Bundesregierung sägt am Datenschutz

Verhandlungen in Brüssel

Deutschland setzt sich im EU-Rat offenbar dafür ein, dass pseudonymisierte Daten teilweise von der Datenschutzgrundverordnung ausgenommen werden. Zivilgesellschaft und Datenschutzbehörden warnen davor, auch andere Mitgliedstaaten sind dagegen.

Im Ringen um eine Reform der Datenschutzgrundverordnung (DSGVO) unterstützt die deutsche Bundesregierung offenbar den Vorschlag der EU-Kommission für eine weitergehende Aufweichung. Konkret setzt sich Deutschland im Rat der EU-Mitgliedstaaten dafür ein, personenbezogene Daten unter Umständen von der DSGVO auszunehmen. Das berichtet MLex [Paywall] unter Berufung auf einen Kompromissvorschlag der Deutschen.

Der Rat verhandelt derzeit über seine Position zu einem Gesetzespaket, mit dem die EU-Kommission Teile ihrer Digitalregulierung überarbeiten will, um Europas Wettbewerbsfähigkeit zu erhöhen. Das „Digitaler Omnibus“ genannte Sammelgesetz soll unter anderem sich überlappende Datennutzungsgesetze zusammenführen, die Anwendung von KI-Regeln aufschieben und die DSGVO reformieren.

Während die EU-Kommission behauptet, es handle sich dabei lediglich um Vereinfachungen und technische Anpassungen, gehen einzelne Vorschläge faktisch weit darüber hinaus.

Umkämpfte Definition

Besonders umstritten ist der Vorschlag, pseudonymisierte Daten teilweise von der DSGVO auszunehmen. Unter Pseudonymisierung versteht man das Ersetzen direkter Identifikationsmerkmale wie Namen oder Telefonnummern durch ein Pseudonym, etwa eine Buchstaben- oder Zahlenkombination. Bislang gelten unter der DSGVO in der Regel auch pseudonymisierte Daten als personenbezogen. Erst bei einer Anonymisierung fallen Daten aus dem Geltungsbereich der Verordnung, also wenn sie nicht mehr einer Person zuzuordnen sind.

Die Kommission will hier einen sogenannten relativen Personenbezug einführen. Vereinfacht gesagt bedeutet das: Daten sollen für Verarbeiter dann nicht mehr als personenbezogen gelten sollen, wenn es unwahrscheinlich ist, dass sie Personen hinter Pseudonymen re-identifizieren.

Der Europäische Datenschutzausschuss, in dem die nationalen Aufsichtsbehörden organisiert sind, und der Europäische Datenschutzbeauftragte, übten an dem Vorhaben scharfe Kritik. Sie sehen darin eine Schwächung des Schutzniveaus der DSGVO und fürchten Rechtsunsicherheiten.

Von Big Techs Wunschliste

Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem pseudonymisierte Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit sehr leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Solche vermeintlich durch Pseudonymisierung geschützten Daten können für Betroffene erhebliche Risiken bedeuten.

In ihrem Vorschlag beruft sich die EU-Kommission auf die jüngste Rechtsprechung des Europäischen Gerichtshofes. Kritiker:innen wie die Berliner Datenschutzbeauftragte Maike Kamp merkten jedoch an, dass dies auf einer selektiven Auslegung der EuGH-Rechtsprechung beruhe. Der Vorschlag der Kommission könne dazu führen, dass etwa Daten aus Online-Tracking nicht mehr der DSGVO unterliegen würden.

Der Datenschutzaktivist Max Schrems und die Organisation noyb warnen zudem davor, dass die Änderung die Arbeit von Aufsichtsbehörden weiter erschweren und kleine sowie mittlere Unternehmen ohne große Rechtsabteilungen überfordern könnte. Eine Aufweichung der Regeln zu pseudonymisierten Daten hatten unter anderem große Tech-Konzerne jahrelang gefordert.

