Digitaler Omnibus fährt in die falsche Richtung

Am 19.11.2025 hat die EU-Kommission ihr Reformpaket für diverse Digitalrechtsakte, den sogenannten digitalen Omnibus vorgelegt. Entwürfe waren schon vorher geleakt worden und zu Recht gab es einen breiten Aufschrei in der Zivilgesellschaft wie auch im Europaparlament.

Was die EU-Kommission plant, ist nicht weniger als die Abschaffung digitaler Grundrechte und die Kapitulation vor den großen Tech-Konzernen. Das erreicht sie durch einen Angriff auf die Datenschutzgrundverordnung und die KI-Verordnung, beides wichtige Gesetzgebungen, die das Grundrecht auf Privatsphäre stärken und die schlimmsten Auswirkungen des KI-Hypes abfedern sollen.

Freifahrtschein für die Werbeindustrie

Personenbezogene Daten, die durch die DSGVO besonders geschützt sind, sollen aus ihrem Anwendungsbereich teilweise herausfallen, wenn sie pseudonymisiert sind. Die Kriterien will die Kommission dann später ohne Mitwirkung des EU-Parlaments und vermutlich unter Ausschluss der kritischen Öffentlichkeit festlegen. Das ist ein Freifahrtschein für die Online-Werbeindustrie, die ohnehin nicht mit Klarnamen, sondern mit festen WerbeIDen arbeitet. Ihrem ohnehin schon mächtigen Lobbyismus wird so der rote Teppich ausgerollt.

Enthüllungen wie die Data Broker Files zeigen, dass bereits jetzt massenhaft Daten über jeden von uns gesammelt werden. Darunter sensible Daten wie Standortdaten, die verraten wo man wohnt, arbeitet und seine Freizeit verbringt. Statt dieser Datensammelei einen Riegel vorzuschieben, tut die EU genau das Gegenteil: Sie will diese Praktiken legalisieren.

Einfach Mal KI-Risiken ignorieren

Persönliche Daten sollen für das KI-Training weitgehend freigegeben werden, selbst wenn es sensible Daten betrifft, und das ohne die Einwilligung der betroffenen Person. Dabei können Daten, die einmal im KI-Training verwendet werden, auch nicht mehr aus dieser entfernt werden. Das bedeutet einen massiven Eingriff in die Privatsphäre: ChatGPT könnte zukünftig persönliche Geheimnisse verraten, Krankenkassen ihre KI heimlich mit Gesundheitsdaten trainieren, und auch die nun legalisierten Standortdaten dürften direkt in die KI gefüttert werden.

Zusätzlich soll die KI-Verordnung verschleppt werden: Anstatt, dass sie im August 2026 in Kraft tritt, soll sie erst ab Dezember 2027 gelten. Bis dahin könnten auch Hochrisiko-KI-Systeme unreguliert zum Einsatz kommen. Dazu soll das zentrale Melderegister entfallen und durch eine interne Dokumentation ersetzt werden, die keinerlei Auswirkungen hat, vor allem keine öffentliche Kontrolle ermöglicht.
Hochrisiko-KI-Systeme sind z.B. KI-Systeme, die biometrische Daten verarbeiten, die in der Bildung, in der Strafverfolgung oder bei Grenzkontrollen zum Einsatz kommen. Alles Bereiche, bei denen es sehr wahrscheinlich ist, dass KI-Systeme massiv rassistisch und sexistisch diskriminieren und bei denen Menschen durch falsche KI-Ausgaben direkten Schaden erfahren.

Transparenz abschaffen

Unternehmen und Behörden sollen die Auskunft darüber, welche konkreten Daten einer Person sie verarbeiten, künftig verweigern können. Dafür reicht es, wenn sie „vernünftige Gründe“, die sie von einer „missbräuchlichen“ Anfrage ausgehen lassen, das heißt von einer Anfrage, die nicht aus Gründen des Datenschutzes gestellt wird. Damit ist das Auskunftsrecht ausgehöhlt, denn Unternehmen und Behörden können Auskünfte einfach verweigern, und Betroffene müssten in vielen Fällen lange und kostspieligen Gerichtsverfahren in Kauf nehmen, mit unsicherem Ausgang.

