EU-Datenschutz unter Druck: Geleakter Gesetzesentwurf alarmiert Kritiker

Europas KI-Regulierung steht am Scheideweg. Während ein Münchner Gericht OpenAI verbietet, geschützte Daten für das Training seiner Modelle zu nutzen, plant die EU-Kommission offenbar eine drastische Lockerung der Datenschutz-Grundverordnung. Der durchgesickerte „Digital-Omnibus”-Entwurf sorgt für massive Empörung – Bürgerrechtler sprechen vom „größten Rückschritt für digitale Grundrechte” in der Geschichte der EU. Zeitgleich versuchen Datenschutzbehörden, mit neuen Leitlinien Klarheit zu schaffen. Droht jetzt ein Kuhhandel zwischen Innovation und Privatsphäre?

Die vergangene Woche offenbarte ein fundamentales Dilemma der europäischen Digitalpolitik: Wie weit darf man den Datenschutz aufweichen, um im globalen KI-Wettrennen nicht abgehängt zu werden? Die geleakten Pläne aus Brüssel zeichnen ein beunruhigendes Bild – und das ausgerechnet in der Woche, in der deutsche Richter ein starkes Zeichen für bestehende Schutzrechte setzten.

Das Unbehagen ist greifbar. Über 125 zivilgesellschaftliche Organisationen schlugen am 13. November Alarm, nachdem Details zum geplanten „Digital-Omnibus”-Paket an die Öffentlichkeit gelangten. Die EU-Kommission will das Gesetzeswerk am 19. November offiziell vorstellen – offiziell zur „Vereinfachung” digitaler Vorschriften und zur Stärkung der Wettbewerbsfähigkeit.

Doch was in den durchgesickerten Dokumenten steht, liest sich für Datenschützer wie ein Albtraum. Der Kern: Die Verarbeitung personenbezogener Daten für KI-Training soll künftig als „berechtigtes Interesse” gelten. Klingt harmlos, hätte aber weitreichende Konsequenzen. Unternehmen könnten dann auf eine explizite Nutzereinwilligung in vielen Fällen verzichten – eine der tragenden Säulen der DSGVO würde damit massiv geschwächt.

Passend zum Thema Datennutzung für KI: Viele Unternehmen unterschätzen die Pflicht zur Datenschutz-Folgenabschätzung (DSFA) bei risikoreichen KI-Systemen. Unser kostenloses E-Book zeigt in klaren Schritten, wie Sie eine rechtssichere DSFA erstellen — mit praktischen Vorlagen, Checklisten und Beispielen, damit Sie Bußgelder bis zu 2% des Jahresumsatzes vermeiden. Ideal für Datenschutzbeauftragte und Verantwortliche, die sich jetzt auf AI Act & EDPS-Leitfäden vorbereiten müssen. Jetzt DSFA-Leitfaden herunterladen

„Der größte Rückschritt bei den digitalen Grundrechten in der Geschichte der EU”, warnte die Koalition aus Organisationen wie People vs Big Tech und EDRi in einem gemeinsamen Brief. Das Ada Lovelace Institute setzte am 14. November noch einen drauf: Die Vorschläge beruhten auf der „falschen Prämisse, dass jede Deregulierung gut für die Wirtschaft sei”. Kritiker fürchten einen gefährlichen Präzedenzfall – verantwortungsbewusste Unternehmen würden bestraft, während ein „Wettlauf nach unten” bei Compliance-Standards einsetze.

Münchner Richter ziehen klare Grenze

Fast zur gleichen Zeit sendete das Landgericht München I ein völlig anderes Signal. Am 11. November entschieden die Richter zugunsten der GEMA in einem wegweisenden Verfahren gegen OpenAI. Das Urteil ist unmissverständlich: Die Nutzung urheberrechtlich geschützter Songtexte für das Training von ChatGPT verletzt Urheberrechte. Punkt.

Die Begründung sitzt. Sowohl das dauerhafte Speichern der Texte in den KI-Modellen als auch deren Wiedergabe auf Nutzeranfragen hin stelle eine unzulässige Vervielfältigung dar. Die Schrankenregelungen für Text- und Data-Mining? Greifen hier nicht, entschied das Gericht – diese erlaubten nur die Analyse, nicht aber die permanente Speicherung und spätere Wiedergabe.

