Während der IAPP Europe Data Protection Congress in Brüssel lief, veröffentlichte die EU-Kommission den digitalen Omnibus. Der Verordnungsentwurf beherrschte den Kongress am 19. und 20. November.

Änderungen an der DSGVO waren lange undenkbar

Auf dem Kongress im vergangenen Jahr war der „Brussels Effect“ noch in aller Munde. Der EU war es mit der Datenschutz-Grundverordnung gelungen, einen Standard für diverse Datenschutzgesetze auf der ganzen Welt zu setzen. Wegen dieser Vorbildfunktion, aber auch wegen des langwierigen Gesetzgebungsverfahrens schienen substantielle Änderungen der DSGVO äußerst unwahrscheinlich.

Seit ein paar Wochen gilt das alles nicht mehr. Die EU-Kommission hat in ihren Entwurf für die Omnibus-Verordnung nicht nur Änderungen an Kernregelungen der DSGVO aufgenommen, sondern auch an weiteren digitalen Rechtsakten wie dem Data Act. Die KI-Verordnung soll ebenfalls angepasst werden – bevor sie vollständig wirksam geworden ist.

Druck der politischen Weltlage

Die weltweite Vorbildfunktion der DSGVO könnte darunter leiden, wenn deren Standards plötzlich ins Wanken geraten. Aber die Staatengemeinschaft verabschiedet sich in letzter Zeit von vielen alten Gewissheiten. Warum sollten ausgerechnet Datenschutz-Standards unangetastet bleiben?

Der Washingtoner Datenschutzexperte Travis LeBlanc sah die Omnibusgesetzgebung durchaus in einer Entwicklung, die sich deutlich seit der Rede des US-Vizepräsidenten Vance auf dem AI Action Summit im Februar abzeichnete. Vance kritisierte in Paris ausdrücklich die DSGVO als Überregulierung.

Von dieser Entwicklung ist auch Travis LeBlanc ganz persönlich betroffen. Er war Mitglied des U.S. Privacy and Civil Liberties Oversight Board, das die Einhaltung der Vorgaben des EU-U.S. Data Privacy Framework in den USA überwacht. Er wurde mit zwei anderen demokratischen Board-Mitgliedern von der Trump-Regierung abgesetzt.

Der Europaabgeordnete Michael McNamara sprach ganz offen aus, dass der Omnibus auf „Lobbying from across the Atlantic“ beruht. Nach Meinung der niederländischen Politikerin und Aktivistin Sophie Helena in ’t Veld gibt Europa mit dem Omnibus seine digitale Souveränität auf.

Welche Regelungen enthält der Omnibus zum Datenschutz?

In der Einleitung der Omnibus-Verordnung ist natürlich keine Rede von äußerem Druck. Die EU-Kommission stellt den Verordnungsentwurf unter das Motto ‘A simpler and faster Europe’ und beruft sich unter anderem auf den Draghi-Report. Der “Proposal for Regulation on simplification of the digital legislation” umfasst 150 Seiten, ab Seite 54 geht es um die Änderungen der DSGVO.

Dazu gehören im Detail die Folgenden:

  • Die Definition personenbezogener Daten in Art. 4 Nr. 1 DSGVO soll ergänzt werden. Pseudonymisierte Daten können für den Verantwortlichen personenbezogen sein, für den Empfänger jedoch anonym bleiben, sofern eine Re-Identifizierung ausgeschlossen ist. Nach einem neuen Art. 41a DSGVO soll die EU-Kommission technische Standards vorgeben, welche die Wiederherstellung des Personenbezugs so weit wie möglich ausschließen.
  • Die Informationspflichten aus Art. 13 DSGVO werden unter bestimmten Bedingungen erleichtert.
  • In Art. 22 DSGVO wird klargestellt, dass automatisierte Entscheidungen zulässig sind, wenn sie auf Vertrag, Gesetz oder Einwilligung beruhen – auch dann, wenn eine menschliche Entscheidung möglich wäre.
  • Die Auskunft nach Art. 15 DSGVO kann verwehrt werden, wenn eine betroffene Person „die durch diese Verordnung gewährten Rechte für andere Zwecke als den Schutz ihrer Daten missbraucht”.
  • Datenschutzverletzungen müssen nur noch bei einem hohen Risiko für die betroffenen Personen gemeldet werden. Die Meldefrist verlängert sich von 72 auf 96 Stunden. Außerdem muss bei Vorfällen nach NIS2, DSGVO und DORA nur eine einheitliche Meldung erfolgen.
  • Der EDSA erstellt verbindliche Vorlagen für die Datenschutz-Folgenabschätzung.
  • Die Rechtsgrundlage für das Setzen von Cookies soll nicht mehr in der Cookie-Richtlinie, sondern in Art. 88a DSGVO geregelt werden. Demnach kämen neben der Einwilligung auch berechtigte Interessen als Rechtsgrundlage in Betracht.
  • Browser, Apps, Betriebssysteme oder Einwilligungsmanager sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen. Website-Anbieter sollen durch Art. 88b DSGVO verpflichtet werden, diese Signale zu akzeptieren und maximal alle sechs Monate erneut nachzufragen, ob man nicht doch Tracking-Cookies akzeptieren möchte.
  • Berechtigte Interessen werden in Art. 88c DSGVO ausdrücklich als Rechtsgrundlage für das Training von KI-Modellen und den Betrieb von KI-Systemen anerkannt.

