EU-Datenschutz unter Beschuss: Brüssel plant drastische GDPR-Lockerung

Die Europäische Union will zentrale Schutzstandards ihrer Datenschutz-Grundverordnung (GDPR) und des KI-Gesetzes aufweichen. Das zeigen durchgesickerte Dokumente, die vergangene Woche die Runde machten. Die umstrittenen Vorschläge sollen am 19. November offiziell als „Digital Omnibus”-Paket präsentiert werden – und haben bereits jetzt heftige Proteste ausgelöst. Datenschützer warnen vor massiven Schlupflöchern für Tech-Konzerne und einer dramatischen Schwächung europäischer Bürgerrechte. Ausgerechnet zu einem Zeitpunkt, an dem KI-gestützte Datenlecks und algorithmische Diskriminierung zunehmen, droht das Pendel von Grundrechten zu kommerziellen Interessen umzuschlagen.

Der Konflikt kommt zur Unzeit: Parallel verschärft der Europäische Datenschutzbeauftragte (EDPS) seine Richtlinien für den Umgang mit KI-Risiken. Innerhalb der EU tobt ein Grundsatzstreit über die Zukunft der digitalen Regulierung.

Im Kern zielen die geplanten Änderungen auf das Herzstück der GDPR. Laut einer Analyse der Datenschutzorganisation Noyb, gegründet von Aktivist Max Schrems, würde die Definition von „personenbezogenen Daten” drastisch verengt. Pseudonyme Daten wie Werbe-IDs und Cookies könnten künftig aus dem Schutzbereich fallen – ein Freifahrtschein für umfassendes Online-Tracking und Profiling.

Passend zum Thema Datenschutz: Droht Ihrem Unternehmen ein Bußgeld wegen fehlender Datenschutz-Folgenabschätzung? Gerade bei umfangreichem Einsatz von KI-Modellen kann eine lückenhafte DSFA zu hohen Strafen und Reputationsschäden führen. Unser kostenloses E‑Book bietet konkrete Muster‑Vorlagen, Checklisten und eine Schritt‑für‑Schritt‑Anleitung, mit der Datenschutzbeauftragte DSFAs rechtssicher erstellen können. Kostenlose DSFA‑Vorlagen und Anleitung herunterladen

Besonders brisant: Unternehmen sollen persönliche Daten zum Training von KI-Modellen nutzen dürfen, wenn sie ein „berechtigtes Interesse” geltend machen. Was abstrakt klingt, hätte konkrete Folgen. Tech-Giganten könnten riesige Datensätze europäischer Nutzer legal verwerten. Max Schrems spricht Klartext: „Das wäre eine massive Abwertung der Privatsphäre der Europäer.”

Der Entwurf sieht zudem neue Hürden für Betroffenenrechte vor. Unternehmen könnten Anträge auf Auskunft, Berichtigung oder Löschung leichter ablehnen. Auch der Schutz sensibler Daten – Gesundheitsstatus, politische Ansichten, sexuelle Orientierung – würde verwässert: Er greift künftig nur noch, wenn solche Informationen „direkt offengelegt” werden, nicht aber wenn Algorithmen sie herleiten.

Gnadenfrist für Hochrisiko-KI

Neben der GDPR nimmt das Omnibus-Paket auch das frisch verabschiedete KI-Gesetz ins Visier. Die durchgesickerten Dokumente deuten auf eine einjährige Umsetzungsverzögerung für „Hochrisiko-KI-Systeme” hin – also Modelle, die erhebliche Gefahren für Gesundheit, Sicherheit oder Grundrechte bergen könnten. Strafen und Pflichten würden von 2026 auf 2027 verschoben.

Die Verschiebung käme vor allem europäischen Unternehmen und US-Tech-Konzernen zugute, die intensiv gegen die Regulierung lobbyiert haben. Anbieter bereits eingesetzter generativer KI-Systeme gewännen Anpassungszeit, ohne ihre Geschäftsmodelle zu gefährden. Auch Sanktionen für Transparenzverstöße – etwa fehlende Kennzeichnung von KI-generierten Deepfakes – könnten erst im August 2027 greifen.

Der Zeitpunkt wirkt heikel. Aktuelle Studien belegen die wachsende Bedrohung durch KI-generierte Desinformation: Menschen fallen gefälschten Schlagzeilen deutlich häufiger zum Opfer, wenn diese mit realistischen, KI-erzeugten Bildern kombiniert werden.

