EU-Digitalpaket: Brüssel will DSGVO aufweichen

Die Europäische Kommission hat heute ein umstrittenes Gesetzespaket vorgestellt, das die Digitalpolitik der EU grundlegend verändern könnte. Mit dem sogenannten „Digital Omnibus” will Brüssel die Datenschutz-Grundverordnung (DSGVO), den AI Act und weitere Datengesetze vereinfachen – offiziell, um Bürokratie abzubauen und Innovationen zu fördern. Doch Datenschützer schlagen Alarm: Sie sehen in den Vorschlägen einen gefährlichen Angriff auf digitale Grundrechte.

Das umfassende Paket, präsentiert von EU-Kommissionsvizepräsidentin Henna Virkkunen, zielt darauf ab, überschneidende Regelungen zu konsolidieren und den digitalen Binnenmarkt zu harmonisieren. Im Kern geht es um eine heikle Balance: Die EU will ihre technologische Wettbewerbsfähigkeit stärken, ohne ihren Ruf als globaler Vorreiter beim Datenschutz zu gefährden. Doch kann das gelingen?

Der wohl brisanteste Punkt: Die Kommission will es Unternehmen deutlich erleichtern, personenbezogene Daten für das Training von KI-Modellen zu nutzen. Bislang ist dafür meist die ausdrückliche Zustimmung der Nutzer erforderlich – eine Hürde, die nach Ansicht Brüssels Innovation behindert.

Die Neuregelung würde es erlauben, persönliche und sogar pseudonymisierte Daten auf Basis des „berechtigten Interesses” zu verarbeiten. Unternehmen müssten lediglich eine Abwägung zwischen ihren kommerziellen Interessen und den Datenschutzrechten der Betroffenen vornehmen. Die Begründung: Vertrauenswürdige KI sei „zentral für Wachstum und Innovation” in Europa.

Die neuen EU-Regeln für Künstliche Intelligenz bringen viele Unsicherheiten: Kennzeichnungspflichten, Risikoklassen und umfassende Dokumentationsanforderungen werden oft unterschätzt – und können Unternehmen teuer zu stehen kommen. Ein kostenloser Umsetzungsleitfaden erklärt praxisnah, welche Pflichten für Entwickler und Anbieter von KI-Systemen gelten, wie Sie Ihr System korrekt klassifizieren und welche Nachweise jetzt notwendig sind. Mit Checklisten und konkreten Handlungsschritten für die sofortige Umsetzung. KI-Umsetzungsleitfaden jetzt kostenlos herunterladen

Datenschutzexperten reagieren empört. Sie werfen der Kommission vor, ein Kernprinzip der DSGVO auszuhöhlen und faktisch Massendatensammlung für Konzerninteressen zu legalisieren. Die Kontrolle der Bürger über ihre Daten würde erheblich geschwächt. Zusätzlich sollen auch sensible Datenkategorien verarbeitet werden dürfen, wenn dies zur Erkennung und Korrektur algorithmischer Verzerrungen notwendig ist.

Schluss mit Cookie-Bannern?

Wer kennt sie nicht, die nervigen Cookie-Hinweise auf jeder Website? Das Digitalpaket verspricht hier Abhilfe. Die betagte ePrivacy-Richtlinie soll direkt in die DSGVO integriert werden. Das würde es ermöglichen, bestimmte Cookies auf Grundlage des „berechtigten Interesses” zu setzen – ohne ausdrückliche Einwilligung.

Nutzer sollen ihre Präferenzen künftig über automatisierte Signale in ihren Browser-Einstellungen mitteilen können. Eine zentrale Entscheidung statt hundertfacher Klicks auf „Alle akzeptieren”? Das klingt verlockend, wirft aber auch Fragen auf: Wie viel Kontrolle geben Nutzer dabei tatsächlich ab?

Auch für Unternehmen bringt das Paket Erleichterungen. Kleine und mittlere Unternehmen sowie neu definierte „Small Mid-Caps” mit weniger als 750 Mitarbeitern müssten nur noch Verarbeitungstätigkeiten mit hohem Risiko dokumentieren. Die aufwendige Führung von Verarbeitungsverzeichnissen würde entfallen.

