Die Kommission hat gerade das Digital Omnibus-Paket vorgestellt, das einen Rückschlag für die digitalen Rechte darstellt. Es sieht die Rücknahme grundlegender Schutzmaßnahmen wie der DSGVO und des KI-Gesetzes vor – Zugeständnisse, die offenbar gemacht wurden, um die großen Technologieunternehmen und den geopolitischen Druck zu beschwichtigen. Dies wäre ein schwerwiegender Rückschritt für die globale Führungsrolle der EU bei der Wahrung der Grundrechte im Internet. Hier ist unsere erste Einschätzung zu KI und Datenschutz. Weitere Gedanken folgen in Kürze.
KI-Gesetz
Hochriskante Verzögerung
Das Digital Omnibus-Paket würde die Durchsetzung von Vorschriften für risikoreiche KI-Systeme gemäß Artikel 6 Absatz 2, wie biometrische Identifizierung und Kategorisierung, gerichtliche Entscheidungen oder die Bewertung oder Einstufung von Bewerbern, für bis zu 15 Monate – bis zum 2. Dezember 2027 – aussetzen. Während dieser Teil von Artikel 6 eigentlich ab August 2026 gelten sollte, würde diese Verzögerung von bis zu 15 Monaten die Lücken in Bezug auf Transparenz und Rechenschaftspflicht erheblich vergrößern.
Diese Verzögerung ist das Ergebnis intensiver Lobbyarbeit von Big Tech und Regierungen, darunter die USA, Dänemark und Deutschland. Tech-Unternehmen behaupten, sie bräuchten mehr Zeit, um die Anforderungen zu erfüllen, aber bis zum Zeitpunkt des Inkrafttretens der Anforderungen (2026) hätten sie bereits seit mehr als zwei Jahren davon gewusst. Die Verzögerung würde bedeuten, dass KI-Systeme, die ein hohes Risiko für die Grundrechte darstellen, ein weiteres Jahr lang ohne die notwendigen Vorschriften betrieben werden dürfen.
Keine Registrierung? Kein Problem – und genau das ist das Problem
Eine gravierende Schwäche des KI-Gesetzes ist Artikel 6 Absatz 3, der besagt, dass Anbieter bestimmter KI-Systeme, die als risikoreich erscheinen, einseitig entscheiden können, dass ihr System tatsächlich kein erhebliches Risiko für die Grundrechte darstellt. So unterliegen sie nicht mehr den Anforderungen für risikoreiche Systeme wie Grundrechtsverträglichkeitsprüfungen.
Das ist eine schreckliche Lücke, die nur deshalb in das Gesetz aufgenommen wurde, weil zivilgesellschaftliche Organisationen mit aller Kraft für eine minimale Schutzmaßnahme als Kompromiss gekämpft haben: Artikel 6 Absatz 4, der Anbieter, die diese Lücke nutzen, verpflichtet, sich in einer öffentlich zugänglichen Datenbank zu registrieren.
Aber selbst das war für die Big Tech-Unternehmen – und offenbar auch für die Kommission – zu viel. Der Vorschlag würde diese Registrierungspflicht aufheben, sodass Anbieter, die selbst entscheiden, dass ihre Systeme keine Gefahr für die Grundrechte darstellen und sie sich daher nicht an die Schutzmaßnahmen für hohe Risiken halten müssen, dies nicht einmal mehr jemandem mitteilen müssen.
Das ist völlig intransparent und es gibt keinen guten Grund dafür. Es ist eine totale Kapitulation vor einem grundlegenden, minimalen Schutz der Grundrechte. Und es ist sicherlich keine Vereinfachung. Es ist eine stille Abschaffung der Rechenschaftspflicht und ein gefährlicher Rückschritt für eine auf Rechten basierende Regierungsführung.
