Digital Omnibus: Europas schleichender Abschied vom Datenschutz

Am 19. November 2025 präsentierte die Europäische Kommission das Digital-Omnibus-Paket. Offiziell soll es Compliance-Anforderungen vereinfachen und europäischen Unternehmen bessere Wettbewerbsbedingungen verschaffen. Die geleakten Entwürfe zeigen jedoch ein anderes Bild: eine grundlegende Umarbeitung der Datenschutzgrundverordnung (DSGVO), die seit 2018 als globaler Maßstab für Datenschutz gilt.

Nach dem umstrittenen EU-Verordnungsvorschlag Chat Control, dem Beschluss Baden-Württembergs, Palantir-Software bei der Polizei einzusetzen, und dem künftigen Einsatz von Microsoft in bayerischen Behörden riskiert nun ein weiterer Legislationsversuch, die propagierten Rechte und die Datensouveränität von EU- und BRD-Bürgern zu untergraben.

Das Paket greift in zentrale Aspekte des europäischen Datenschutzrechts ein: die DSGVO, die ePrivacy-Richtlinie und den AI Act. Die Datenschutzorganisation Noyb spricht von systematischen Änderungen, die den Schutz europäischer Bürger deutlich schwächen würden.

Die Agenda folgt mehreren politischen Entwicklungen. Der ehemalige italienische Premierminister Mario Draghi warnte 2024 in einem Bericht, Europas komplexes Regelwerk bremse Innovation und lasse die Region gegenüber den USA und China zurückfallen. Europas Tech-Beauftragte Henna Virkkunen traf sich Berichten zufolge 2025 hinter verschlossenen Türen mit Vertretern führender US-Tech-Konzerne, um eine wirtschaftsfreundlichere EU zu signalisieren.

Die Vorbereitungszeit war ungewöhnlich kurz. Während die ursprüngliche DSGVO Jahre der parlamentarischen Diskussion durchlief, hatten interne Arbeitsgruppen der Kommission nach Noyb-Recherchen nur fünf Arbeitstage, um ein über 180-seitiges Reformpaket zu kommentieren. Ein geleaktes Papier zeigt zudem, dass die Bundesregierung die Kommission intensiv zu Ausnahmen für nicht-kommerzielle Akteure und Datenverarbeitungen mit geringem Risiko drängte.

Die zentrale Änderung betrifft die Definition personenbezogener Daten in Artikel 4. Bisher gilt der objektive Ansatz: Eine Information ist personenbezogen, wenn irgendeine Stelle sie einer Person zuordnen kann. Das umfasst Pseudonyme, Tracking-IDs oder statische IP-Adressen. Für die DSGVO spielt es keine Rolle, ob genau das Unternehmen, das die Daten erhält, diese selbst auflösen kann.

Das Omnibus-Paket will diese Logik umkehren. Künftig soll maßgeblich sein, ob ein bestimmtes Unternehmen „vernünftigerweise“ über Mittel zur Identifikation verfügt. Damit würde aus einem objektiven ein unternehmensbezogener Ansatz.

Die Auswirkungen zeigen sich an bekannten Beispielen:
Die Dating-Plattform Grindr teilt für Werbezwecke pseudonyme User-IDs mit Tausenden Partnern. Grindr kann diese IDs zu realen Personen zurückführen, die Partner nicht. Unter der neuen Definition könnten sie geltend machen, dass die Daten für sie nicht personenbezogen seien. Ähnliches gilt für Werbefirmen, die Nutzer über zufällige IDs tracken und argumentieren könnten, sie hätten keine Namenslisten und damit keine identifizierbaren Daten. Auch Apps, die Zahlungen über Stripe, Google Pay oder Apple Pay abwickeln, bekämen faktisch Freiraum. Sie erhalten meist nur UUIDs und könnten behaupten, der Nutzer sei für sie lediglich eine Nummer.

Juristisch widerspricht das dem Grundmodell der DSGVO. Artikel 8 der Grundrechtecharta und die zugrunde liegende Richtlinie 95/46 gehen ausdrücklich davon aus, dass jede Stelle berücksichtigt wird, die eine Identifikation durchführen kann. Auch die EuGH-Rechtsprechung ist eindeutig: Pseudonyme sind personenbezogen (C-413/23P EDPS v SRB) und selbst IP-Adressen fallen darunter (C-582/14 Breyer). Die bloße Möglichkeit der Zuordnung genügt.

