Omnibus Gesetzesentwurf zu Data-Act und DSGVO
Vereinfachung oder schleichende Aushöhlung des Datenschutzes?
Die EU-Kommission verspricht mit ihrem „Digital Omnibus“ ein einfacheres, effizienteres Regelwerk für Europas digitale Gesetze. Tatsächlich sollen zahlreiche Verordnungen, darunter der Data Act, die DSGVO, die ePrivacy-Richtlinie und Teile des Data Governance Acts, zusammengeführt und vereinfacht werden. Doch was nach Entbürokratisierung klingt, bedeutet in der Praxis vor allem eines: weniger Schutz und weniger Kontrolle für Betroffene.
Abschwächung der DSGVO-Pflichten
Mehrere Änderungen im Entwurf würden Unternehmen deutlich entlasten. Zu Lasten der Transparenz. Informationspflichten gegenüber Betroffenen sollen entfallen, wenn „vernünftigerweise“ angenommen werden kann, dass diese ohnehin informiert sind. Auch die Schwelle für die Meldung von Datenschutzverletzungen wird erhöht: Nur noch bei „hohem Risiko“ für die Rechte Betroffener wäre eine Meldung nötig. Die Frist verlängert sich von 72 auf 96 Stunden. Für Betroffene bedeutet das: Datenpannen könnten seltener und später publik werden.
Weichere Regeln für besonders schützenswerte Daten
Der Schutz sogenannter „besonderer Kategorien personenbezogener Daten“ (etwa Gesundheits- oder biometrischer Daten) wird relativiert. Künftig wäre beispielsweise die Verarbeitung biometrischer Daten erlaubt, wenn sie „zur Identitätsbestätigung notwendig“ und „unter Kontrolle der betroffenen Person“ erfolgt. Zudem soll die Nutzung sensibler Daten für KI-Training erlaubt werden, sofern technische Schutzmaßnahmen versprochen werden. Das öffnet die Tür für neue Graubereiche und Missbrauchsrisiken.
Das Ende der Cookie-Banner naht. Aber zu welchem Preis?
Die geplante Zusammenlegung der ePrivacy-Richtlinie mit der DSGVO soll den oft kritisierten „Cookie-Banner-Wahnsinn“ beenden. Künftig sollen Browser-Einstellungen die Zustimmung der Betroffenen maschinenlesbar an Websites übermitteln. Doch Medienanbieter (z.B. große Verlagshäuser) wären von dieser Pflicht ausgenommen. Das schafft ein Zwei-Klassen-System: Datenschutz nach Marktgröße.
Zentrale Meldestelle für Sicherheitsvorfälle
Der neue „Single Entry Point“ für Sicherheits- und Datenschutzvorfälle bei ENISA soll Bürokratie abbauen. Doch die Zentralisierung birgt Risiken: Weniger nationale Aufsicht bedeutet weniger Nähe zu den Betroffenen – und möglicherweise eine Schwächung des föderalen Datenschutzmodells der EU.
Meine Fazit zum aktuellen Gesetzesentwurf
Der Digital Omnibus verfolgt ein legitimes Ziel: Vereinfachung. Doch der Preis könnte sehr hoch werden und schleichende Entkernung der DSGVO sowie eine stärkere Verlagerung des Datenschutzes zugunsten wirtschaftlicher Interessen bedeuten. Für Unternehmen brächte dies unter Umständen mehr Klarheit und Entlastung. Für Bürger:innen jedoch weniger Kontrolle, spätere Information und ein Datenschutz, der zwar weniger aufdringlich, aber damit nicht besser wird