Insbesondere in Abhängigkeitsverhältnissen, wie Arbeitsverhältnissen oder Mietverhältnissen, brauchen die Betroffenen aber das Recht auf vollständige Transparenz, damit sie überhaupt die Chance haben, sich gegen rechtswidrige Praktiken zur Wehr zu setzen: gegen den rechtswidrigen Einsatz von KI, gegen unzulässige Überwachung am Arbeitsplatz, gegen rechtswidrige Datensammlung in einer Mietwohnung. Dafür braucht es eine klare Transparenz!

Die Bundesregierung und die Unternehmen

Ein Vorschlag, der es glücklicherweise nicht in den Omnibus geschafft hat, aber von der Bundesregierung propagiert wird: Nicht kommerzielle Akteure und KMU (Kleine und mittlere Unternehmen) sollen von der Datenschutzgrundverordnung komplett ausgenommen werden. Das würde bedeuten, dass sich rund die Hälfte aller Unternehmen bei der Verarbeitung von personenbezogenen Daten an keinerlei Regeln mehr gebunden wäre, unabhängig davon, wie sensibel und umfangreich die Daten sind. Doch wenn wir über Privatsphäre reden, dann muss die von allen in der Gesellschaft respektiert und geachtet werden.

Die Sache mit den Cookies

Am meisten in die Schlagzeilen hat es das Narrativ geschafft, die uns alle lästigen Cookie-Banner würden nun abgeschafft, und was ist dran?

In Zukunft sollen Webseiten verpflichtet sein, Einwilligungen oder Ablehnungen, die z.B. im Browser gespeichert sind, zu respektieren. Das ist längst überfällig, aber leider nur halbherzig umgesetzt: Medienkonzerne sind von dieser Regelung ganz ausgenommen. Sie werden also weiterhin fröhlich mit ihren „Tracking oder Bezahlen“-Bannern nerven. Wer sich dann alles als Medienunternehmen bezeichnet, bleibt abzuwarten.

Außerdem will die Kommission weitreichende Datenverarbeitungen vom Erfordernis der Einwilligung befreien, z.B. Daten für KI-Training. In diesen Fällen hilft es dann auch nichts, wenn im Browser gespeichert ist, dass keine Einwilligung erteilt ist.

Die übrigen Webseiten müssen sich erst 2 Jahre, nachdem die Regelungen in Kraft getreten sind, tatsächlich daran halten. Die Pflicht für große Browseranbieter, entsprechende Einstellungsmöglichkeiten zu implementieren, soll sogar erst nach 4 Jahren greifen.

Fazit: Möglicherweise werden wir weniger Einwilligungsbanner sehen, an dem Grundproblem exzessiver Datensammlungen bei jeder unserer online-Aktivitäten und der kommerziellen Verbreitung dieser Daten wird dies aber nichts ändern.

Und jetzt?

Der Vorschlag der EU-Kommission wird jetzt im EU-Parlament beraten. Dort werden sich die Linken mit aller Kraft dafür einsetzen, das Schlimmste zu verhindern. Und auch wir werden weiterhin Druck auf die Bundesregierung machen.

Was wir brauchen, ist:

• Eine klare Regulierung, die Privatsphäre effektiv schützt, übermäßiges Datensammeln verbietet, Risiken durch KI eindämmt und Unternehmen zu echter Transparenz verpflichtet.
• Starke und gut ausgestattete Aufsichtsbehörden, die diese Regeln auch gegen große Tech-Konzerne durchsetzen.
• Den Aufbau einer resilienten, alternativen digitalen Infrastruktur, die nicht auf Suchtmechanismen, Manipulation und Datenausbeutung basiert.