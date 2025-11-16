taz: Die EU-Kommission möchte Gesetze vereinfachen, ohne ihre Standards zu senken. Kann der geleakte Entwurf zum „Digitalen Omnibus“ das einlösen?

Max Schrems: Nein. Wenn wenigstens etwas einfacher werden würde. Aber weder die politische Führung noch die Beamtenschaft scheinen in der Lage zu sein, hier Vereinfachung umzusetzen. Der Entwurf ist technisch dermaßen schlecht, dass er nicht mal den Unternehmen groß hilft.

taz: In zwei offenen Briefen sprechen Sie stattdessen vom „größten Rückschritt bei digitalen Grundrechten in der Geschichte der EU“.

Schrems: Ja, die Datenschutzgrundverordnung (DSGVO) wird mit 1.000 kleinen Schnitten geschwächt. Etwa, indem personenbezogene Daten schlicht umdefiniert werden. Unternehmen dürften im Einzelfall selbst einschätzen, wie wahrscheinlich sie jemanden identifizieren können. Es ist, als würde man plötzlich Häuser aus der Bauordnung schmeißen, weil Eigentümer entscheiden können, wie wahrscheinlich es ist, dass sie sie nutzen. Die Art und Weise, wie hier an Definitionen herumgeschraubt wird, macht sie auch für Unternehmen immer komplexer.

Bild: Georg Molterer Im Interview: Max Schrems geboren 1987, ist Jurist, Datenschützer und Vorstandsvorsitzender der Initiative „noyb“. In mehreren Gerichtsverfahren erstritt er u.a. vor dem EuGH die Einhaltung digitaler Rechte.

taz: Weil sie das Risiko selbst einschätzen müssen?

Schrems: Wir haben zuletzt 500 Datenschutzbeauftragte befragt und für sie war diese Einzelfall-Risikoanalyse oft aufwendiger, als sich pauschal an die Gesetze zu halten. Und für die Behörden wird es auch nicht leichter. Stell dir vor, es gäbe ein Tempolimit, das nicht gilt, wenn du das Risiko als klein einschätzt. Viel Spaß der Polizei, das durchzusetzen.

taz: Was bedeutet das für meine Daten?

Schrems: Als Betroffener musst du nachweisen, dass sie dich mit ihren Daten identifizieren können und wollen, sonst gelten deine Rechte nicht. Hier könnte man von seinem Auskunftsrecht Gebrauch machen – aber das gilt eben nur bei personenbezogenen Daten. Was das ist, dürfen die Unternehmen entscheiden. Hier beißt sich die Katze in den Schwanz.

taz: Gibt es nicht besonderen Schutz für sensible Daten?

Schrems: Daten etwa über die sexuelle Orientierung, politische Einstellung und Gesundheit sind eine Extrakategorie. Die müssten künftig wohl nur noch als solche behandelt werden, wenn sie „unmittelbar ableitbar“ sind. Wenn ich Grindr nutze, heißt das zum Beispiel laut Grindr noch nicht, dass ich meine sexuelle Identität verrate – und daher meine Daten besonders geschützt sind. Bisherige „Skandale“ um politischen Einfluss wie etwa Cambridge Analytica (die mögliche Nutzung von Daten von Millionen Facebook-Nutzern ohne deren Zustimmung im US-Wahlkampf 2016 und beim Brexit-Referendum, d. Red.) wären damit vermutlich sogar legal.

taz: Dabei muss ich gleich an KI-Chatbots denken, denen vertrauen Nut­ze­r:in­nen immer mehr an.

Schrems: Ja, wenn ich da reintippe: „Ich habe eine depressive Phase“, sind das dann Gesundheitsdaten? Für die Unternehmen ist es natürlich umständlich, das rausfiltern zu müssen. Hier verkleinert die Kommission einfach den Geltungsbereich.

taz: Wenn die Unternehmen ein „legitimes“ Interesse für die Verarbeitung anmelden, gelten weitere Ausnahmen, etwa für das Training von KI-Modellen.

Schrems: Ja, die Kommission möchte, dass etwa Meta alle Daten für das KI-Training benutzen darf – obwohl das nur 6 Prozent der Deutschen wollen. Als „Schutz“ ist ein Widerspruchsrecht geplant, aber dafür müssen sie wissen, in welchem Trainingsdatensatz Sie drin sind – bei tausenden Unternehmen. Auch für die Unternehmen ist das ein Problem: In den unstrukturierten Daten können sie die Person, die widerspricht, oft gar nicht finden.

taz: Knickt die EU mit dem Vorhaben vor dem Druck aus den USA ein, Stichwort digitale Souveränität?

Schrems: Da bin ich mir nicht sicher. Viel stärker scheint der Einfluss der deutschen Regierung zu sein, das haben wir schwarz auf weiß. In Deutschland ist an allem die DSGVO schuld. Im Rest der EU finden die DSGVO jetzt auch nicht alle Unternehmen geil, aber in Deutschland ist sie der Blitzableiter für alle Versäumnisse bei der Digitalisierung.

taz: Gilt das für kleine und große Unternehmen gleichermaßen, oder gehen die Interessen da auseinander?

Schrems: Das One-Size-Fits-All-Modell der DSGVO ist ein Riesenproblem. Für mich als Einpersonenunternehmen gelten die gleichen Regeln und Dokumentationspflichten wie für Google. Gerade bei den Großen sind die Strafen nach der DSGVO viel niedriger als die Profite, die durch die illegale Datenverarbeitung gemacht werden. Neben einer „DSGVO light“ für kleine Unternehmen bräuchte es also auch eine Hardcore-Variante für die ganz Großen.

taz: Das klingt nicht nach Vereinfachung …

Schrems: Doch, die wäre sehr leicht möglich, indem man Teile der DSGVO für kleine Unternehmen nicht mehr anwendbar macht – vor allem den ganzen Papierkram. Und wenn man die Großen stärker in die Pflicht nehmen würde, könnte man auf Millionen Verträge etwa zwischen Kleinunternehmen und Dienstleistern verzichten. Hier gibt es viel zu holen. Stattdessen gibt es mehr Rechtsunsicherheit, die vor allem Großkonzerne und ihre Anwälte zu nutzen wissen.