Wie Tech-Unternehmen der EU-Kommission die Aufweichung der Digitalgesetze diktierten

4future.social 👼 Sicherheit (innere / Ă€ußere)
1

Zwei NGOs haben die geplanten Änderungen des „digitalen Omnibus“ mit den Forderungen von Tech-Konzernen Artikel fĂŒr Artikel verglichen

https://www.derstandard.at/story/3000000304601/wie-tech-unternehmen-der-eu-kommission-die-aufweichung-der-digitalgesetze-diktierten

Max Schrems von der Wiener NGO Noyb kommentierte jedoch bereits im November: „In Wirklichkeit schlagen die Beamten der Kommission nun Änderungen an Kernelementen wie der Definition personenbezogener Daten vor – und geben KI-Unternehmen wie Google und OpenAI einen Blankoscheck fĂŒr das Training von KI-Systemen unter Verwendung personenbezogener Daten von Menschen.“

Politico bezeichnete den Omnibus im Herbst gar als Ende des „BrĂŒssel-Effekts“, der Idee, dass die EU eine Vorreiterrolle bei der Technologieregulierung ĂŒbernehmen und weltweit die Standards fĂŒr Datenschutz und KI setzen wĂŒrde. Stattdessen gebe „Washington jetzt das Tempo der Deregulierung in Europa“ vor.

Die NGOs Corporate Europe Observatory und Lobby Control haben es sich nun zur Aufgabe gemacht, dieser These auf den Grund zu gehen

Im Zuge des Omnibusses beabsichtigt die Kommission, pseudonymisierte Daten, bei denen der Name eines Nutzers etwa durch einen Code ersetzt wurde, nicht mehr als personenbezogen einzustufen und somit von der DSGVO auszunehmen.

Das Unternehmen muss dazu darlegen, dass es die Person nicht identifizieren kann.

Mit pseudonymisierten Daten kannn aber Datenschutz nicht sichergestellt werden, weil entweder direkt ( es gibt irgendwo - vielleicht in einem “Safe” - noch die Zuordnungsliste ID -Name ) oder indirekt (ĂŒber seltene oder einzigartige/identifizierende Daten in DatenbestĂ€nden mit pseudonymisierten Daten und deren “Verschneidung”/VerknĂŒpfung mit anderen pseudonmisierten DatenbestĂ€nden) noch Möglichkeiten existieren könnten, einzelne Personen mit hoher Wahrscheinlichkeit identifizieren zu können.
Und dann gibt’s da noch ein logisches Problem :
Wie könnte eine Datenschutzbehörde ĂŒberhaupt VerstĂ¶ĂŸe gegen das Verbot der Möglichkeit zur identifizierung einzlener Personen aus pseudonymisierten DatenbestĂ€nden ĂŒberprĂŒfen ?
Solange diese Identifizierbarkeit der Daten einzelner Personen nicht technisch nachweisbar ausgeschlossen werden kann , werden einzelne Personen und deren sensitive Daten weiterhin auch von Staaten/Unternehmen/Organisationen und Kriminellen identifiziert und fĂŒr ihre Zwecke und Interessen genutzt werden.

Wenn eine Datenschutzbehörde bei PrĂŒfungen keine Hinweise z.B. auf explizite Zuordnungslisten “ID↔Person” findet, heißt das velleicht nur, dass sie nicht genau genug danach gesucht hat.
Wenn eine Datenschutzbehörde feststellt, dass es fĂŒr ein untersuchtes Unternehmen keine Identifizierungsmöglichkeit von Personen aus (der Behörde offengelegten) pseudonymisierten DatenbestĂ€nden gibt, dann weiß sie vielleicht nur nicht, zu welchen weiteren DatenbestĂ€nden dieses Unternehmen Zugang hat - oder geheim selbst angelegt hat, mit deren Hilfe die Identifiziereung von Personen dann auch aus pseudonymisierten DatenbestĂ€nden mit hoher Treffer-Wahrscheinlichkeit möglich ist.

Noyb schrieb dazu, dass hiermit eine objektive Definition personenbezogener Daten von einer subjektiven Definition abgelöst werden wĂŒrde: „Eine solche Einzelfallentscheidung ist inhĂ€rent komplexer und alles andere als eine ‚Vereinfachung‘. Zudem wĂŒrde dies bedeuten, dass Daten je nach interner EinschĂ€tzung eines Unternehmens oder je nach den jeweils gegebenen UmstĂ€nden zu einem bestimmten Zeitpunkt als ‚personenbezogen‘ gelten oder nicht.“

So schrieb die Lobbygruppe Digital Europe, der von Google bis Amazon sĂ€mtliche namhaften Tech-Konzerne angehören, in einem Empfehlungsschreiben: „Es ist klarzustellen, dass pseudonymisierte Daten keine personenbezogenen Daten sind, wenn EmpfĂ€nger Personen nicht mit vertretbarem Aufwand wieder identifizieren können.“ Auch Microsoft Deutschland argumentierte dementsprechend.

