Alicia97 – shutterstock.com
Laut einem durchgesickerten Entwurf, über den die deutsche Interessenvertretung Netzpolitik.org berichtet, würde das bevorstehende „Digital Omnibus”-Paket der EU-Kommission die Datenschutz-Grundverordnung (DSGVO) massiv verändern. Der Vorschlag soll am 19. November 2025 offiziell vorgestellt werden. Datenschützer befürchten jedoch, dass dies die DSGVO schwächen könnte.
So bemängelt der Datenschutzrechtler Max Schrems, dass viele Elemente der vorgeschlagenen Reform gegen die Rechtsprechung des Europäischen Gerichtshofs (EuGH), europäische Konventionen und die Europäische Charta der Grundrechte verstoßen würden. „Das wäre der extremste Angriff auf die Privatsphäre der Europäer seit in Krafttreten der DSGVO.“
Cookies unterliegen der DSGVO
Der Entwurf würde Artikel 88a in die DSGVO aufnehmen, um die „Verarbeitung personenbezogener Daten auf und von Endgeräten” abzudecken. Dadurch würde die Cookie-Regulierung von der ePrivacy-Richtlinie in die DSGVO verlagert werden.
Derzeit verlangt Artikel 5 Absatz 3 der ePrivacy-Richtlinie, dass Websites die ausdrückliche Zustimmung einholen müssen, bevor sie nicht essenzielle Cookies auf den Geräten der Nutzer speichern oder darauf zugreifen dürfen.
Die Kommission argumentierte, dass dies aufgrund sich überschneidender Zuständigkeiten der nationalen Behörden zu Rechtsunsicherheit und „höheren Compliance-Kosten“ geführt habe.
Nach der vorgeschlagenen Änderung könnten Webseiten Daten, die über Cookies gesammelt wurden, auf der Grundlage einer „geschlossenen Liste von Zwecken mit geringem Risiko“ oder auf jeder anderen Rechtsgrundlage gemäß der DSGVO, einschließlich berechtigter Interessen, verarbeiten. Dies würde eine wesentliche Veränderung vom Opt-in- zum Opt-out-Tracking bedeuten.
Anstatt die Nutzer im Voraus um ihre Zustimmung zu bitten, könnten Unternehmen sie standardmäßig tracken und es den Einzelnen überlassen, später Widerspruch einzulegen.
„Zwar ist die Einwilligung erforderlich, um die Kontrolle der betroffenen Personen zu gewährleisten, doch ist sie nicht immer die am besten geeignete Rechtsgrundlage für die anschließende Verarbeitung“, heißt es in dem Entwurf. „Darüber hinaus führte das duale System aus ePrivacy-Richtlinie und Datenschutz-Grundverordnung dazu, dass verschiedene nationale Behörden für die Überwachung der Vorschriften der beiden Rechtsrahmen zuständig waren.“
Datenschutzgruppen werfen der Kommission vor, sie nutze die „Cookie-Müdigkeit“ als Vorwand, um die Datenschutzstandards zu verwässern.
„Die DSGVO, der ePrivacy-Rahmen und das KI-Gesetz sind keine Hindernisse für Innovation – sie sind die Grundlage des menschenzentrierten digitalen Modells Europas“, schrieb die Bürgerrechtsvereinigung European Digital Rights (EDRi) in einem Blogbeitrag im Oktober 2025. „Unter dem Vorwand der Kohärenz scheint die Kommission jedoch bereit zu sein, den ePrivacy-Schutz zu schwächen. “
Der Entwurf enthält auch einen Artikel 88b, der vorsieht, dass Browser oder Betriebssysteme die Einwilligungspräferenzen der Nutzer automatisch übermitteln müssen, sobald technische Standards definiert sind, wodurch die derzeitige Flut von Cookie-Bannern möglicherweise auslaufen würde.
Für Medienunternehmen gibt es jedoch eine Ausnahmeregelung. Nachrichtenorganisationen könnten weiterhin eine ausdrückliche Einwilligung verlangen, was die Kommission mit dem Schutz der „wirtschaftlichen Grundlage“ des Journalismus begründete.
