[Die Gerüchte haben sich bestätigt: Inzwischen liegen unserer Redaktion Entwürfe der Kommission für den digitalen Omnibus vor. Wir haben sie am 7.11.2025 unter dem Titel „EU-Kommission will Datenschutzgrundverordnung und KI-Regulierung schleifen“ veröffentlicht.]
Am 19. November will die EU-Kommission einen Vorschlag für eine Generalüberholung ihrer Digitalregulierung vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen. Derzeit verdichten sich die Hinweise, dass in diesem Rahmen auch die Datenschutzgrundverordnung (DSGVO) erheblich aufgebohrt werden könnte.
Freie Fahrt für pseudonymisierte Daten
So berichtet heise online von jüngsten Äußerungen der mächtigen Kommissionsbeamtin Renate Nikolay. Als stellvertretende Generaldirektorin der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG Connect) verantwortet sie den digitalen Omnibus. Bei einer Veranstaltung des Bundesverbands Digitalwirtschaft (BVDW) habe sie unter anderem angekündigt, dass das Thema Online-Tracking künftig nicht mehr in der auch als „Cookie-Richtlinie“ bekannten ePrivacy-Richtlinie, sondern nur noch in der DSGVO geregelt werden soll. Bislang überschneiden sich die Regeln aus beiden Rechtsakten.
[Update am Ende des Textes: Euractiv berichtet, dass die Kommission das „legitime Interesse“ als Rechtsgrundlage für Online-Tracking etablieren will.]
Welche inhaltliche Richtung die Kommission hierbei konkret einschlagen will, sagte Nikolay nicht. Aufhorchen lässt in diesem Zusammenhang jedoch eine zweite Ankündigung: So will die Kommission offenbar die Nutzungsmöglichkeiten pseudonymisierter Daten ausweiten. Der Europäische Gerichtshof habe den Spielraum hierfür in seiner Rechtsprechung kürzlich erweitert, so Nikolay laut heise online.
Das Thema ist deshalb brisant, weil die Datenindustrie seit langem versucht, pseudonymisierte Daten beispielsweise beim Online-Tracking als harmlos darzustellen. Datenhändler bewerben Datensätze mit pseudonymisierten personenbezogenen Daten irreführend als „anonym“. Pseudonymisierung bedeutet in der Regel jedoch, dass bei der Profilbildung statt eines direkten Identifikationsmerkmales wie eines Namens oder einer Telefonnummer etwa ein Zahlenschlüssel vergeben wird.
Erst in dieser Woche demonstrierte eine Recherche von netzpolitik.org und internationalen Partnermedien, wie leicht sich pseudonymisierte Daten aus der Online-Werbeindustrie nutzen lassen, um auch hochrangiges Personal der EU auszuspionieren. Die EU-Kommission zeigt sich „besorgt“. Sollte sie nun tatsächlich den Schutz für pseudonymisierte Daten einschränken, könnte sie die von uns aufgedeckte illegale Massenüberwachung durch Werbe-Tracking und Datenhandel legalisieren.
Weniger Schutz für sensible Daten
Mehrere Quellen bestätigten netzpolitik.org, dass die Generaldirektion Connect auch plane, den Schutz von sensiblen Daten einzuschränken. Nach Artikel 9 der DSGVO sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Die Kommission will nun offenbar erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, aus denen oben genannte Informationen explizit hervorgehen. Als sensibel würde dann beispielsweise noch die Aussage einer Person gelten, dass sie sich wegen Suchtproblemen in Behandlung befinde. Standortdaten, aus denen Besuche in einer Suchtklinik ersichtlich sind, würden dann vermutlich nicht mehr darunterfallen.
Dies steht im Widerspruch zur Rechtsprechung des Europäischen Gerichtshofes, der in einem Urteil kürzlich eine weite Definition sensibler Daten bestätigt hatte. Explizit sagte das Gericht, dass auch abgeleitete Informationen unter Artikel 9 DSGVO fallen können.
KI-Training: Freifahrtschein für Tech-Konzerne
Auch bei anderen Themen deutet sich an, dass die Kommission Änderungen anstrebt, die einen Kahlschlag beim Datenschutz bedeuten könnten. So plane die EU-Kommission laut dem Nachrichtendienst MLex [hinter Paywall], die Verwendung personenbezogener Daten für das Training von KI-Modellen datenschutzrechtlich grundsätzlich zu erlauben.