Internationale Konzerne wĂ€ren also mit pseudonymisieren Daten “zufrieden” , wenn ihr Inhalt nicht als “personenbezogene Daten” eingestuft werden wĂŒrde.
Österreich hat aber - wenn ich mich hier richtig erinnere - diesen Fehler schon vor lĂ€ngerer Zeit gemacht : Pseudonymisierung von Daten gilt bei uns als geeignetes Mittel zur Einhaltung der Vorschriften zum Schutz persönlicher Daten.

So geht es im digitalen Omnibus auch um jene Daten, mit denen KI-Modelle trainiert werden. Die Kommission möchte hierfĂŒr auch personenbezogene Daten, einschließlich sensibler Informationen wie SexualitĂ€t, politische Überzeugungen oder ethnische Zugehörigkeit, zur VerfĂŒgung stellen –sofern sich Menschen nicht ausdrĂŒcklich dagegen entschieden haben.

Wie kann sich aber jemand “ausdrĂŒcklich” gegen etwas entscheiden , von dem er gar nicht weiß, dass er betroffen ist und dessen Bedeutung - und vielleicht auch nachteilige Folgen - er nicht annĂ€hernd verstehen und abschĂ€tzen kann ?

Warum hier kein Opt-In mit Hororar fĂŒr jene Personen, die ihre Daten den Konzernen ĂŒberlassen ?

Der vorgesehene, neue Artikel Nummer 88c der DSGVO soll lauten: „Ist die Verarbeitung personenbezogener Daten fĂŒr die Interessen des Verantwortlichen im Zusammenhang mit der Entwicklung und dem Betrieb eines KI-Systems erforderlich, kann diese Verarbeitung als berechtigtes Interesse im Sinne des Artikels 6(1)(f) verfolgt werden.“

Die Interssen der betroffenen Personen existieren gar nicht mehr.

Der AI Act wurde im Sommer 2024 verabschiedet, im vergangenen November kĂŒndigte die Kommission jedoch an, die EinfĂŒhrung des Gesetzes zur Regulierung KĂŒnstlicher Intelligenz um mehr als ein Jahr zu verschieben. Corporate Europe Observatory und Lobby Control kommentieren: „Das bedeutet, dass Big Tech mehr als 12 Monate Zeit hat, um weiterhin potenziell riskante Systeme ohne jegliche Sicherheitsvorkehrungen auf den Markt zu bringen. Verzögerungen sind eine bewĂ€hrte Lobbying-Taktik der Industrie. Sie verschaffen den großen Technologieunternehmen mehr Zeit, um das KI-Gesetz weiter zu verwĂ€ssern.“

2

Es ist in der EU ĂŒblich, Richtlinien und Verordnungen (EU-Gesetzgebung) nach einiger Zeit zu evaluieren: macht es Sinn, ist es anwendbar, was könnte verbessert werden?

Das Omnibus-Verfahren ist eine Möglichkeit:

LeChat schreibt dazu:

Der Omnibus-Prozess der EU (auch als Omnibus-Verfahren oder Omnibus-Gesetzgebung bekannt) ist ein legislatives Instrument, mit dem die EuropĂ€ische Union mehrere Rechtsakte oder Änderungen an bestehenden Gesetzen in einem einzigen Gesetzgebungsverfahren bĂŒndelt. Das Ziel ist, Effizienz und KohĂ€renz in der Gesetzgebung zu steigern, indem verwandte Themen oder technische Anpassungen gemeinsam behandelt werden.

Wie funktioniert der Omnibus-Prozess?

  1. BĂŒndelung von Änderungen: Statt mehrere separate Gesetze oder Richtlinien zu Ă€ndern, werden mehrere Änderungen in einem einzigen Gesetzesentwurf zusammengefasst. Das spart Zeit und Ressourcen.
  2. Thematische Fokussierung: Oft betrifft ein Omnibus-Verfahren ein bestimmtes Politikfeld (z. B. Umwelt, Digitalisierung, Verbraucherschutz) oder technische Anpassungen, die durch neue Entwicklungen nötig werden.
  3. Standardisiertes Verfahren: Der Prozess folgt dem ĂŒblichen EU-Gesetzgebungsverfahren (z. B. Ordentliches Gesetzgebungsverfahren), bei dem die EuropĂ€ische Kommission einen Vorschlag einbringt, das EuropĂ€ische Parlament und der Rat der EU darĂŒber verhandeln und schließlich eine Einigung erzielen.
  4. Effizienzgewinn: Durch die BĂŒndelung werden Synergien genutzt, Doppelarbeit vermieden und die Umsetzung in den Mitgliedstaaten erleichtert.