Grünes Licht für KI-Training
Darüber hinaus befasst sich der Änderungsvorschlag direkt mit einer der umstrittensten Fragen des EU-Datenschutzrechts: ob Unternehmen KI-Systeme mit personenbezogenen Daten trainieren dürfen.
Der Entwurf sieht vor, dass das Training, Testen und Validieren von KI auf der Grundlage des „berechtigten Interesses“ der DSGVO durchgeführt werden darf, sofern Unternehmen Schutzmaßnahmen wie Datenminimierung, Transparenz und ein bedingungsloses Widerspruchsrecht implementieren.
„Die Verarbeitung personenbezogener Daten für das KI-Training kann daher zum Zwecke eines berechtigten Interesses durchgeführt werden”, heißt es im Entwurf, wobei hinzugefügt wird, dass Entwickler sicherstellen müssen, dass das Training „für die betroffene Person und die Gesellschaft insgesamt von Vorteil ist”.
Die Kommission führte die Notwendigkeit, Verzerrungen zu erkennen und genaue Modellergebnisse zu gewährleisten, als Beispiele für „vorteilhafte” Zwecke an.
Datenschutzanwälte warnten jedoch, dass die Berufung auf ein berechtigtes Interesse für die KI-Verarbeitung die Tür für groß angelegtes Data Mining ohne individuelle Zustimmung öffnen könnte, was die DSGVO ursprünglich verhindern sollte.
Der Entwurf würde auch eine begrenzte Ausnahme für Daten besonderer Kategorien (sensible Daten) einführen, die versehentlich in KI-Datensätzen auftauchen. Wenn es einen „unverhältnismäßigen Aufwand“ erfordern würde, solche Daten zu entfernen, könnten Unternehmen sie unter Schutzmaßnahmen, die ihre Verwendung oder Offenlegung verhindern, aufbewahren.
Schutz sensibler Daten eingeschränkt
Eine weitere umstrittene Änderung des Vorschlags wäre die Einschränkung der Definition sensibler Daten gemäß Artikel 9 der DSGVO. Ein stärkerer Schutz würde nur dann gelten, wenn Informationen direkt Merkmale wie Herkuft, Religion oder Gesundheit offenlegen, wobei Daten, die diese Merkmale nur durch Analyse oder Schlussfolgerungen implizieren, ausgeschlossen wären.
„Für die meisten Arten von personenbezogenen Daten, die in Artikel 9 Absatz 1 aufgeführt sind, bestehen keine derartigen erheblichen Risiken, wenn die Daten nicht von Natur aus sensibel sind“, heißt es in dem Entwurf.
Kritiker warnen, dass dies Unternehmen ermöglichen könnte, aus scheinbar neutralen Daten geschützte Merkmale wie sexuelle Orientierung oder politische Meinungen abzuleiten, ohne dass höhere rechtliche Schutzmaßnahmen ausgelöst werden.
Das European Law Institute räumte in seiner Stellungnahme vom 14. Oktober 2025 ein, dass begrenzte Aktualisierungen der DSGVO notwendig sein könnten, warnte jedoch, dass „Verbesserungen nicht auf Kosten des Schutzes der Grundrechte gehen dürfen“.
Die vorgeschlagenen Änderungen könnten die Datenverwaltung von Unternehmen in ganz Europa erheblich verändern. Unternehmen würden für die meisten Tracking-Cookies keine Einwilligungsmanagementsysteme mehr benötigen, müssten jedoch detaillierte Unterlagen führen, um die Verarbeitung unter „berechtigtem Interesse“ zu rechtfertigen.
Das European Digital Rights Network kritisierte die Konsultation als „ausgeschlossen durch Design“ mit „außerordentlich kurzen“ Fristen und Realitätschecks, die sich „fast ausschließlich auf die Stimmen der Industrie“ konzentrierten.