Machine-Learning-Systeme, die heute hinter vielen KI-Anwendungen wie Chatbots oder Bildgeneratoren stehen, müssen mit großen Datenmengen trainiert werden. Milliardenschwere Tech-Unternehmen wie Google, Meta oder OpenAI sammeln hierfür massenweise Daten aus dem Internet oder bedienen sich an den Daten ihrer Nutzer:innen. Geht es nach der EU-Kommission, sollen sie Letzteres künftig tun können, ohne ihre Nutzer:innen vorab um Erlaubnis fragen zu müssen.
Erst vor wenigen Monaten hatte der Meta-Konzern für einen öffentlichen Aufschrei gesorgt, als er alle öffentlichen Daten seiner Nutzer:innen für das Training seiner Meta AI verwendet. Eine Widerspruchsmöglichkeit bot er nur versteckt an.
Als Rechtsgrundlage für ihr Vorgehen berufen sich Tech-Konzerne meist auf ihr „legitimes Interesse“. Diese Position ist rechtlich umstritten, wurde im Grundsatz jedoch von Datenschutzbehörden und in einem Eilverfahren auch von einem Verwaltungsgericht bestätigt. Um keinen Interpretationsspielraum mehr zu lassen, will die EU-Kommission nun offenbar gesetzlich festschreiben, dass das legitime Interesse als Rechtsgrundlage ausreicht.
„Vom Datenschutz wird nichts mehr übrigbleiben“, kommentiert der ehemalige Kommissionsdirektor Paul Nemitz den Bericht von MLex auf LinkedIn. Er ist einer der Gründerväter der Datenschutzgrundverordnung und lehrt heute Rechtswissenschaften am College of Europe. Das Vorhaben mache „das Leben von Menschen, ausgedrückt in personenbezogenen Daten, zum Gegenstand einer allgemeinen maschinellen Erfassung“ und verstoße gegen die Grundrechte-Charta der EU.
Bundesregierung will Auskunftsrecht einschränken
Laut MLex plant die EU-Kommission auch Betroffenenrechte einzuschränken. So sollen Menschen künftig weniger Möglichkeiten haben, bei Unternehmen oder Behörden zu erfragen, ob und für welche Zwecke diese ihre Daten verarbeiten.
Für die Beschneidung des Rechts auf Datenauskunft hatte sich kürzlich auch die deutsche Regierung ausgesprochen. In einem German Proposal for simplification of the GDPR, schlägt die Bundesregierung der EU-Kommission vor, Schutzmaßnahmen gegen „missbräuchliche Auskunftsersuchen“ einzurichten. So würden Einzelpersonen „ihre Unzufriedenheit mit dem Staat und seinen Institutionen zum Ausdruck bringen, indem sie Auskunftsverfahren nutzen, um künstlich langwierige und ressourcenintensive Streitigkeiten zu schaffen“.
Auch grundsätzliche Reformwünsche, die über den anstehenden digitalen Omnibus hinausgehen, richtet die Bundesregierung an die EU. So soll die Kommission überprüfen, ob die Datenschutzgrundverordnung tatsächlich einen Wettbewerbsvorteil für europäische Unternehmen biete oder ob sie nicht sogar „Chilling Effects“ habe. Damit sind abschreckende Effekte gemeint, die europäische Unternehmen davon abhalten könnten, Prozesse zu digitalisieren.
Bereits in ihrem Koalitionsvertrag hatten Union und SPD den Wunsch festgehalten, Ausnahmen der DSGVO für nicht-kommerzielle Akteure und für Datenverarbeitungen mit geringem Risiko zu schaffen. Diesen Wunsch wiederholt die Bundesregierung in dem Papier.
Gegen Ende des 19-seitigen Dokuments findet sich nur ein einziger Vorschlag, mit dem Schwarz-Rot den Datenschutz stärken will: Die Regierung regt an, auch Hersteller und Vertreiber von Software und Diensten haftbar zu machen, die bislang für Datenschutzverstöße ihrer Produkte keine Verantwortung übernehmen müssen.
Die Reformwelle rollt erst los
Ob und welche Ideen die Kommission tatsächlich zur Umsetzung vorschlagen wird, erfährt die Öffentlichkeit voraussichtlich erst am 19. November. In der Kommission kann die Generaldirektion Connect von Renate Nikolay nicht allein über den digitalen Omnibus entscheiden. Die Datenschutzgrundverordnung obliegt der Generaldirektion Justiz und Verbraucher.
Nach Veröffentlichung der Vorschläge werden das EU-Parlament und der Rat der Mitgliedstaaten dann eigene Positionen zum Gesetzespaket vorlegen. Später in diesem Jahr wird die EU-Kommission ein weiteres Reformvorhaben vorlegen, das sogenannte Digital Package. Auch dieses könnte gravierende Änderungen an der Datenschutzgrundverordnung enthalten.