Ziel des Omnibus-Prozesses

  • Vereinfachung der Gesetzgebung: Reduzierung von BĂŒrokratie und KomplexitĂ€t durch ZusammenfĂŒhrung verwandter Regelungen.
  • Schnellere Anpassung an neue Herausforderungen: z. B. technische Fortschritte, Krisen oder internationale Verpflichtungen.
  • Konsistenz und KohĂ€renz: Sicherstellung, dass verschiedene Rechtsakte zueinander passen und keine WidersprĂŒche entstehen.
  • Praktische Umsetzung: Erleichterung fĂŒr Mitgliedstaaten, die Änderungen in nationales Recht umzusetzen, da sie gebĂŒndelt vorliegen.

Beispiele fĂŒr Omnibus-Verfahren

  • Omnibus-Richtlinie zur Anpassung an den digitalen Binnenmarkt: Hier wurden verschiedene EU-Rechtsakte aktualisiert, um sie an die digitale Wirtschaft anzupassen.
  • Omnibus-Verordnung zur Kreislaufwirtschaft: Änderungen an mehreren Umweltrichtlinien, um Recycling und Nachhaltigkeit zu fördern.
3

Die Kritik betrifft nicht das Verfahren, sondern dessen aktuelle Inhalte und die Beeinflussung des Verfahrenslaufes (z.B. zusĂ€tzliche Verzögerungen ĂŒber normale Einspruchsfristen bzw, den Zeitaufwand fĂŒr Meinungsbildung /Diskussion hinaus ) durch internationale Konzerne bzw deren Lobbyisten.

4

Externe Expertise als zentraler Bestandteil der EU-Gesetzgebung

Wie in jedem EU-Gesetzgebungsverfahren ĂŒblich, werden nicht nur die politischen Institutionen (EuropĂ€isches Parlament, Kommission, Rat, Ministerrat, Ausschuss der Regionen) einbezogen, sondern auch gezielt externes Wissen und praktische Erfahrungen integriert. Dazu gehören BeitrĂ€ge aus Wissenschaft und Forschung, Unternehmen, VerbĂ€nden, Gremien, Vereinen, der Zivilgesellschaft, Religionsgemeinschaften, Gemeinden sowie von Privatpersonen. Dieser offene und partizipative Ansatz ist essenziell: Er sichert, dass politische Entscheidungen auf einer breiten Wissensbasis fußen und die RealitĂ€t der Betroffenen widerspiegeln.

Warum dieser Prozess unverzichtbar ist

Die Einbindung externer Akteure ist kein optionales Extra, sondern ein Grundpfeiler demokratischer Gesetzgebung. Sie ermöglicht:

  • Praxistaugliche Lösungen durch den Einbezug von Fachwissen und Alltagserfahrungen.
  • Transparenz und LegitimitĂ€t, da unterschiedliche Perspektiven berĂŒcksichtigt werden.
  • Innovation, indem neue Ideen und Technologien frĂŒhzeitig in den politischen Diskurs einfließen.

Zur Rolle von Interessensvertretern – am Beispiel von 4future

Auch Organisationen wie 4future leisten hier einen wertvollen Beitrag: Sie wirken als „Berater“ in nationalen und europĂ€ischen Gesetzgebungsverfahren mit – sei es durch Stellungnahmen oder die Mitarbeit in ministeriellen Expertengremien. Solche BeitrĂ€ge sind kein „Lobbyismus im Schatten“, sondern ein offiziell anerkanntes und erwĂŒnschtes Element der politischen Willensbildung.

Valide VorschlĂ€ge – unabhĂ€ngig von ihrer Herkunft

Dass VorschlĂ€ge etwa von digitalen Großkonzernenaufgegriffen werden, bedeutet nicht, dass politische Entscheidungen deren Interessen blind folgen. Vielmehr zeigt es: Gute Ideen setzen sich durch – unabhĂ€ngig davon, wer sie einbringt. Der Prozess selbst ist daher nicht „unmoralisch“, wie es Medien oft darstellen. Entscheidend ist, dass alle BeitrĂ€ge kritisch geprĂŒft, abgewogen und im öffentlichen Interesse entschieden werden.