Selbst Bundesregierung warnt vor Rechtsunsicherheiten

Nach ersten Verhandlungen in der Arbeitsgruppe Vereinfachung hatte die zypriotische Ratspräsidentschaft Ende Februar vorgeschlagen, den umstrittenen Passus und weitere Vorschläge der Kommission ganz zu streichen. Statt einer geänderten Definition sollten lieber Richtlinien des Europäischen Datenschutzausschusses klären, wann pseudonymisierte Daten möglicherweise nicht der DSGVO unterliegen.

MLex zufolge unterstützt eine Reihe von Staaten den Vorschlag der Ratspräsidentschaft, darunter Österreich, Belgien, Kroatien, Bulgarien und die Niederlande. Dagegen wendet sich dem Bericht zufolge Deutschland, unterstützt von Dänemark.

Die Bundesregierung, in der Arbeitsgruppe vertreten durch das CDU-geführte Digitalministerium, betone die Notwendigkeit eines relativen Personenbezugs beziehungsweise einer relativen Anonymisierung, so MLex. Sie schlage eine Änderung der Definition personenbezogener Daten unter Verweis auf den bereits bestehenden Erwägungsgrund 26 der DSGVO vor.

Dort heißt es: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“ Tatsächlich ist der relative Personenbezug in dieser Fußnote bereits angelegt, indem auf die Fähigkeiten und die Motivation des Verarbeiters zur Re-Identifizierung abgestellt wird.

Dass der Schritt, den Erwägungsgrund für die Definition personenbezogener Daten zu nutzen, ein Risiko für kleine und mittlere Unternehmen birgt, sieht allerdings offenbar auch die Bundesregierung. Laut MLex schreibt sie, der Text müsse „sorgfältig formuliert werden, damit er nicht zu weiteren Unsicherheiten führt und es für Verantwortliche, Auftragsverarbeiter und betroffene Personen schwieriger macht, ihre Rechte und Pflichten zu verstehen.“

Ingo Dachwitz ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Seine Themen sind Daten, Macht und die digitale Öffentlichkeit. Ingos Veröffentlichungen wurden mehrfach ausgezeichnet, unter anderem mit dem European Press Prize, dem Alternativen Medienpreis, dem Datenschutz-Medienpreis und zwei Grimme-Online-Awards. Sein Buch “Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen” war für den Deutschen Sachbuchpreis nominiert und wurde als eines der Wissensbücher des Jahres 2025 geehrt. Ingo ist Mitglied des Vereins Digitale Gesellschaft, der Evangelischen Kirche und des Netzwerk Recherche. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Digitaler Omnibus zu KI: Welche Fristen gelten?

Der Europäische Gesetzgeber hat vor, die Anwendungsfristen der KI-Verordnung für Hochrisiko-KI nach hinten zu verschieben. Bei Unternehmen besteht derzeit oft Unsicherheit, welche Fristen nun gelten sollen. Dieser Beitrag schafft Klarheit, indem er übersichtlich darstellt, was Anbieter und Betreiber(...)
https://www.dr-datenschutz.de/digitaler-omnibus-zu-ki-welche-fristen-gelten/

#DigitalerOmnibus #KI-Verordnung

Der "Digitale Omnibus" der EU muss ordentlich entschärft werden.

Eine Umfrage von #noyb unter #Datenschutzbeauftragten ergibt deutliche Ansagen:

#GDPR funktioniert sagen die Experten in den Unternehmen. Das Problem sind überbordende Dokumentationspflichten und unscharfe Richtlinien. Weniger Flexibilität, dafür Eindeutigkeit wäre wünschenswert.

https://noyb.eu/de/gdpr-omnibus-eu-simplification-far-removed-real-business-needs

https://www.edpb.europa.eu/news/news/2026/digital-omnibus-edpb-and-edps-support-simplification-and-competitiveness-while_de

#Datenschutz #Europa #digitalerOmnibus

👉 „Digitaler Omnibus“ der EU
❗️Verbraucherkommission Baden-Württemberg verabschiedet Stellungnahme zu den Verordnungsentwürfen aus Sicht des Verbraucherschutzes.

✅Das nunmehr von der VK BW veröffentlichte Papier wurde durch Prof. Dr. Steffen Kroschwald, Direktor des vunk - Institut für Verbraucherforschung und nachhaltigen Konsum an der Hochschule Pforzheim, federführend erarbeitet.

