen. Für Betroffene erhöht es die Chance, Verarbeitungsvorgänge besser zu verstehen und Rechte wirksam wahrzunehmen. Die pauschale Alarmierung, der Datenschutz werde ausgehöhlt, erscheint überzogen. 

Der Entwurf ist mit seinen Zielen rechtspolitisch nachvollziehbar. Ob und in welchem Umfang einzelne Punkte den Datenschutz am Ende tangieren, hängt von der konkreten Ausgestaltung des Digital Omnibus im weiteren politischen Prozess ab. Eine umfassende und belastbare Analyse der Auswirkungen der von der Kommission vorgeschlagenen Neuregelungen wird zwar selbst für Experten einige Zeit in Anspruch nehmen. Das politische Tauziehen um den Digital Omnibus ist dennoch bereits in vollem Gange.

Tim Wybitul ist Rechtsanwalt und Partner von Latham & Watkins in Frankfurt a. M. Er berät deutsche und internationale Unternehmen zu komplexen Fragen des Datenschutzes, der künstlichen Intelligenz (KI) und anderen digitalen Themen.