Sieht so Vereinfachung aus?

Der Verordnungsentwurf enthält „Simplification“ schon im Namen und weitere 29-mal im Text. Die Meldung von Datenschutzverletzungen würde zum Beispiel augenscheinlich einfacher. Auch die Ergänzungen zu pseudonymisierten Daten scheinen einfach nur das Urteil des EuGH in Sachen SRB (Rechtssache C‑413/23 P) wiederzugeben.

Doch ist das Urteil selbst äußerst kompliziert. Ob bei pseudonymisierten Daten aus Sicht des Empfängers der Personenbezug fehlt, muss in zahlreichen Gutachten im Einzelfall geklärt werden. Handelt es sich um eine Auftragsverarbeitung, gibt es bei fehlendem Personenbezug für den Empfänger keinen Grund, einen entsprechenden Vertrag abzuschließen. Aus seiner Sicht ist die DSGVO überhaupt nicht anwendbar.

Karolina Mojzesowicz, seit über zehn Jahren bei der EU-Kommission für Datenschutz zuständig, war sich sicher, dass ein solcher Vertrag trotzdem abgeschlossen werden muss. Leider ließ sich das weder aus dem EuGH-Urteil noch aus dem Entwurf für die Omnibus-Verordnung herleiten. Wenn einer ausgewiesenen Expertin der EU-Kommission schon die Argumente ausgehen, dürfte sich die Rechtslage wohl kaum vereinfachen.

Erste Einschätzungen zum Omnibus

Zu Beginn des Kongresses wurde die EDSA-Vorsitzende Anu Talus um eine Einschätzung gebeten. Sie äußerte sich vorsichtig, da zu diesem Zeitpunkt nur die geleakte Fassung des Verordnungsentwurfs bekannt war: „Core principles must remain untouched. Some proposals raise some concerns.“ Am deutlichsten wurde sie mit „excessive approach.”

Dagegen verwies der belgische Datenschutzexperte Tanguy van Overstraeten auf die vorab kritisierte Einschränkung der besonderen Kategorien personenbezogener Daten. Der geleakte Verordnungsentwurf sah vor, dass Daten, aus denen sensible Merkmale nur mittelbar abgeleitet werden können, nicht mehr durch Art. 9 DSGVO geschützt sein sollten. Diese Einschränkung sei in dem veröffentlichten Entwurf nicht mehr enthalten.

Der Europaabgeordnete McNamara meinte, der Zweck der ergänzten Definition (pseudonymisierter) Daten sei nicht Vereinfachung, sondern „Deregulierung“. Auch von anderen wird kritisiert, dass die Definition das EuGH-Urteil nicht exakt wiedergebe.

Ein ganzes Urteil lässt sich aber kaum in einer gesetzlichen Definition unterbringen. Die notwendige Verkürzung muss nicht zwangsläufig zu einer Aushöhlung des Begriffs personenbezogener Daten führen. Über das Urteil hinaus gehen zunächst nur die Vorgaben zum Stand der Technik bei der Re-Identifizierung. Diese Vorgaben dienen dem Schutz personenbezogener Daten.

Die Omnibus-Verordnung würde auch nicht das maßlose Setzen von Cookies ohne Einwilligung ermöglichen. Schließlich müssen berechtigte Interessen genau abgewogen werden, was die Aufsichtsbehörden kontrollieren könnten.

TGV statt Omnibus

Anderen Kritikern geht der Entwurf nicht weit genug. Théodore Christakis, Professor an der Universität Grenoble, befand einen Omnibus als zu langsam, weil der an jeder Haltestelle zum Stehen komme. Für die weitreichenden Ziele der EU-Kommission, wie etwa digitale Souveränität, benötige man einen französischen Hochgeschwindigkeitszug.

Die Wirtschaftsexpertin Christina Caffara hatte am Tag zuvor noch auf dem Summit on European Digital Sovereignty in Berlin gesprochen. Im Vergleich dazu, wie China und die USA ihre Interessen durchsetzen, hielt sie europäische Initiativen für ziemlich kleinkariert. Daher kam sie zu dem Schluss:

„I don’t care about Omnibus.“