—
Update, 07.11.2025, 11:30 Uhr: Inzwischen kursiert ein Entwurf der EU-Kommission für den digitalen Omnibus. Euractiv berichtet darüber [hinter Paywall] mit Blick auf den Datenschutz. Demzufolge könnten künftig auch nicht-notwendige Cookies auf Basis der Rechtsgrundlage des legitimen Interesses gesetzt werden. Nutzer:innen müssten dann nicht mehr vorab gefragt werden, bevor sie für Werbezwecke überwacht werden. Tracking-Firmen und Datenhändler dürften sich freuen.
[Die Gerüchte haben sich bestätigt: Inzwischen liegen unserer Redaktion Entwürfe der Kommission für den digitalen Omnibus vor. Wir haben sie am 7.11.2025 um 14:32 Uhr unter dem Titel „EU-Kommission will Datenschutzgrundverordnung und KI-Regulierung schleifen“ veröffentlicht.]
Such‘ ich mir ein neues Leben? Kontinent? Planet?
Mir fehlen die Resourcen…
„Die Regierung regt an, auch Hersteller und Vertreiber von Software und Diensten haftbar zu machen, die bislang für Datenschutzverstöße ihrer Produkte keine Verantwortung übernehmen müssen.“
Was angesichts der Vorhaben der Kommission wohl weniger auf Stärkung des Datenschutzes abzielt, sondern eher eine Drohung an Einzelentwickler und Open-Source-Entwickler ist.
Zudem: Wenn jetzt auch alle personenbezogene Daten für KI-Training genutzt werden dürfen (Grenzen gibt es da ja dann offenbar keine mehr), wie soll denn dann sichergestellt werden, dass aus den Inputs
Max Mustermann
*14.5.1965
E-Mail: max-mustermann@test.com
Beruf: Professor
der gerade wegen Altersbestätigung auf einer Seite seinen Perso hochgeladen hat oder biometrisch sein Gesicht scannen lassen musste,
sich in einer entsprechenden Anfrage an den Chatbot alle diese Daten nicht rekonstruieren lassen?
Oder noch schlimmer, wenn der Chatbot wieder völligen Blödsinn herbeihalluziniert und aus dem o.g. Max Mustermann einen drogenabhängigen verurteilen Mörder macht?
Pauschal gegen KI-Nutzung Widerspruch einlegen -> geht bei 6.1.f (berechtigtes Interesse). Dann darf der Anbieter eigentlich.
Die Niveautiefbohrung erreicht gerade einen neuen Rekord, ist immer noch nicht auf eine undurchgrindbare Schicht gestoßen.
Liebe Executive, liebe Legislative, darf ich noch ergänzen:
Die Daten dürfen niemanden identifizieren können, aber hohe Politik, Militärs, Ober- und Höchstgerichte aus den Daten herauszufiltern.
Die Originaldaten müssen nach Pseudonymisierung sofort unwiederbringlich gelöscht werden, für Strafverfolgungszwecke aber noch sechs Monate vorgehalten werden.
Bewegungsdaten dürfen nicht erhoben werden außer für Personen, die sich schwerer Straftaten schuldig gemacht haben oder schulig machen werden.
Die Strafe bei Vergehen gegen die oben genannten Vorschriften beträgt bei Unternehmen mit einem Jahresumsatz unter 500.000€ Erschießung gefolgt von Vierteilung des Geschäftsführers, CEOs oder Soloselbstständigen, bei Unternehmen über 500 Millionen Euro darf ein Mitglied der Regierung mit dem CEO ein Glas Champagner trinken.
Es gibt sehr viele Menschen, die keine Zeit haben, sich lange Texte durchzulesen oder auch sehr große Mühe haben lesen und zu verstehen. Gerade beim Datenschutz mit den geplanten Änderungen, die persönliche Datenschutzrechte zum Nachteil der Bevölkerung und dementsprechend zum Vorteil der Unternehmen ermöglicht werden sollen, können nicht im Interesse der Bevölkerung sein.
Deshalb müsste Deutschland alle Bewohner über Änderungen und damit einhergehende Nachteile der Bevölkerung in geeigneter Form deutlich gemacht werden. Es reicht nicht aus Änderungen kurz in den Nachrichten kundzutun. Zudem müssten Sendezeiten für die Erläuterungen gewählt werden, die alle Menschen können. Da Unternehmen mit großer Wahrscheinlichkeit uns zukünftig nicht mehr individuel fragen müssen, ob sie unser Chatverhalten für ihre eigenen Interessen verfolgen können und auch dürfen, werden wir quasi nackig sein, für jedes Unternehmen nachvollziehbar. Da ist kein Schutz mehr gegenüber Unternehmen, die auf Maximalgewinn aus sind. Dann müsste vorher erstmal die Vertragsgestaltung für Kunden sicherer gemacht werden, damit diese wirklich einen Überblick über die wichtigsten Vertragsinformationen erhalten und auch noch einfachere Kündigungsrechte für sich in Anspruch nehmen können. Es kann nicht sein, dass Unternehmensinteressen über die der Bevölkerung/ Kunden gestellt werden.