Zentrale Meldestelle für Cybersicherheit

Ein Lichtblick für die Praxis: Die EU-Cybersicherheitsagentur ENISA erhält einen „Single-Entry Point” für die Meldung von Datenpannen und Cyberangriffen. Unternehmen können künftig einen Vorfall zentral melden, ENISA leitet die Informationen dann automatisch an die zuständigen Behörden weiter – gemäß dem Prinzip „einmal melden, vielfach teilen”.

Bisher müssen Firmen bei einem Cyberangriff oft mehrere Meldungen an verschiedene Behörden schicken, etwa nach NIS2, DORA oder DSGVO. Diese Doppelarbeit soll nun ein Ende haben.

Datenschutz-Flickenteppich wird zusammengelegt

Neben der DSGVO krempelt Brüssel auch andere Datengesetze um. Der erst kürzlich in Kraft getretene Data Act soll zum zentralen Instrument für Datenregulierung werden. Drei weitere Rechtsakte – die Open-Data-Richtlinie, der Data Governance Act und die Verordnung zum freien Datenverkehr – werden darin integriert, um Widersprüche und Überschneidungen zu beseitigen.

Auch der AI Act, noch gar nicht vollständig umgesetzt, steht bereits auf dem Prüfstand. Bestimmte Hochrisiko-KI-Systeme sollen künftig zentral vom EU AI Office zertifiziert werden können. Das soll grenzüberschreitende Geschäfte vereinfachen, könnte aber die Rolle nationaler Aufsichtsbehörden schwächen.

Wirtschaft jubelt, Datenschützer warnen

Die Reaktionen könnten kaum gegensätzlicher sein. Die Industrie begrüßt das Paket als längst überfällige Entlastung. Europäische Unternehmen sähen sich gegenüber US- und chinesischen Wettbewerbern im Nachteil, so die Argumentation. Die Kommission verspricht, administrative Kosten um 25 Prozent zu senken.

Datenschutzbehörden und Bürgerrechtsorganisationen hingegen sehen einen „Frontalangriff” auf die DSGVO. Die vorgeschlagenen Änderungen seien keine kosmetischen Korrekturen, sondern würden systematisch kommerzielle Datenausbeutung über das Grundrecht auf Privatsphäre stellen. Die Neuinterpretation des „berechtigten Interesses” könne jahrelange Fortschritte im Datenschutz zunichtemachen.

Langer Weg bis zum Gesetz

Mit der heutigen Präsentation beginnt erst die eigentliche Arbeit. Das Paket muss nun durch das Europaparlament und den Rat der EU – zwei Institutionen, die oft unterschiedliche Prioritäten haben. Angesichts der fundamentalen Kontroversen dürfte ein zäher Verhandlungsmarathon bevorstehen.

Unternehmen sollten die Entwicklungen genau verfolgen. Die finale Fassung könnte erhebliche Auswirkungen auf Datenverarbeitung, Compliance-Strategien und KI-gestützte Dienste haben. Mit einer Einigung wird nicht vor Mitte bis Ende 2026 gerechnet. Bis dahin wird sich zeigen, ob die EU bereit ist, ihre Datenschutz-Prinzipien zugunsten wirtschaftlicher Interessen zu opfern – oder ob sie einen dritten Weg findet.

PS: Unternehmen, die KI-Systeme entwickeln oder einsetzen, sollten die neuen Vorgaben der EU-KI-Verordnung genau kennen – von der Risikoklassifizierung bis zur Pflichtdokumentation. Dieses kostenlose E‑Book fasst die wichtigsten Anforderungen kompakt zusammen, liefert Übergangsfristen, Praxisbeispiele und eine Schritt-für-Schritt-Checkliste für die Umsetzung im Unternehmen. Besonders nützlich für Datenschutzbeauftragte, Entwickler und Entscheidungsträger. Gratis E-Book: EU-KI-Verordnung für Unternehmen herunterladen