Die Stellungnahme Nr. 79 der Verbraucherkommission Baden-Württemberg vom 25.2.2026 ist hier abrufbar: https://lnkd.in/dmU8zEzP

Weitere Informationen: https://lnkd.in/dvbMTGAb

#Verbraucherschutz #DigitalerOmnibus #EURegulierung #KI #DSGVO #HochschulePforzheim #vunk-Institut

Digitaler Omnibus: Neuer Personenbezug & die Folgen

Die EU-Kommission hat am 19.11.2025 den „digitalen Omnibus“ vorgestellt, um Regelwerke wie die DSGVO zu vereinfachen und fit für das KI-Zeitalter zu machen. Erklärtes Ziel der Kommission ist mehr Wettbewerbsfähigkeit bei gleichbleibend hohen Grundrechts- und Datenschutzstandards. Das Vorhaben hat ei(...)
https://www.dr-datenschutz.de/digitaler-omnibus-neuer-personenbezug-die-folgen/

#Bitkom #DigitalerOmnibus #EU-Kommission #noyb

Gesundheitsdaten

Bundesgesundheitsministerium: So umfassend will Warken die Gesundheitsdaten aller Versicherten verknüpfen

Bundesgesundheitsministerin Nina Warken hat ihre Digitalisierungsstrategie vorgelegt. Darin betont die CDU-Ministerin, die Patient:innensouveränität stärken zu wollen. Tatsächlich aber will sie eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufbauen. Nutznießer sind Forschung und Pharma-Unternehmen. Die Rechte der Patient:innen bleiben auf der Strecke.

Rund 75 Millionen gesetzlich Versicherte, ihre Gesundheitsdaten täglich übermittelt an ein nationales Forschungsdatenzentrum, verknüpfbar mit hunderten Medizinregistern und europaweit vernetzt – das ist die Vision von Bundesgesundheitsministerin Nina Warken (CDU).

Die Ministerin präsentierte in der vergangenen Woche ihre „Digitalisierungsstrategie für das Gesundheitswesen und die Pflege“. Darin verspricht Warken eine bessere medizinische Versorgung und mehr Patientensouveränität. Tatsächlich aber zielt ihre Strategie vor allem darauf ab, eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufzubauen.

Das knapp 30-seitige Papier legt zugleich die Grundlage für ein umfangreiches „Digitalgesetz“. Den Entwurf will das Bundesgesundheitsministerium (BMG) noch im laufenden Quartal vorlegen. Die Rechte der Patient:innen drohen darin weitgehend auf der Strecke zu bleiben.

Die geplante Dateninfrastruktur ruht auf drei Säulen: die elektronische Patientenakte, das Forschungsdatenzentrum Gesundheit und das geplante Medizinregistergesetz. Das Zusammenspiel aller drei Vorhaben ebnet auch der EU-weiten Vernetzung der Gesundheitsdaten den Weg.

Die ePA soll zur „Gesundheits(daten)plattform“ werden

Alle Versicherten, die nicht widersprochen haben, besitzen seit Januar 2025 eine elektronische Patientenakte (ePA); seit Oktober 2025 sind Behandelnde dazu verpflichtet, sie zu verwenden. Gesundheitsministerin Warken will die ePA nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung machen, sondern auch zur „Gesundheits(daten)plattform“ ausbauen.

Dafür sollen erstens mehr strukturierte Daten in die ePA fließen, die dann „möglichst in Echtzeit für entsprechende Anwendungsfälle nachnutzbar“ sind. Derzeit sind dort vor allem noch PDF-Dateien hinterlegt, die nicht einmal durchsuchbar sind, was den Umgang mit der ePA aus Sicht von Behandelnden deutlich erschwert.

Zweitens soll die ePA weitere Funktionen wie eine digitale Terminvermittlung und elektronische Überweisungen erhalten. Die Patientenakte soll so „auch interessanter werden für diejenigen, die nicht krank sind“, kündigte Warken an. Derzeit nutzen gerade einmal rund 4 Millionen Menschen ihre ePA aktiv. Bis zum Jahr 2030 soll sich ihre Zahl, so das Ziel des BMG, auf 20 Millionen erhöhen.