Bedanken Sie sich bei Deepfakes
Der AI Act geht nur unzureichend auf Deepfakes ein. Derzeit werden sie als „begrenztes Risiko” eingestuft, obwohl sie eines der wichtigsten Mittel zur Desinformation und damit eine echte Bedrohung für die Demokratie darstellen. Artikel 50(2) des KI-Gesetzes verlangt zwar, dass die meisten KI-generierten Inhalte, einschließlich Deepfakes, eindeutig als KI-generiert gekennzeichnet werden müssen, und bei Nichteinhaltung sind Geldstrafen vorgesehen. Dies soll ab dem 2. August 2026 in Kraft treten.
Gemäß dem Omnibus-Vorschlag erhalten Anbieter von KI-Systemen, die „synthetische Audio-, Bild-, Video- oder Textinhalte“ generieren und vor dem 2. August 2026 (dem bisherigen Datum des Inkrafttretens) auf den Markt gebracht wurden, jedoch eine „Übergangsfrist“ bis zum 2. Februar 2027, um die notwendigen Maßnahmen zur Einhaltung von Artikel 50 Absatz 2 zu ergreifen. Dies bedeutet, dass bis dahin keine Geldstrafen für Verstöße verhängt werden.
Diese „Gnadenfrist“ drückt die Schlummertaste für eine der wichtigsten Schutzmaßnahmen des KI-Gesetzes gegen KI-gesteuerte Manipulation, obwohl die Rechtsstaatlichkeit und das Vertrauen in die Demokratie mehr und nicht weniger Schutz benötigen.
DSGVO
Personenbezogene Daten oder keine personenbezogenen Daten? Das ist die Frage.
Der Digital Omnibus definiert in Artikel 4 der DSGVO neu, was „personenbezogene Daten“ sind. Bislang beziehen sich personenbezogene Daten auf verschiedene Informationen, die es uns ermöglichen, eine Person zu identifizieren. Mit den vorgeschlagenen Änderungen fügt die Kommission einen subjektiven Aspekt hinzu, nämlich wie „vernünftig“ eine Person identifiziert werden kann – und wechselt damit von einem objektiven zu einem flexibleren Standard.
Wenn das Unternehmen behauptet, dass es diese Person nicht wieder identifizieren kann (auch wenn andere dies könnten), gelten diese Informationen möglicherweise nicht als personenbezogene Daten und würden den derzeitigen Schutz durch die DSGVO verlieren, da diese nicht mehr anwendbar wäre. Dies öffnet die Tür dafür, dass mehr Daten außerhalb der EU-Datenschutzvorschriften fallen – ein klarer Gewinn für Unternehmen und alle, die personenbezogene Daten ausnutzen wollen.
KI zur/m Hilfe Missbrauch!
Große Sprachmodelle, KI-Anwendungen wie ChatGPT, Deepseek, Gemini und alle anderen, die in Zukunft hinzukommen könnten, werden in der Lage sein, personenbezogene Daten unter dem bereits flexiblen Begriff „berechtigtes Interesse” in Artikel 9 Absatz 2 Buchstabe k und Artikel 88 Buchstabe c zu missbrauchen, der die Verarbeitung personenbezogener Daten erlaubt und zu einem noch weiter gefassten Begriff wird.
Nach den vorgeschlagenen Änderungen wird das, was früher eine Ausnahme für Situationen mit geringem Risiko war (z. B. hat der lokale Sportverein, in dem Sie Mitglied sind, ein berechtigtes Interesse an der Verwendung Ihrer personenbezogenen Daten, damit Sie Zugang zum Verein erhalten), Unternehmen ermöglichen, unsere personenbezogenen Daten (einschließlich intimer Fotos, privater Dokumente oder Chat-Verläufe) ohne unsere Zustimmung zu verwenden. Dies ist ein großer Gewinn für Unternehmen, die nach personenbezogenen Daten gieren, um neue KI-Anwendungen zu entwickeln, ohne uns um Erlaubnis fragen zu müssen.
Weitere Ressourcen