Die Vorsitzende Richterin fand dafür einen plastischen Vergleich: Wer etwas bauen wolle und Bauteile brauche, der „erwerben Sie sie und nutzen nicht das Eigentum anderer.” OpenAI kündigte umgehend Widerspruch an und betonte, das Urteil betreffe nur eine begrenzte Anzahl von Liedtexten. Dennoch: Als erste Grundsatzentscheidung dieser Art in Europa setzt das Urteil ein deutliches Zeichen. Schadenersatz und Unterlassung – OpenAI muss handeln.

EU-Behörden navigieren durchs Regelchaos

Während Politik und Gerichte die Grundsatzfragen klären, kämpfen Unternehmen mit dem Alltag. Der bereits in Kraft getretene AI Act ist komplex, die Unsicherheit groß. Die EU-Kommission versucht gegenzusteuern: Mit dem neu eingerichteten „AI Act Service Desk” und einer zentralen Informationsplattform sollen Firmen Antworten auf ihre drängendsten Fragen finden.

Der Europäische Datenschutzbeauftragte (EDPS) legte am 11. November nach: Eine neue „Anleitung für das Risikomanagement von Systemen der künstlichen Intelligenz” soll EU-Institutionen bei der Durchführung von Datenschutz-Risikobewertungen helfen. Dies folgt auf eine bereits Ende Oktober aktualisierte Orientierungshilfe zu generativer KI – mit klareren Definitionen und praxisnahen Checklisten.

Ein Versuch, Ordnung ins Chaos zu bringen. Doch kann das gelingen, wenn gleichzeitig die Fundamente des Datenschutzes zur Disposition stehen?

Zwischen Wettbewerbsdruck und Grundrechten

Das Dilemma ist offensichtlich. Europa hat mit dem AI Act das weltweit erste umfassende KI-Gesetz geschaffen – ein risikobasierter Ansatz, der Grundrechte schützen soll. Gerichte wie das in München und Behörden wie der EDPS arbeiten daran, diesen Rahmen mit Leben zu füllen.

Doch der Druck wächst. Wirtschaftsverbände und internationale Partner fordern weniger Bürokratie, mehr Tempo. Im Wettbewerb mit den USA und China könne sich Europa keine überbordende Regulierung leisten, heißt es. Der geleakte „Digital Omnibus” zeigt: Diese Argumente verfangen in Brüssel.

Für Unternehmen entsteht dadurch eine paradoxe Situation. Sie investieren Millionen, um die strengen Anforderungen des AI Acts zu erfüllen – während die Spielregeln der Datennutzung möglicherweise bald komplett neu geschrieben werden. Rechtssicherheit? Fehlanzeige.

Was kommt jetzt?

Die kommenden Tage werden zeigen, ob die EU-Kommission am 19. November an ihren umstrittenen Plänen festhält oder einlenkt. Der Druck der Zivilgesellschaft ist immens. Gleichzeitig wird der Rechtsstreit um KI-Trainingsdaten weitergehen – das Münchner Urteil gegen OpenAI ist noch nicht rechtskräftig, weitere Instanzen könnten folgen.

Die schrittweise Anwendung des AI Acts läuft bereits. Ab Februar 2025 gelten die ersten Regeln zu verbotenen KI-Praktiken. Die Leitlinien von Kommission und EDPS sind wichtige Wegweiser für die Umsetzung. Doch welcher Pol letztlich die digitale Zukunft Europas prägt – strenge Regulierung oder wirtschaftliche Deregulierung – bleibt eine der spannendsten Fragen der kommenden Monate.

PS: Sie stehen vor Entscheidungen zur KI‑Implementierung? Sichern Sie sich die komplette DSFA‑Vorlage mit bearbeitbaren Musterdokumenten und einer Schritt‑für‑Schritt‑Anleitung, die speziell für KI‑Projekte konzipiert wurde. Inklusive Word- und Excel‑Vorlagen sowie Checklisten, mit denen Sie Risiken nachvollziehbar dokumentieren und Anforderungen des AI Act und der EDPS‑Leitlinien prüfungssicher erfüllen — schnell und ohne teure Beratung. Kostenlose DSFA‑Vorlage & Checkliste anfordern