„Künstliche Intelligenz“ soll Symptome auswerten

Wer sich krank fühlt, soll künftig auch über die ePA-App eine digitale Ersteinschätzung einholen können. Mit Hilfe eines Fragenkatalogs sollen Versicherte dann erfahren, ob ihre Symptome den Gang zur Hausärztin oder gar zur Notfallambulanz rechtfertigen.

Diese Auswertung soll offenbar auch mit Hilfe sogenannter Künstliche Intelligenz erfolgen. Ohnehin soll KI laut Warken „in Zukunft da eingesetzt werden können, wo sie die Qualität der Behandlung erhöht, beim Dokumentationsaufwand entlastet oder bei der Kommunikation unterstützt“. Bis 2028 sollen beispielsweise mehr als 70 Prozent der Einrichtungen in der Gesundheits- und Pflegeversorgung KI-gestützte Dokumentation nutzen – ungeachtet der hohen Risiken etwa für die Patientensicherheit oder die Autonomie der Leistungserbringer.

Dafür will das BMG „unnötigen bürokratischen Aufwand“ für KI-Anbieter reduzieren. Das Ministerium strebt dafür mit Blick auf den Digitalen Omnibus der EU-Kommission „eine gezielte Anpassung der KI-Verordnung“ an. Das umstrittene Gesetzesvorhaben der Kommission zielt darauf ab, Regeln für risikoreiche KI-Systeme hinauszuzögern und den Datenschutz deutlich einzuschränken. Zivilgesellschaftliche Organisationen warnen eindringlich, dass mit dem Omnibus der „größte Rückschritt für digitale Grundrechte in der Geschichte der EU“ drohe.

Forschungsdatenzentrum soll als „Innovationsmotor“ wirken

Die in der ePA hinterlegten Daten sollen aber nicht nur der ärztlichen Versorgung dienen, sondern vor allem auch der Forschung zugutekommen. Sie sollen künftig – sofern Versicherte dem nicht aktiv widersprechen – täglich automatisch an das Forschungsdatenzentrum Gesundheit (FDZ) gehen. Während Warken die ePA als „Dreh- und Angelpunkt“ der Versorgung sieht, beschreibt sie das FDZ als „Innovationsmotor“ der Gesundheitsforschung.

Das FDZ wurde nach jahrelangen Verzögerungen im vergangenen Herbst erst handlungsfähig. Es ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Forschende können sich bei dem Zentrum registrieren, um mit den dort hinterlegten Daten zu arbeiten. Auch Pharma-Unternehmen können sich bewerben. Eine Voraussetzung für eine Zusage ist, dass die Forschung einem nicht näher definierten „Gemeinwohl“ dient.

Die pseudonymisierten Gesundheitsdaten sollen das FDZ nicht verlassen. Stattdessen erhalten Forschende Zugriff auf einen Datenzuschnitt, der auf ihre Forschungsfrage abgestimmt ist. Die Analysen erfolgen in einer „sicheren Verarbeitungsumgebung“ auf einem virtuellen Desktop, das Forschende übers Internet aufrufen können.

Ob dabei tatsächlich angemessene Schutzstandards bestehen, muss indes bezweifelt werden. Denn das Forschungszentrum verfügte in den vergangenen Jahren nicht einmal über ein IT-Sicherheitskonzept, weshalb auch ein Gerichtsverfahren der Gesellschaft für Freiheitsrechte ruht.

Gemeinsam mit der netzpolitik.org-Redakteurin Constanze Kurz hatte die GFF gegen die zentrale Sammlung sensibler Gesundheitsdaten beim FDZ geklagt. Aus ihrer Sicht sind die gesetzlich vorgesehenen Schutzstandards unzureichend, um die sensiblen Gesundheitsdaten vor Missbrauch zu schützen. Sie verlangt daher für alle Versicherten ein voraussetzungsloses Widerspruchsrecht gegen die Sekundärnutzung der eigenen Gesundheitsdaten. Nachdem das FDZ seit Oktober den aktiven Betrieb aufgenommen hat, dürfte das ruhende Verfahren in Kürze fortgesetzt werden.