5

Es geht aber um den Vorwurf der Verzögerung des Verfahrens, damit diese ihre Interssen nochmals - vielleicht anders formuliert - einbringen können , um beim “zweiten Versuch” besser ”Gehör finden zu können.
Welche andere Interessensgruppe erhĂ€lt auch einen zweiten Versuch , ihre Interessen doch noch in Gesetzestexten bze. Vorschriften brĂŒcksichtigen lassen zu können ?

Inhaltlich geht’s dabei z.B. auch um die Frage, ob mit pseudonymiserten Daten tatsĂ€chlich wirksamer Schutz sensitiver Daten von Personen möglich ist.

Vielleicht wĂŒrde vermutlich schon die Beantwortung der Frage, wozu internationale Konzerne pseudonymisierte Daten benötigen und warum sie nicht mit tatsĂ€chlich anonymen Daten (ohne technisch/statistischer Möglichkeiten zur “Aufdeckung” persönlicher Daten einzelner Personen) zufrieden sein können, genĂŒgen.

6

Ja, Du hast Recht, dass es Verzögerungstaktiken gibt, die aber nicht nur von den Großkonzernen oder den professionellen Lobbyorganisationen in BrĂŒssel, Wien oder Berlin angewendet werden.

  • Noch mal eine Nachfrage an die Kommission.
  • Ein zusĂ€tzliches Gutachten.
  • Ein neues Thema oder ein neuer Aspekt, der aufgenommen werden sollte.
  • 


Der Bauchladen ist groß. Nur: Es sind alles auch Verfahren, die auch positiv angewendet werden und ihren Vorteil haben.

Im Prinzip ist es wie die Geschichte mit dem „Messer“: Zum Brotscheiden oder zum Abstechen zu verwenden.

Ich mußte allerdings bei meiner eigenen Arbeit auch lernen, dass die Hinweise der „Großkonzerne“ auch immer Perspektiven eröffnet haben, die wir vorher nicht auf dem Schirm gehabt haben. Deren Ansinnen ist es eigentlich nicht, jemandem zu Schaden oder sich kurzfristig einen Vorteil zu verschaffen.

Zudem: die Entscheidung wird dann schlussendlich immer im Parlament getroffen - begleitet vom „Ministerrat“ (Rat der EuropĂ€ischen Union) als Vertretung der Mitgliedstaaten als faktisch zweite Kammer.

Hinweis: Leider ist die Namensgebung der Gremien in der EU entwas unglĂŒcklich, da der Begriff „Rat“ doppelt vergeben wurde.

Ich versuche es mal nach den ĂŒblichen „Rollen“ aufzudröseln:

  • „PrĂ€sident“:
    PrĂ€sident des EuropĂ€ischen Rates (AntĂłnio Costa) und der EuropĂ€ische Rat als Kollektivgremium (Staats- & Regierungschefs). Bestimmung der allgemeinen politischen Zielvorstellungen und PrioritĂ€ten der EuropĂ€ischen Union → Ähnlich dem BundesprĂ€sidenten und der Landeshauptleutekonferenz

  • „Regierung“:
    EuropĂ€ische Kommission („Rat der EuropĂ€ischen Minister“) mit der KommissionsprĂ€sidentin („Regierungschefin“) Ursula von der Leyen. → Ähnlich der Bundesregierung

  • „Parlament“:

  1. Kammer: Das EuropĂ€ische Parlament mit denen von der Bevölkerung in den Mitgliedstaaten gewĂ€hlten Abgeordnet:innen. → Ähnlich dem Nationalrat

  2. Kammer: Der Rat der EuropĂ€ischen Union (von den Mitgliedsstaaten entsendeten Fachminister oder deren Vertreter; der Vorsitz wechselt jedes halbe Jahr). → Ähnlich dem Bundesrat

7

Das faktisch angewendete Gesetzfindungsverfahren nennt sich Trilog:

Eine Verhandlung zwischen dem EuropĂ€ischen Parlament (1. Kammer), dem Rat der EuropĂ€ischen Union (2. Kammer) und der EuropĂ€ischen Kommission („Regierung“) als HĂŒterin der VertrĂ€ge, bevor es zur Abstimmung in den „Kammern“ kommt.

Der EuropÀische Rat (die Staats- und Regierungschefs) ist darin nicht involviert.

Das Verfahren Àhnelt dem deutschen Vermittlungsausschluss, der versucht ein gemeinsames Ergebnis auszuhandeln, wenn Bundestag und Bundesrat zuvor unterschiedlich entschieden haben.

Die endgĂŒltige Abstimmung findet dann wieder getrennt in beiden „Kammern“ statt. Es passiert dabei durchaus, dass ein im Trilogverfahren ausgehandelter Kompromiss abgelehnt wird.