taz.de -- Datenschützer über EU-Vorstoß: „Tod durch 1000 Schnitte“

Mit dem „Digitalen Omnibus“ will die EU-Kommission Gesetze vereinfachen. Datenschützer Max Schrems sieht stattdessen einen Angriff auf die DSGVO.
Bild: Verloren im Datendschungel – Betroffene sollen in Zukunft nachweisen, dass sie mit ihren Daten indentifiziert werden können

taz: Die EU-Kommission möchte Gesetze vereinfachen, ohne ihre Standards zu senken. Kann der [1][geleakte Entwurf zum „Digitalen Omnibus][2][“] das einlösen?

Max Schrems: Nein. Wenn wenigstens etwas einfacher werden würde. Aber weder die politische Führung noch die Beamtenschaft scheinen in der Lage zu sein, hier Vereinfachung umzusetzen. Der Entwurf ist technisch dermaßen schlecht, dass er nicht mal den Unternehmen groß hilft.

taz: In zwei [3][offenen Briefen] sprechen Sie stattdessen vom „[4][größten Rückschritt bei digitalen Grundrechten in der Geschichte der EU]“.

Schrems: Ja, die [5][Datenschutzgrundverordnung (DSGVO)] wird mit 1.000 kleinen Schnitten geschwächt. Etwa, indem personenbezogene Daten schlicht umdefiniert werden. Unternehmen dürften im Einzelfall selbst einschätzen, wie wahrscheinlich sie jemanden identifizieren können. Es ist, als würde man plötzlich Häuser aus der Bauordnung schmeißen, weil Eigentümer entscheiden können, wie wahrscheinlich es ist, dass sie sie nutzen. Die Art und Weise, wie hier an Definitionen herumgeschraubt wird, macht sie auch für Unternehmen immer komplexer.

taz: Weil sie das Risiko selbst einschätzen müssen?

Schrems: Wir haben zuletzt 500 Datenschutzbeauftragte befragt und für sie war diese Einzelfall-Risikoanalyse oft aufwendiger, als sich pauschal an die Gesetze zu halten. Und für die Behörden wird es auch nicht leichter. Stell dir vor, es gäbe ein Tempolimit, das nicht gilt, wenn du das Risiko als klein einschätzt. Viel Spaß der Polizei, das durchzusetzen.

taz: Was bedeutet das für meine Daten?

Schrems: Als Betroffener musst du nachweisen, dass sie dich mit ihren Daten identifizieren können und wollen, sonst gelten deine Rechte nicht. Hier könnte man von seinem Auskunftsrecht Gebrauch machen – aber das gilt eben nur bei personenbezogenen Daten. Was das ist, dürfen die Unternehmen entscheiden. Hier beißt sich die Katze in den Schwanz.

taz: Gibt es nicht besonderen Schutz für sensible Daten?

Schrems: Daten etwa über die sexuelle Orientierung, politische Einstellung und Gesundheit sind eine Extrakategorie. Die müssten künftig wohl nur noch als solche behandelt werden, wenn sie „unmittelbar ableitbar“ sind. Wenn ich Grindr nutze, heißt das zum Beispiel laut Grindr noch nicht, dass ich meine sexuelle Identität verrate – und daher meine Daten besonders geschützt sind. Bisherige „Skandale“ um politischen Einfluss wie etwa [6][Cambridge Analytica] (die mögliche Nutzung von Daten von Millionen Facebook-Nutzern ohne deren Zustimmung im US-Wahlkampf 2016 und beim Brexit-Referendum, d. Red.) wären damit vermutlich sogar legal.

taz: Dabei muss ich gleich an KI-Chatbots denken, denen vertrauen Nutzer:innen immer mehr an.

Schrems: Ja, wenn ich da reintippe: „Ich habe eine depressive Phase“, sind das dann Gesundheitsdaten? Für die Unternehmen ist es natürlich umständlich, das rausfiltern zu müssen. Hier verkleinert die Kommission einfach den Geltungsbereich.

taz: Wenn die Unternehmen [7][ein „legitimes“ Interesse für die Verarbeitung anmelden, gelten weitere Ausnahmen], etwa für das Training von KI-Modellen.

Schrems: Ja, die Kommission möchte, dass etwa Meta alle Daten für das KI-Training benutzen darf – obwohl das nur 6 Prozent der Deutschen wollen. Als „Schutz“ ist ein Widerspruchsrecht geplant, aber dafür müssen sie wissen, in welchem Trainingsdatensatz Sie drin sind – bei tausenden Unternehmen. Auch für die Unternehmen ist das ein Problem: In den unstrukturierten Daten können sie die Person, die widerspricht, oft gar nicht finden.

taz: Knickt die EU mit dem Vorhaben vor [8][dem Druck aus den USA] ein, Stichwort digitale Souveränität?