Es fehlt nur noch ein Tropfen, bis ich mich „mit schwäbischem Gruß“ (Goethes Götz von Berlichingen) vom Digitalen völlig und endgültig ins Analoge zurückziehe.
Ich bin freudig bereit, sämtliche Konsequenzen daraus zu ziehen.
Das Fragen nach Zustimmung ist ohnehin Makulatur. Eher sorgt eine Zustimmung für ungeklärte Trackingrisiken.
Wenn man sieht, wie viele Schweine da am Trog sind, scheint die Lösung eher eine strikte Trennung von Tracking und allem kommerziellen zu sein. Wenn man dazu nicht bereit ist, wird es keine Verteidigung mehr geben, denn damit überhaupt irgendwas funktioniert, muss man erst mal nackt sein. Wie sollte es auch anders gehen?
Zeit wird’s. DSGVo ist der größte Konjunkturkiller.
Der Ansatz ist völlig ok aber was sich daraus entwickelt hat ist die Pest. Schon diese ganze Cookiesch… Warum gibt’s das nicht als Opt in? dann braucht es nicht diese nervtötenden Banner
Bisher hat mir noch nie irgendwer mir belegen können, dass Datenschutz wirklich irgendwen an der Umsetzung von irgendwas hindert. Faktisch lässt sich alles datenschutzkonform umsetzen. Datenschutz verhindert nur, dass man etwas gegen den Willen Betroffenen umsetzt und ich wüsste nicht, was daran bitte schlecht sein sollte.
Unternehmen, die gegenteiliges behaupten, sind entweder ahnungslos, faul oder wollen letztlich nur gegen die Interessen ihrer Nutzer handeln können, um sich selber noch mehr auf deren Kosten zu bereichern.
Eine wichtige Ergänzung kommt nun zum Jahresende in Europa in diesem Kontext besonders zum Tragen : alle ursprünglich europäischen Konto und Verwaltungskarten ( Maestro )
werden zum Jahresstart 2026 durch Visa / Master Card aus USA ersetzt. Dabei sollte nun jedem klar werden, alle Menschen USA, Europa und wohl der ganze Rest der westlichen Welt, wird schon lange durch Regierungen und Finanzunternehmen international gläsern gemacht. Nun mit immer tieferen Einblicken und Konsequenzen. Die Namens-Daten von Zahlungsempfängern müssen nun auch bekanntgegeben, überprüft sein und sind ungeschützt, andernfalls ist kein Zahlungsverkehr mehr möglich. Das gehört auch zum Thema. Meldung an meinen Vorredner: ich bin aus der Stadt weg in eine Waldsiedlung auf dem Land gezogen. Digitales meide ich ebenfalls. Ich war früher für viele Grosskonzerne und Banken tätig als IT Architekt. Vorschlag : Rücklagen vor Jahresende und in Deckung gehen. Wo ? …genau aussuchen…irgendwo im Grünen…. Es kommt aus vielen Richtungen Druck auf uns zu. Grüsse Michael
Das legitime Interesse der oftmals unfreiwilligen Datenspender liegt darin, daß ein Verfassungs-TÜV die Algorhythmen der KI-Roboter regelmäßig seitens der Hersteller überwacht und diesen dann sowas wie eine Betriebserlaubnis erteilt. EU-BeamtInnen hätten dann die Pflicht, die Spreu vom Weizen zu trennen und sich bevölkerungsnah zu verhalten, was diese ja wohl momentan nicht tun. Also weg mit denen. Wir brauchen keine NetzionalsozialistInnen an der Spitze der EU.
Hier ein Link zum (geleakten) Entwurf:
https://www.dataprotect.at/2025/11/07/m%C3%B6gliche-anpassungen-in-der-dsgvo-im-rahmen-der-omnibus-directive-ein-nicht-finaler-entwurf-wurde-geleakt/
Wir haben das Dokument am Freitag auf netzpolitik.org veröffentlicht, danke für den Reminder, es auch in diesem Artikel zu verlinken! https://netzpolitik.org/2025/digitaler-omnibus-eu-kommission-will-datenschutzgrundverordnung-und-ki-regulierung-schleifen/