Die geplante Neudefinition erschwert die Arbeit der Aufsichtsbehörden erheblich. Sie müssten im Einzelfall bewerten, welche technischen und organisatorischen Mittel ein Unternehmen wahrscheinlich einsetzen würde. Gleichzeitig entsteht eine systematische Fluchtroute: Firmen könnten Daten bewusst fragmentieren – Zahlungsdaten hier, Trackingdaten dort – und behaupten, die einzelnen Systeme würden realistisch nicht zusammengeführt. Betroffene hätten zudem keinen Anspruch auf Auskunft, wenn ein Unternehmen erklärt, die Informationen seien für es nicht personenbezogen.

Da das Auskunftsrecht (Artikel 15 DSGVO) dann auch nicht greift, wenn eine Information "nicht personenbezogen" ist, können betroffene Personen nicht einmal erfahren, dass ihre Daten verarbeitet werden.

Artikel 9 der DSGVO verbietet aktuell die Verarbeitung von Informationen, aus denen ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben hervorgehen. Das aktuelle Verständnis, gestützt durch EuGH-Urteile, schützt auch Daten, aus denen sensible Informationen abgeleitet oder deduziert werden können. Dieser Schutz ist entscheidend, weil moderne Profiling-Systeme selten auf explizite Angaben angewiesen sind.

Ein bekanntes Beispiel: Eine Frau verlor ihr Kind während der Schwangerschaft. Die Werbeindustrie zeigte ihr weiterhin gezielt Babypflegeprodukte, nicht weil die Frau diese Daten veröffentlicht hatte, sondern weil ein KI-System basierend auf Einkaufsmustern deduzierte, sie sei wahrscheinlich schwanger gewesen. Die Deduzierung war eine konstante Retraumatisierung. Unter der DSGVO wird diese Frau durch Artikel 9 geschützt, weil die Daten ihre Schwangerschaft enthüllen, auch wenn indirekt.

Das Omnibus-Paket würde Artikel 9 so ändern, dass nur noch Daten geschützt sind, die sensible Information "direkt enthüllen". Ein Profil, auf dem eine Person "Ich bin schwanger" schreibt, wäre geschützt. Ein Einkaufsmuster, aus dem ein System deduziert, dass eine Person schwanger ist, nicht. Ein Profil mit der Angabe "Ich bin homosexuell" wäre geschützt. Ein Profil auf einer Gay-Dating-App oder damit zusammenhängendes digitales Verhalten nicht, weil die Sexualorientierung "nicht direkt" aus dem Profil-Titel hervorgeht.

Menschen, die sensible Informationen verstecken, benötigen mehr Schutz, nicht weniger. Eine Person, die ihre Sexualorientierung privat hält, wird durch moderne KI-basierte Deduktion de facto Opfer von Profiling. Die geplante Änderung dreht diese Logik um.

Die österreichische Post nutzte Geolocation und weitere Daten, um zu deduzieren, für welche Partei eine Person wahrscheinlich wählt. Sie verkaufte diese deduzierten Listen an Wahlkampfteams. Dies führte zu einer 16-Millionen-Euro-Geldbuße. Unter den neuen Regeln wäre das Ziel, die Wahlabsicht, nicht "direkt" offenbart und damit keine Strafe möglich.

Versicherer könnten künftig argumentieren, dass KI-deduzierte Krankheitswahrscheinlichkeiten nicht unter Artikel 9 fallen. Sie könnten dann Prämien entsprechend ohne Artikel-9-Schutz anpassen. Die gesamte moderne Online-Werbeindustrie funktioniert durch Deduktion. Google und Meta deduzieren nicht explizit angegebene politische Neigungen, sexuelle Vorlieben oder Gesundheitszustände und verkaufen Zielgruppen-Zugang an Werbetreibende. Unter den neuen Regeln: nicht direkt offenbart gleich kein Schutz.

Dies verletzt mehrfach die Richtlinie 95/46 und damit das Grundrecht selbst. Es widerspricht mehreren Konventionen des Europarats (Council of Europe Convention 108), die von 55 Staaten ratifiziert wurden. Ein Dutzend EuGH-Urteile würde implizit für ungültig erklärt (C-184/20, C-252/21, C-446/21, u.a.).

Das Omnibus-Paket würde Betroffenenrechte, insbesondere das Auskunftsrecht (Artikel 15 DSGVO), das Berichtigungsrecht (Artikel 16) und das Löschungsrecht (Artikel 17), auf die Wahrnehmung zu "Datenschutzzwecken" beschränken.