Europas gespaltene KI-Governance

Der scheinbare Kurswechsel der EU-Kommission steht in krassem Widerspruch zu jüngsten Maßnahmen anderer europäischer Institutionen. Am 11. November veröffentlichte der EDPS neue Leitlinien zur Identifizierung und Eindämmung technischer KI-Risiken. Diese betonen ausdrücklich die Notwendigkeit robuster Datenschutz-Folgenabschätzungen bei Entwicklung und Einsatz von KI-Systemen.

Der interne Konflikt spiegelt einen globalen Kampf wider: Innovation gegen Sicherheit. Cybersecurity-Experten warnen seit Monaten, KI sei ein „zweischneidiges Schwert”. Während KI Verteidigungswerkzeuge verbessert, nutzen Angreifer generative KI zunehmend für ausgefeilte automatisierte Attacken – von raffinierten Phishing-Kampagnen bis zu neuartiger Malware.

Hinzu kommen grundsätzliche Schwächen aktueller KI-Modelle. Sie reproduzieren und verstärken gesellschaftliche Vorurteile nachweislich und haben Schwierigkeiten, Fakten von Fiktion zu trennen – das bekannte Problem der „Halluzinationen”.

Innovation oder Ausverkauf?

Die EU-Kommission rechtfertigt die Vorschläge mit dem Abbau bürokratischer Hürden für kleine und mittlere Unternehmen. Europa dürfe im globalen Wettlauf gegen die USA und China nicht durch komplexe Gesetze ausgebremst werden. Kritiker kontern: Das sei eine „Nebelkerze”. Hauptprofiteure seien in Wahrheit große Tech- und Werbekonzerne.

Die Diskussion berührt die Kernfrage des digitalen Zeitalters: Wie lässt sich ein wettbewerbsfähiger Technologiesektor fördern, ohne Nutzerschutz und Sicherheit zu opfern? Die Deregulierungswelle folgt auf ein Jahr intensiver Lobby-Arbeit und fällt in eine Phase erheblichen geopolitischen Drucks. Doch gleichzeitig werden die Folgen unkontrollierter KI immer deutlicher.

Prominente Fälle haben gezeigt, wie diskriminierende Algorithmen realen Schaden anrichten – etwa KI-gestützte Recruiting-Tools, die weibliche Bewerberinnen systematisch benachteiligen. Die Industrie reagiert bereits: Ein neues Paradigma der „Agentic AI” setzt auf Transparenz, Nachvollziehbarkeit und Compliance von Grund auf – als direkte Antwort auf die „Black Box”-Problematik heutiger generativer Modelle.

Scheideweg für digitale Grundrechte

Die Technologiewelt blickt gespannt nach Brüssel. Rund um den 19. November wird die EU-Kommission das „Digital Omnibus”-Paket offiziell vorstellen. Die anschließende Debatte im Europaparlament und zwischen den Mitgliedstaaten wird wegweisend für die Zukunft digitaler Regulierung.

Sollte die EU – die mit der GDPR den globalen Datenschutzstandard setzte – ihre eigenen Maßstäbe zurückschrauben, hätte das weltweite Auswirkungen. Ein globales Wettrennen nach unten beim Datenschutz könnte die Folge sein. Für Unternehmen schafft das regulatorische Ping-Pong Unsicherheit, unterstreicht aber auch die dringende Notwendigkeit robuster KI-Governance-Strukturen.

Unabhängig vom Ausgang in Brüssel bleiben die fundamentalen Herausforderungen bestehen: Datenschutz und algorithmische Fairness lassen sich nicht wegverhandeln. Je tiefer Organisationen KI in ihre Prozesse integrieren, desto drängender wird die Frage, wie diese mächtigen Systeme von Grund auf sicher, fair und rechenschaftspflichtig gestaltet werden können.

PS: Datenschutzbeauftragte und Verantwortliche aufgepasst: Erstellen Sie jetzt in wenigen Schritten eine rechtssichere Datenschutz‑Folgenabschätzung. Das Gratis‑E‑Book enthält bearbeitbare Muster, praktische Checklisten und Antworten auf die häufigsten Fragen zur DSFA – ideal für den Einsatz bei KI‑Projekten und Verarbeitung großer Datensätze. DSFA‑E‑Book mit Muster‑Vorlagen jetzt kostenlos anfordern