von Peter Schaar, 18. November 2025
Am 19. November will die Europäische Kommission ein umfassendes Paket zur Änderung der EU-Rechtsvorschriften zum Umgang mit digitalen Daten vorlegen, den sogenannten „Digitalen Omnibus“. Er soll die Digitalisierung in Europa voranbringen und so die Konkurrenzfähigkeit der Europäischen Union im globalen Wettbewerb verbessern. Die bisher bekannt gewordenen Vorschläge lassen jedoch vermuten, dass die digitalen Bürgerrechte massiv geschwächt werden, ohne das angestrebte Ziel auch nur ansatzweise zu erreichen.
Im Mittelpunkt stehen Änderungen des Datenschutzrechts. Mit der 2016 beschlossenen und 2018 wirksam gewordenen Datenschutz-Grundverordnung (DSGVO) hat Europa einen modernen Rechtsrahmen für den Umgang mit personenbezogenen Daten geschaffen. Dass die DSGVO nun auf der Grundlage der praktischen Erfahrungen überprüft und neuen Erfordernissen angepasst werden soll, ist grundsätzlich nicht zu kritisieren. Allerdings werfen die vorgeschlagenen Änderungen eine Vielzahl von Fragen auf.
Einschränkung der Definition personenbezogener Daten
Die wohl schwerwiegendste Änderung betrifft die Definition personenbezogener Daten. Während nach derzeitigem Recht alle Daten, die einer natürlichen Person direkt oder indirekt zugeordnet werden können, durch die DSGVO geschützt sind, soll dieser Schutz zukünftig nur noch dann gelten, wenn das Unternehmen oder die Organisation, die Zugang zu diesen Daten hat, selbst die betroffene Person identifizieren kann. Wenn die Einrichtung die Zuordnung nicht selbst vornehmen kann, sollen die Informationen für sie auch dann keine personenbezogenen Daten sein, wenn ein Dritter, insbesondere ein späterer Empfänger, über Mittel zur Identifizierung der Person verfügt.
Mit der Neuregelung könnten sich Unternehmen leicht allen datenschutzrechtlichen Verpflichtungen entziehen, indem sie beispielsweise den Namen einer Person nicht erfassen oder ihn durch eine Nummer ersetzen (Pseudonymisierung). Diese Daten könnten dann ohne jede Beschränkung und für jeden denkbaren Zweck verarbeitet werden. Die Betroffenen müssten nicht über die Tatsache der Verarbeitung, ihre Zwecke und mögliche Empfänger informiert werden. Sie hätten weder ein Auskunftsrecht noch ein Recht auf Datenlöschung. Auch die bisherigen strengen Regelungen zur Datenübermittlung in Drittstaaten außerhalb der EU (etwa in die USA oder nach China) würden für diese Daten nicht mehr gelten. Ihre Übermittlung an ausländische Empfänger wäre selbst dann zulässig, wenn eine Behörde im Empfängerstaat (z.B. die Polizei oder ein Geheimdienst) über die Mittel zur Re-Identifizierung der pseudonymisierten Daten verfügt und diese auch einsetzt. Auf diesem Weg würde der durch Art. 5 der EU-Grundrechtecharta garantierte Schutz personenbezogener Daten gegenüber global agierenden Tech-Unternehmen deutlich geschwächt.
Geringerer Schutz sensibler Informationen
Eine weitere gravierende Begrenzung des Datenschutzes soll es bei besonders schützenswerten, insbesondere medizinischen, Daten geben. Die strengen Vorgaben von Art. 9 DSGVO sollen nur noch dann gelten, wenn die Daten explizit Auskunft über den Gesundheitszustand, die sexuelle Orientierung oder sonstige besonders schützenswerte Eigenschaften einer Person geben. Die Daten müssen nur noch dann besonders geschützt werden, wenn sie diese Eigenschaft unmittelbar offenbaren. Daten, aus denen auf diese Eigenschaft nur geschlossen werden kann, wären nicht mehr besonders zu schützen.
So könnten Bewegungsdaten (z.B. über Arzt- und Krankenhausbesuche) oder Suchanfragen mit Gesundheitsbezug ohne besondere Erlaubnis erfasst und ausgewertet werden. Während beispielsweise eine Krebsdiagnose weiterhin besonderen Schutz genießt, wäre die Tatsache, dass die betroffene Person regelmäßig eine Onkologiepraxis besucht oder im Internet nach einschlägigen Begriffen sucht, nicht mehr besonders geschützt. Den Betreibern von Social-Media-Plattformen wäre es zukünftig so erlaubt, sämtliche Einträge detailliert auszuwerten und die Nutzerinnen und Nutzer (etwa nach politischer Einstellung) zu kategorisieren und sie könnten diese Daten risikolos weitergeben. Dubiose Praktiken, wie die des Unternehmens „Cambridge Analytica“, die seinerzeit von Datenschutzbehörden mit hohen Bußgelder geahndet wurden, wären dann legal.
Umfassende Verwendung personenbezogener Daten für das KI-Training
Die Verarbeitung personenbezogener Daten für das Training von KI-Systemen soll grundsätzlich als „berechtigtes Interesse“ zulässig sein, selbst wenn es sich um besonders sensible Daten handelt.
Da praktisch alle Daten für das Training von KI-Systemen verwendet werden können, würde eine derart weit gefasste Öffnungsklausel die Speicherung sämtlicher Daten auf Vorrat rechtfertigen. Von dieser Öffnungsklausel sind nicht nur Daten betroffen, die unter Pseudonym gespeichert sind und deshalb nicht mehr in den Anwendungsbereich der DSGVO fallen (siehe oben), sondern auch Daten, die weiterhin als personenbezogen anzusehen sind.
Fazit
Die geplanten Änderungen des europäischen Datenschutzrechts werden den bisher strengen datenschutzrechtlichen Rahmen für die digitale Verarbeitung deutlich aufweichen. Anders als von der Europäischen Kommission behauptet, kommen diese Änderungen in erster Linie großen Digitalkonzernen zugute, deren Geschäftsmodelle auf der massenhaften Verarbeitung personenbezogener Daten beruhen. Angesichts ihrer technologischen Möglichkeiten werden die in Europa tätigen amerikanischen und chinesischen Unternehmen davon besonders profitieren. Wie der digitale Omnibus die globale Konkurrenzfähigkeit der europäischen Digitalwirtschaft erhöhen und die digitale Souveränität Europas stärken soll, weiß allein die Europäische Kommission.