Schrems: Da bin ich mir nicht sicher. Viel stärker scheint der Einfluss der deutschen Regierung zu sein, das haben wir schwarz auf weiß. In Deutschland ist an allem die DSGVO schuld. Im Rest der EU finden die DSGVO jetzt auch nicht alle Unternehmen geil, aber in Deutschland ist sie der Blitzableiter für alle Versäumnisse bei der Digitalisierung.

taz: Gilt das für kleine und große Unternehmen gleichermaßen, oder gehen die Interessen da auseinander?

Schrems: Das One-Size-Fits-All-Modell der DSGVO ist ein Riesenproblem. Für mich als Einpersonenunternehmen gelten die gleichen Regeln und Dokumentationspflichten wie für Google. Gerade bei den Großen sind die Strafen nach der DSGVO viel niedriger als die Profite, die durch die illegale Datenverarbeitung gemacht werden. Neben einer „DSGVO light“ für kleine Unternehmen bräuchte es also auch eine Hardcore-Variante für die ganz Großen.

taz: Das klingt nicht nach Vereinfachung …

Schrems: Doch, die wäre sehr leicht möglich, indem man Teile der DSGVO für kleine Unternehmen nicht mehr anwendbar macht – vor allem den ganzen Papierkram. Und wenn man die Großen stärker in die Pflicht nehmen würde, könnte man auf Millionen Verträge etwa zwischen Kleinunternehmen und Dienstleistern verzichten. Hier gibt es viel zu holen. Stattdessen gibt es mehr Rechtsunsicherheit, die vor allem Großkonzerne und ihre Anwälte zu nutzen wissen.

16 Nov 2025

LINKS

[1] https://noyb.eu/sites/default/files/2025-11/EU-Kommission-Digital-Omnibus-A-Data-Act-und-DSGVO.pdf
[2] https://noyb.eu/sites/default/files/2025-11/EU-Kommission-Digital-Omnibus-A-Data-Act-und-DSGVO.pdf
[3] https://noyb.eu/de/open-letter-digital-omnibus-brings-deregulation-not-simplification
[4] https://noyb.eu/sites/default/files/2025-11/Die%20EU%20muss%20hart%20erk%C3%A4mpften%20Schutz%20f%C3%BCr%20digitale%20Menschenrechte%20bewahren.pdf
[5] /Datenschutzgrundverordnung/!t5300503
[6] /Datenschutz-Skandal-bei-Facebook/!5611890
[7] https://noyb.eu/de/eu-commission-about-wreck-core-principles-gdpr
[8] /Kampf-um-neue-Ressource/!6116862

AUTOREN

Raoul Spada

TAGS

DSGVO
Datenschutzgrundverordnung
Datenschutz
EU-Kommission
Big Tech
Digitale Souveränität
Reden wir darüber
Digitale Souveränität
Schwerpunkt Künstliche Intelligenz
Schwerpunkt Künstliche Intelligenz
Digital
Big Tech
Schwerpunkt Meta

ARTIKEL ZUM THEMA

Im Gegenzug für niedrigere Stahlzölle: EU soll Meta, Google und Co. vom Haken lassen

Der US-Handelsminister fordert die EU auf, ihre Regulierung großer Tech-Konzerne zu lockern. Diese kommen immer wieder in Konflikt mit dem EU-Recht.

Lockerung von Datenschutzregeln: EU will alle Warnungen ignorieren

Die EU-Kommission will Firmen Zugriff auf sensible Daten erleichtern und das KI-Gesetz bis zu 16 Monate aussetzen. Daran gibt es scharfe Kritik.

Mozilla-Chef Mark Surman: „Wir brauchen eine Rebellenallianz gegen Big Tech“

Geht Künstliche Intelligenz unabhängig von Großkonzernen? Ja, sagt Mark Surman, Chef der Mozilla Foundation, vor dem Digitalgipfel am Dienstag in Berlin.

Digitale Rechte in Europa: Datenschützt euch doch selbst

Die EU plant eine umfassende Deregulierung ihrer Internet-Gesetzgebung. Kritiker fürchten einen massiven Rückschritt für digitale Grundrechte.

Stark steigende Lobbyausgaben: Tech-Konzerne geben Rekordsumme für Lobbying in der EU aus

Innerhalb von zwei Jahren hat die Branche ihre Ausgaben für Lobbyarbeit stark gesteigert. Und das zu einem kritischen Zeitpunkt.

Meta vor Gericht: Sammelklagen gegen Datensammeln

Zwei Verfahren machen es Nutzer:innen von Facebook und Instagram leichter, gegen deren Datenhunger vorzugehen. Betroffene können auf Geld hoffen.