Am 10.11.2025 sind Pläne der EU-Kommission bekannt geworden, die Datenschutzgrundverordnung (DSGVO) im Rahmen des "digital omnibus" zu überarbeiten, um die EU als AI-Standort attraktiver zu machen.
Aura Salla (ehemalige Foreign Policy Adviser der EU-Kommission, ehemalige Public Policy Director bei Meta, heute MEP für die EPP; ein Paradebeispiel für Drehtür-Lobbyismus) ist begeistert von dem Vorschlag und verknüpft die Ankündigung mit dem Hashtag #KillTheChatControlForGood… Merkwürdigerweise sind Datenschützer, die keine Fans von Chatkontrolle sind, (wie beispielsweise NOYB) trotzdem sehr unzufrieden mit den angekündigten Änderungen (hier eine weitere Perspektive). Zu dem geleakten Papier findet Max Schrems klare Worte:
Whoever has drafted this had "tunnel vision" on the (alleged) "AI race" and has simply "bulldozed" the GDPR in many ways that will harm people in hundreds of other areas.
Es drängt sich der Verdacht auf, als würde man die zivilgesellschaftliche Kritik an Chat-Kontrolle nutzen wollen, um unsere Datenschutz-Rechte auszuhöhlen.
Was findet NOYB so problematisch?
Der wohl weitreichendste Eingriff (aus Online-Marketing-Sicht) ist das Herauslösen von pseudonymisierten Daten aus dem Schutz der DSGVO. Damit wären IDs, wie die Google Click ID, und die damit verknüpften Daten kein personenbezogenes Datum mehr. Damit wäre die DSGVO, was Webtracking und personalisierte Werbung angeht, de facto abgeschafft.
Nutzer dürften wieder ohne Consent durchs ganze Internet verfolgt werden. Eine Katastrophe für unsere Privatsphäre und dabei nicht die versprochenen Vorteile für kleine europäische Unternehmen. Manche mögen hoffen, dass Online Marketing damit wieder “einfacher” wird, so wie vor der DSGVO. Für (amerikanische) Großkonzerne wird es sicherlich wieder legaler, in die Privatsphäre der Internet-Nutzer einzugreifen. Aber nur die haben die notwendige Infrastruktur, um das voll auszunutzen. Als Werbekunde dieser Firmen wirst Du davon vermutlich nicht viel merken.
Ein weiterer Schritt, um fragwürdige Methoden wieder legaler zu machen, ist, dass die Definition besonders geschützter Daten eingegrenzt wird. Nutzerdaten über sexuelle Orientierung, Religion, politische Meinung, Gesundheitsdaten und so weiter bleiben sensibel und besonders geschützt. In der Theorie… Aber nur noch, wenn sie explizit vorhanden sind. Implizite Bezüge auf solche Informationen sind nach bisheriger DSGVO geschützt, aber auch das soll sich ändern. Das würde bedeuten, ein Datenbankfeld wie “Nutzer hat Diabetes” wäre weiter mit besonderen Auflagen verbunden. Datenbankfelder für "informiert sich viel zu Diabetes" oder "kauft Insulin online" dagegen nicht mehr. Gleiches beispielsweise mit Parteimitgliedschaften (weiter geschützt) und “folgt Politikern von Partei X” (bald vielleicht unproblematisch).
In der verqueren Logik der Juristerei mag das vielleicht Sinn ergeben. Schließlich weiß Meta ja nicht, ob der Nutzer in der Depressions-Selbshilfe-Gruppe bei Facebook wirklich Depressionen hat… Aber die Auswirkung ist auch hier wieder: Für die Online-Werbeindustrie, die in der Regel eh keine harten Fakten kennt, sondern nur wahrscheinliche Bezüge, wird es wieder legal auf Basis dieser besonders geschützten persönlichen Daten Nutzerprofile anzubieten (solange sie bei der Benennung aufpassen).
