Digital Omnibus, DSGVO und KI: Warum Rechtssicherheit zur Mangelware werden könnte
Der im Rahmen des Jahresempfangs des Vereins österreichischer Datenschutzbeauftragter online zugeschaltete Vortrag von Mag. Ursula Illibauer bot einen präzisen Überblick über die aktuellen europäischen Gesetzgebungsdynamiken aus Sicht der Wirtschaft. Im Zentrum stand weniger der Datenschutz im engeren Sinn, sondern vielmehr die Frage, wie planbar Regulierung für Unternehmen derzeit ist.
Ausgangspunkt war das aktuelle Arbeitsprogramm der Europäischen Kommission. Während einzelne Vorhaben wie die ePrivacy-Verordnung oder die Liability Directive zurückgezogen wurden, ist der Gesamteffekt keineswegs Deregulierung. Im Gegenteil: Neue Initiativen wie der Digital Fairness Act oder mehrere sogenannte Omnibus-Pakete führen faktisch zu einer Ausweitung und Verdichtung der Regulierung.
Aus wirtschaftlicher Perspektive lässt sich zwar schwer gegen Vereinfachung und Entbürokratisierung argumentieren, die Realität auf EU-Ebene folgt jedoch eher dem Prinzip „one out, many in“.
Besonders relevant für den Datenschutz ist der sogenannte Omnibus 4. Dieser sah ursprünglich punktuelle Erleichterungen in der DSGVO für eine neue Unternehmensklasse vor, die „Small Mid Caps“ mit bis zu 750 bzw. 1.000 Mitarbeitenden. Vorgesehen waren unter anderem Vereinfachungen beim Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO sowie bei Verhaltensregeln und Zertifizierungen. Aus Sicht der Wirtschaft wäre das ein erster, durchaus begrüßenswerter Schritt zur Reduktion bürokratischer Lasten gewesen.
Überraschend kam jedoch der Digital Omnibus, mit dem die DSGVO nicht nur punktuell, sondern in weiten Teilen wieder aufgeschnürt wurde, gemeinsam mit Regelungen zu Datenwirtschaft, Cybersicherheit, ePrivacy und KI. Mit der KI-Verordnung steht plötzlich selbst jene Regulierung erneut zur Disposition, die teilweise noch nicht einmal vollständig zur Anwendung gelangt ist. Für Unternehmen bedeutet das vor allem eines: erhebliche Rechtsunsicherheit, insbesondere im Hinblick auf die zeitnah wirksam werdenden Pflichten aus der Verordnung.
Der politische Prozess ist dabei alles andere als stabil. Weder im Rat noch im Europäischen Parlament sind die Zuständigkeiten und Berichterstattungen abschließend geklärt. Selbst optimistische Zeitpläne lassen eine Einigung frühestens im Frühjahr erwarten. Sollte sich dieser Zeitrahmen nicht halten lassen, droht eine Phase, in der Unternehmen regulatorische Anforderungen erfüllen müssen, die kurz darauf bereits wieder geändert werden könnten.
Inhaltlich betreffen die geplanten Änderungen zentrale Grundpfeiler der DSGVO. Besonders umstritten ist die Neudefinition des Personenbezugs. Während die Kommission argumentiert, lediglich aktuelle EuGH-Rechtsprechung umzusetzen, sehen Kritiker darin eine substanzielle Abschwächung des Datenschutzes für indirekt personenbezogene Daten. Hinzu kommen Anpassungen bei der Verarbeitung sensibler Daten im Kontext von KI-Anwendungen, bei Betroffenenrechten, insbesondere zur Abwehr missbräuchlicher Anfragen, sowie bei Meldefristen für Datenschutzverletzungen. Letzteres würde aus praktischer Sicht durchaus Erleichterungen bringen, etwa durch eine geplante Verlängerung auf 96 Stunden.
Unerwartet war auch die teilweise Integration von ePrivacy-Regelungen in die DSGVO. Der Schutz von Endgeräten und der Zugriff auf Informationen sollen künftig primär dort geregelt werden, allerdings weiterhin nur für personenbezogene Daten. Das führt nicht zu einer echten Vereinfachung, sondern eher zu einem Doppelregime, da die weitergehenden Schutzkonzepte der bisherigen ePrivacy-Richtlinie bestehen bleiben. Positiv hervorzuheben ist immerhin die Klarstellung zu Reichweitenmessung, Sicherheitsmaßnahmen und Einwilligungsmechanismen ohne Dark Patterns.
Aus Sicht der Werbewirtschaft besonders sensibel ist die mögliche stärkere Rolle von Browsern beim Einwilligungsmanagement. Obwohl Safeguards vorgesehen sind, bleibt die Sorge groß, dass marktmächtige, überwiegend US-amerikanische, Browseranbieter faktisch neue Gatekeeper-Funktionen übernehmen könnten.
Auch beim Data Act und der Datenwirtschaft insgesamt skizzierte Illibauer einen ambivalenten Befund. Das Regelungswerk ist umfangreich und komplex, verfolgt aber zumindest das Ziel, bestehende Fragmentierungen zusammenzuführen und mehr Klarheit über Datenzugang, Geschäftsgeheimnisse und Vertragsbedingungen zu schaffen. Für Unternehmen kann das mittelfristig durchaus Vorteile bringen.
Bei der KI-Verordnung schließlich zeigte sich eine gewisse Nüchternheit. Die geplanten Änderungen, etwa neue Rechtsgrundlagen für bestimmte Datenverarbeitungen oder Anpassungen bei Hochrisikosystemen, werden kontrovers diskutiert. Gleichzeitig sei es aus Sicht der Rechtssicherheit besser, überhaupt eine explizite Grundlage für KI-gestützte Datenverarbeitung zu schaffen, als Unternehmen weiterhin in einem Graubereich agieren zu lassen.
Abschließend verwies Illibauer auf die praktischen Unterstützungsangebote der WKÖ, insbesondere auf das Datenschutzservice und das gemeinsame EU-geförderte Projekt DSGVO KMU mit der Datenschutzbehörde. Ziel ist es, Informationen neu aufzubereiten und mit möglichst hoher Umsetzungssicherheit bereitzustellen. Ein Angebot, das angesichts der aktuellen regulatorischen Dynamik an Bedeutung gewinnt.
Fazit
Der Vortrag machte deutlich, dass die eigentliche Herausforderung derzeit weniger im „Ob“ der Regulierung liegt, sondern im wie schnell, wie kohärent und wie verlässlich sie erfolgt. Für Unternehmen und deren Datenschutzbeauftragte und Berater:innen bedeutet das vor allem eines: aufmerksam bleiben, Entwicklungen eng verfolgen und mit weiter anhaltender Rechtsunsicherheit rechnen.