Ein Arbeitgeber führt Zeiterfassungssysteme, speichert aber auch Ortungsdaten. Kurz vor einer Gehaltsverhandlung werden dem Arbeitnehmer die dokumentierten Stunden nicht mehr ausgezahlt. Der Arbeitgeber behauptet, der Mitarbeiter habe weniger als die vereinbarten Stunden gearbeitet. Der Mitarbeiter möchte seine Zeitstempel vom Arbeitgeber abrufen, um der Unterentlohnung nachzugehen. Unter den neuen Regeln könnte der Arbeitgeber ablehnen: Das Auskunftsrecht diene hier nicht einer "Datenschutzprüfung", sondern einem wirtschaftlichen Anliegen (Lohnstreit).

Ein Journalist möchte von einer Behörde erfahren, wer über ihn berichtet wurde, um eine Überwachungsgeschichte zu recherchieren. Nicht zu Datenschutzzwecken, sondern zu journalistischen Zielen – Ablehnung möglich. Jemand fordert Scoring-Daten an, um sie zu berichtigen, nachdem er für einen Kredit eine hohe Quote erhielt. Der Finanzdienstleister sagt, das sei kein Datenschutz, das sei ein kommerzielles Anliegen – Ablehnung möglich.

Der berühmte Urteilsgrundsatz, dass Menschen unrichtige Suchmaschinenergebnisse löschen lassen dürfen, könnte wegfallen, weil das Löschen nicht einem "Datenschutzinteresse", sondern einem wirtschaftlichen oder reputationsbezogenen Interesse dient.

Dies widerspricht direkt dem EuGH-Case-Law. Der Gerichtshof hat mehrfach festgestellt, dass Betroffenenrechte für jeden Zweck ausgeübt werden können, einschließlich Rechtsstreitigkeiten. Artikel 8(2) der Charta sieht vor, dass Menschen Zugang zu ihren eigenen Informationen haben – unabhängig vom Zweck. Dies ist das Kernprinzip der informationellen Selbstbestimmung.

Besonders weitreichend ist die geplante Ausnahme für KI-Systeme. Das Paket sieht vor, dass das Training und sogar der laufende Betrieb solcher Systeme als „berechtigtes Interesse“ gelten können. Das würde erstmals erlauben, personenbezogene und sogar sensible Daten für KI zu nutzen, ohne vorher eine Einwilligung einzuholen.

In der Praxis könnten Unternehmen Daten aus ihren Diensten direkt in Modelle einspeisen, sofern sie angeben, „angemessene Maßnahmen“ zur Minimierung sensibler Informationen zu treffen. Ein Opt-out wäre rechtlich vorgesehen, aber faktisch schwer umsetzbar. Während Opt-in die aktive Zustimmung des Nutzers verlangt, gilt bei Opt-out die Nutzung so lange als erlaubt, bis der Nutzer sie widerruft. Genau das ist hier problematisch: Viele Nutzer wissen nicht, welche Firmen ihre Daten überhaupt verwenden, und Konzerne verfügen nicht immer über eindeutige Kontakt- oder Identifikationsdaten ihrer Nutzer. Hinzu kommt, dass ein Widerruf nichts an bereits trainierten Modellen ändern würde.

Damit würde KI-Datenverarbeitung deutlich schwächer reguliert als klassische Systeme wie Datenbanken oder Tracking-Dienste, die weiterhin klare Rechtsgrundlagen benötigen. Die Ausnahme stünde im Konflikt mit dem Verhältnismäßigkeitsprinzip, das für Grundrechtseingriffe verlangt, dass die geringstmögliche Belastung gewählt wird.

Die ePrivacy-Regelung schützt bislang vor Zugriffen auf Endgeräte, weshalb Cookie-Banner nötig sind. Das Omnibus-Paket würde diesen Grundsatz erheblich lockern. Statt des bisherigen Einwilligungserfordernisses gäbe es eine breite Liste von Ausnahmen, darunter statistische Auswertungen und Sicherheitsgründe. Viele weitere Zugriffe könnten sich zudem auf das „berechtigte Interesse“ stützen.

In Kombination mit der KI-Ausnahme entsteht ein komplexes Szenario: Anbieter könnten argumentieren, dass App-Daten oder Geräteinformationen ohne ausdrückliche Zustimmung für den Betrieb oder das Training ihrer KI-Systeme genutzt werden dürfen. Gerade auf mobilen Geräten, die stark personalisiert sind, wäre das ein deutlicher Eingriff.