Das zweite wichtige Standbein der DSGVO ist (oder bald war?) das Recht auf Einsicht, Korrektur und Löschung der eigenen Daten. Daran wird nun auch gesägt. Wenn das so umgesetzt werden würde, dürfte sich beispielsweise die Schufa wieder weigern, Auskunft über die gesammelten personenbezogenen Daten zu geben und natürlich auch Fehler zu korrigieren.
Biometrische Daten sollen durch AI-Modelle ausgewertet werden dürfen. Ich vermute hier geht es um Gesichtserkennungssoftware und Ähnliches. Je nach genauer Auslegung könnte dies aber dafür sorgen, dass Dinge mit "AI" zu lösen für Unternehmen mehr Freiheiten im Bezug auf personenbezogene Daten erlaubt als ohne (und dabei wird die recht schwammige AI-Definition des AI-Act herangezogen). Es wird klargestellt, dass die Verifizierung meiner Identität weiterhin unter Kontrolle des Datensubjekts steht, aber diese wird abgegrenzt zur Identifikation einer Person. Ein Unternehmen braucht meine Zustimmung, um mein Bild zu speichern, und eine Identitätskontrolle anhand biometrischer Merkmale für beispielsweise ein neues Bankkonto ist weiter geschützt. Aber ein KI-Modell zu trainieren, das Gesichter wiedererkennt, wäre wohl in Ordnung, solange alles schön pseudonym bleibt. Heute müssen Dir Supermärkte ein Payback-Konto mit Rabatten schmackhaft machen, um Dein Einkaufsverhalten zu tracken. In der schönen neuen Welt kann die Überwachungskamera an der Kasse dank der Gesichtserkennung Deinen Einkauf Deiner pseudonymen ID zuordnen… Ohne Payback-Punkte, im Zweifel sogar, ohne dass Du davon etwas mitbekommst.
Außerdem wird verwässert, wie die Speicherung und Verarbeitung von Daten auf den Endgeräten der Nutzer gewertet wird.
Andere Detailänderungen sollen dazu führen, dass wir de facto eher zu einer OptOut-Logik kommen als der eigentlich in der DSGVO vorgesehenen OptIn-Logik.
Einer der wenigen Punkte, die nicht ausschließlich negatives Feedback von NOYB bekommen, ist die Verpflichtung, dass automatisierte Consent Signale ermöglicht werden sollen. Also sowas wie die Global Privacy Control (GPC), die in den USA auch gerade verpflichtend wird (wir berichteten neulich darüber).
Aber auch hier wird man enttäuscht. Es fehlt die Definition der Standards. GPC beispielsweise wird nicht erwähnt. Der wäre aber auch für die DSGVO zu kurz gegriffen, da die DSGVO den Consent immer an einen Zweck bindet und daher granulare Angaben fordert. GCP sieht aber nur eine binäre Ja oder Nein Angabe vor.
Und noch ein FunFact zum Schluss: Da die ePrivacy-Verordnung weiterhin gilt, würden nicht-personenbezogene Daten nach diesem Entwurf in manchen Konstellationen stärker geschützt werden als personenbezogene Daten.
Ich fürchte, ich muss NOYB zustimmen. Das ganze klingt nach dem Abhaken der Wunschliste von Google, Meta und Co. und einem Rollback der Privatsphäre-Rechte, die durch die DSGVO entstanden sind.
Das ganze soll übrigens insbesondere von deutscher Seite angeschoben worden sein. Ich weiß Korrelation bedeutet keine Korruption Kausalität, aber Google scheint mit den wirtschaftlichen Rahmenbedingungen in Deutschland nur einen Tag später zufrieden genug zu sein, um anzukündigen, dass sie 5,5 Milliarden Euro für neue Datenzentren in Deutschland investieren.
Ich hoffe sehr, dass dieser geleakte Entwurf nicht das ist, was letztendlich vom EU-Parlament beschlossen wird. Ich mag meine Rechte an meinen Daten und will sie gerne behalten. Danke.