Als „Vereinfachung“ präsentiert, schreibt das 156-seitige Digital-Omnibus-Projekt die Grundlagen der DSGVO mit erheblichen Auswirkungen auf Data Governance und KI neu. Die entscheidendste Änderung betrifft Artikel 9 zu sensiblen Daten: Indem der Schutz auf Daten beschränkt wird, die eine Pathologie „direkt offenbaren“, stuft der Text alle indirekten Indikatoren (Mobilität, Herzfrequenz, Schlafmuster, Verhaltensstress) in das weniger schützende allgemeine Regime herab.
Diese Neueinstufung ist strategisch, da genau diese schwachen Signale prädiktives Gesundheitsprofiling und das Training von KI-Modellen ohne Einwilligung speisen. Das Dokument erweitert zudem das berechtigte Interesse (Artikel 6) auf Optimierung, Anomalieerkennung und die Verbesserung von KI-Modellen, wodurch die Einwilligung für viele Verwendungszwecke weniger zentral wird.
Grundlegende individuelle Rechte (Auskunft, Berichtigung, Löschung) würden durch ein Kriterium der „offensichtlichen Unverhältnismäßigkeit“ ohne klare Definition eingeschränkt, was Unternehmen mehr Spielraum gibt, Anfragen von Bürgern abzulehnen. In Bezug auf die Governance würde ENISA (die Cybersicherheitsagentur) Befugnisse übernehmen, die zuvor von nationalen Datenschutzbehörden ausgeübt wurden, wodurch die rechtliche Auslegung auf eine technische Institution zentralisiert und die lokale Nuancierung reduziert wird.
Dieses Projekt reagiert kontextuell auf amerikanische Kritik und den Druck von Tech-Giganten. Es symbolisiert eine stille Abkehr von der europäischen Eigenständigkeit, die die Grundrechte in den Mittelpunkt der digitalen Regulierung stellte, zugunsten einer wettbewerbsorientierten Angleichung. Die Gewinner sind klar identifiziert: große Tech-Plattformen, Akteure der generativen KI und Industriestaaten, die regulatorische Zwänge lockern wollen.
Die Verlierer sind zahlreich: Bürger, deren Rechte anfechtbar werden, KMU, die mit einem unklaren Rechtsrahmen konfrontiert sind, Datenschutzbeauftragte (DPOs) mit geschwächten Mandaten und nationale Behörden, denen Befugnisse entzogen werden.
Nach Ansicht von Max Schrems und anderer Datenschutzexperten stellt diese Revision einen „Tod durch tausend Schnitte“ dar: Jede isolierte Änderung erscheint technisch und geringfügig, doch kumulativ höhlen sie den schützenden Geist der DSGVO ohne mediales Aufsehen oder öffentliche Debatte aus.
Die politische Frage geht über den Text selbst hinaus: Entscheidet sich Europa dafür, seine Position als Beschützer der digitalen Grundrechte beizubehalten, oder passt es sich dem amerikanischen Modell maximaler Datenausbeutung an? Für AI4Data und KI-Governance sind diese Änderungen kritisch: Sie schwächen den europäischen Rahmen, der genau das Unterscheidungsmerkmal und den vertrauensbasierten Wettbewerbsvorteil darstellte.