Zusätzlich würde die geplante Integration der Cookie-Regeln in die DSGVO das bislang klare Opt-in-Prinzip verwässern. In vielen Fällen könnten Cookies und ähnliche Technologien gesetzt werden, ohne dass Nutzer gefragt werden. Das würde das bisherige Schutzniveau spürbar verschieben.

Aktuell müssen Unternehmen Datenpannen melden, sobald ein Risiko für Betroffene besteht. Die Reform würde diese Schwelle auf „hohes Risiko“ anheben. Das bedeutet: Viele Vorfälle würden gar nicht mehr gemeldet, obwohl sie relevant sein könnten. Behörden würden Trends später erkennen oder ganz übersehen. Die Möglichkeit, frühzeitig zu reagieren, würde eingeschränkt.

„Die heutigen Vorschläge sind ein erster Schritt der Kommission zur Vereinfachung und Wirksamkeit des digitalen Regelwerks der EU“ heißt es in der Pressemitteilung der Europäischen Kommission. Dabei lesen sich die Details mehr als Konzernzugeständnisse: Big Tech erhält freien Zugang zu europäischen Daten für KI-Training ohne Zustimmungsverpflichtung. Die Unternehmensrisiken durch Enforcement sinken durch schwächere Definitionen. US-Geheimdienste haben weniger Hürden beim Zugriff auf europäische Bürgerdaten. Schwächere Privacy-Standards machen Massenüberwachung einfacher. Große europäische Konzerne erhalten neue Geschäftsmodelle basierend auf weniger reguliertem Datenzugriff und die Fähigkeit, Daten für KI zu nutzen, ohne nach der Nutzerzustimmung zu fragen.

Für Bürger bedeutet das weniger Kontrolle über Profiling, deduzierte sensible Informationen und automatisierte Entscheidungen, die etwa Kreditvergabe, Jobchancen oder Versicherungsprämien beeinflussen können. Auch journalistische Arbeit oder zivilgesellschaftliche Kontrolle würde erschwert, da Auskunftsrechte eingeschränkt würden.

Die DSGVO würde durch viele Detailregelungen eher komplexer als einfacher. Größere Unternehmen könnten sich Compliance weiterhin leisten, kleine Firmen hätten dagegen Nachteile, weil sie mit den neuen Anforderungen stärker zu kämpfen hätten.

Das Paket geht nach seiner Ankündigung am 19. November zu den EU-Ratsmitgliedstaaten und dem Europäischen Parlament. Die Mitgliedstaaten müssen sich auf eine gemeinsame Position einigen. Dies kann Monate dauern. Länder wie Deutschland, die auf Deregulierung drängen, und andere, die den Schutz bewahren wollen, werden kollidieren. Das Europäische Parlament kann das Paket blockieren, ändern oder annehmen. Hier ist der Widerstand am größten. Wenn beide Seiten unterschiedliche Positionen haben, müssen sich Kommission, Rat und Parlament in "Trilog"-Verhandlungen auf einen Text einigen.

Die Datenschutzorganisation Noyb, European Digital Rights (EDRi), der Irish Council for Civil Liberties (ICCL) und viele andere Organisationen haben offene Briefe geschrieben und fordern die Entfernung der meisten DSGVO-Änderungen aus dem Omnibus, einen Neubeginn mit ordnungsgemäßem Verfahren, Impact Assessments und öffentlicher Konsultation. Progressive und zentristische Parteien im EU-Parlament haben bereits Bedenken geäußert. Mehrere nationale Datenschutzbehörden haben informell Kritik geäußert.

Die DSGVO war ein globales Vorbild. Brasilien übernahm DSGVO-ähnliche Standards (Lei Geral de Proteção de Dados). Indien arbeitet an verstärktem Datenschutz teilweise inspiriert von der DSGVO, Kalifornien verabschiedete den CCPA mit DSGVO-Vorbild und selbst in der Schweiz, Australien und Kanada wurden europäische Standards Inspiration für datenschutzrechtliche Legislation.

Wenn die EU ihre eigenen Maßstäbe aufweicht, signalisiert das Kapitulation vor Big Tech, dass Datenschutz optional ist, wenn es um Innovation geht, und dass sich US-amerikanische regulatorische Standards durchsetzen.

Bild: Freepik.com