Nachdem Änderungen an der DS-GVO lange Zeit als undenkbar galten, kommt nun allmählich Bewegung in die Sache. Die Europäische Kommission plant eine Vereinfachung der Digitalgesetzgebung mittels eines sogenannten „Omnibus“-Gesetzespakets, mit dem die Vorschriften für künstliche Intelligenz, Cybersicherheit und des Daten(schutz)rechts modifiziert werden sollen. Welche Änderungen konkret die DS-GVO betreffen könnten, stellen wir im nachfolgenden Blog-Beitrag kurz dar.
Reichweite personenbezogener Daten
Eine wesentliche Änderung betrifft zunächst die Klarstellung der Begriffsbestimmung von personenbezogenen Daten. Der Kommissionsvorschlag übernimmt hier die aktuelle Rechtsprechung des Europäischen Gerichtshofs und stellt ausdrücklich klar, dass pseudonymisierte Datensätze unter bestimmten Umständen nicht mehr für alle Beteiligten als personenbezogen anzusehen sind. Entscheidend soll künftig allein sein, ob der jeweilige Empfänger über Mittel verfügt, um Personen wieder zu identifizieren. Können Empfänger eine Person hingegen nicht re-identifizieren, sollen die erhaltenen Daten für diese Empfänger außerhalb der datenschutzrechtlichen Regelungen nutzbar sein.
Die Kommission soll zudem per neuem Art. 41a DS-GVO ermächtigt werden, technische Standards festzulegen, welche eine Wiederherstellung des Personenbezugs möglichst ausschließen. Diese Änderungen sollen die Spielräume bei der Datennutzung – etwa für Forschung oder KI-Training – erweitern.
Neue Möglichkeiten für künstliche Intelligenz
Angesichts der rasanten Entwicklung von künstlicher Intelligenz plant die Kommission weiterhin Anpassungen, um Innovation zu erleichtern und Rechtsunsicherheiten auszuräumen. So soll ausdrücklich festgeschrieben werden, dass Verantwortliche personenbezogene Daten zum Training von KI-Modellen auf Basis des berechtigten Interesses verarbeiten dürfen. Hierbei soll es möglich sein, dass große Sprachmodelle auch ohne Einwilligung mit personenbezogenen Daten trainiert werden können – sofern keine anderweitigen Gesetze verletzt werden und alle weiteren datenschutzrechtlichen Anforderungen sowie geeignete Schutzmaßnahmen sichergestellt sind.
Erwähnenswert ist in diesem Kontext auch eine geplante Öffnungsklausel für besondere Kategorien personenbezogener Daten: Im Entwurf wird eine neue Ausnahme (Art. 9 Abs. 2 lit. k) DS-GVO) vorgeschlagen, die es erlauben soll, besondere Kategorien personenbezogener Daten ausnahmsweise im KI-Training zu verarbeiten, wenn deren Vorhandensein unbeabsichtigt ist und der Verantwortliche technisch-organisatorische Maßnahmen ergreift, um solche personenbezogenen Daten möglichst zu vermeiden und zu entfernen. Diese Ausnahme soll auf unvermeidbare, zufällige Einschlüsse derartiger Informationen begrenzt sein und damit den Umgang mit großen Trainingsdatensätzen rechtlich absichern.
Entlastungen bei Informations-, Auskunfts- und Meldepflichten
Auch bei konkreten Pflichten von Verantwortlichen sieht das Omnibus-Paket Erleichterungen vor. Transparenzpflichten gegenüber Betroffenen sollen unter bestimmten Bedingungen entschärft werden: Bereits wenn anzunehmen ist, dass eine Person die erforderlichen Informationen über die Datenverarbeitung bereits hat, soll der Verantwortliche diese Informationen nicht erneut bereitstellen müssen. Ferner soll die Geltendmachung von Betroffenenrechten dahingehend eingeschränkt werden, dass mit diesen ausschließlich datenschutzbezogene Zwecke verfolgt werden dürfen – andernfalls soll es den Verantwortlichen möglich sein, für die Bearbeitung Kosten zu erheben oder dem Antrag nicht nachzugehen.
Auch die Meldepflichten bei Datenschutzverletzungen sollen gezielt angepasst werden. Künftig müssten Datenschutzverletzungen voraussichtlich nur noch dann gegenüber der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden, wenn für die Betroffenen ein hohes Risiko besteht. Zudem hätten Verantwortliche für die Vornahme der Meldung etwas mehr Zeit: Geplant ist eine Verlängerung der Frist von 72 auf 96 Stunden. Zudem soll ein zentraler Meldemechanismus eingeführt werden: Über einen einzigen „Single-Entry-Point“ soll ein Verantwortlicher alle nötigen Meldungen gleichzeitig erfüllen können. Aktuell müssen Sicherheits- und Datenschutzvorfälle oft parallel an verschiedene Behörden nach DS-GVO, NIS-2-Richtlinie, DORA, … gemeldet werden – hier soll eine einheitliche Plattform Mehrfachmeldungen ablösen.
ÜberARBEITETE cOOKIE- UND eINWILLIGUNGSREGELN
Besonderes Augenmerk legt der digitale Omnibus auf die Verbesserung der Cookie-Regeln. Das Ziel: Die allgegenwärtigen Cookie-Banner sollen drastisch reduziert werden. Geplant sind nutzerfreundlichere Lösungen: Internetseiten müssen künftig eine einfache Möglichkeit bieten, alle nicht notwendigen Cookies mit einem Klick abzulehnen oder zu akzeptieren. Ein entsprechender Button wird zur Pflicht und getroffene Entscheidungen der Nutzenden sind dann mindestens sechs Monate lang zu respektieren. Außerdem sollen zentrale Datenschutzeinstellungen im Browser oder Betriebssystem greifen: Nutzende können dort generelle Präferenzen festlegen, die Internetseiten automatisiert auslesen und befolgen müssen.
Parallel dazu will die Kommission die Rechtsgrundlagen für Cookies neu ordnen. Geplant ist hierfür ein neuer Art. 88a DS-GVO. Inhaltlich soll neben Einwilligungen auch das berechtigte Interesse als Grundlage für bestimmte Cookies oder vergleichbare Technologien dienen. Die Kommission plant zudem eine Whitelist von unbedenklichen Verwendungszwecken, bei denen Verantwortliche keine Zustimmung einholen müssen, z. B. für rein statistische Reichweitenmessungen oder grundlegende Funktions-Cookies.
Ausblick
Die vorgeschlagenen DS-GVO-Änderungen sollen Teil eines ersten Schritts zur Vereinfachung sein. Sie müssen nun im ordentlichen Gesetzgebungsverfahren vom Europäischen Parlament und den EU-Mitgliedstaaten beraten und beschlossen werden. Für Verantwortliche heißt es jetzt, die weiteren Entwicklungen aufmerksam zu verfolgen. Klar ist jedenfalls: Nach Jahren der Stabilität der DS-GVO zeichnen sich erstmals konkrete Änderungen am europäischen Datenschutzrahmen ab. Mit wesentlichen Änderungen an den durch die Europäische Kommission eingebrachten Vorschlägen wird jedoch zu rechnen sein. Insofern heißt es nun: Warten bis der Bus kommt.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