„Real-World-Überwachung“ ermöglichen

Dessen ungeachtet haben sich laut BfArM-Präsident Karl Broich bereits 80 Einrichtungen beim FDZ registriert. Die Antragsteller kommen zu gleichen Teilen aus Wirtschaft, Verwaltung und Forschung. Mehr als zwei Drittel von ihnen hätten bereits konkrete Forschungsanträge gestellt, bis zum Ende des Jahres will Warken diese Zahl über die Schwelle von 300 hieven. Alle positiv beschiedenen Anträge sollen künftig in einem öffentlichen Antragsregister einsehbar sein.

Zum Jahreswechsel wird das FDZ wohl auch über weit mehr Daten verfügen als derzeit. Bislang übermitteln die gesetzlichen Krankenkassen die Abrechnungsdaten all ihrer Versicherten an das Forschungszentrum. Diese geben bereits Auskunft darüber, welche Leistungen und Diagnosen die Versicherungen in Rechnung gestellt bekommen haben.

Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der ePA hinzukommen. Den Anfang machen Daten aus der elektronischen Medikationsliste, anschließend folgen die Laborfunde, dann weitere Inhalte.

Der baldige Datenreichtum gibt dem FDZ aus Sicht von BfArM-Chef Broich gänzlich neue Möglichkeiten. Er geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist. Mit den vorliegenden Daten könnten Forschende dann umfassende „Lifecycle-Beobachtungen“ durchführen – „eine Real-World-Überwachung also, die klassische klinische Prüfungen so nicht abdecken können“.

Auch im FDZ soll „Künstliche Intelligenz“ mitwirken. Zum einen in der Forschung selbst: „Dafür arbeiten wir an Konzepten, die Datenschutz, Sicherheit und wissenschaftliche Nutzbarkeit von Beginn an zusammendenken“, sagt Broich. Zum anderen soll das FDZ Datensätze etwa für das Training von Sprachmodellen bereitstellen, wie die Digitalisierungsstrategie des BMG ausführt und auch bereits gesetzlich festgeschrieben ist. Sowohl Training als auch Validierung und Testen von KI-Systemen sind eine zulässige Nutzungsmöglichkeiten. Das bedeutet konkret: Die sensiblen Gesundheitsdaten von Millionen Versicherten können zum Training von Sprachmodellen verwendet werden.

Warken will Medizinregister miteinander verknüpfen

Ab 2028 könnten Trainingsdaten dann auch detaillierte Daten zu Krebserkrankungen enthalten. Denn in knapp zwei Jahren sollen die FDZ-Datenbestände mit Krebsregistern sowie dem Projekt genomDE verknüpft werden, das Erbgutinformationen von Patient:innen sammelt.

Die Datenfülle beim FDZ dürfte damit noch einmal ordentlich zunehmen. Allein die Krebsregister der Länder Bayern, Nordrhein-Westfalen und Rheinland-Pfalz halten Daten von insgesamt mehr als drei Millionen Patient:innen vor. Wer nicht möchte, dass etwa die eigenen Krebsdaten mit den Genomdaten verknüpft werden, muss mindestens einem der Register komplett widersprechen.

Im Gegensatz etwa zu den Krebsregistern der Länder, die auf Basis spezieller rechtlicher Grundlagen arbeiten, bewegen sich die meisten anderen Medizinregister dem BMG zufolge derzeit „in einem heterogenen Normengeflecht von EU-, Bundes- und Landesrecht“, was „die Schaffung einer validen Datenbasis“ behindere.

Das Ministerium hat daher bereits im Oktober das „Gesetz zur Stärkung von Medizinregistern und zur Verbesserung der Medizinregisterdatennutzung“ auf den Weg gebracht. Der Referentenentwurf sieht vor, einheitliche rechtliche Vorgaben und Qualitätsstandards für Medizinregister zu schaffen.

Ein Zentrum für Medizinregister (ZMR), das ebenfalls am BfArM angesiedelt wäre, soll demnach bestehende Medizinregister nach festgelegten Vorgaben etwa hinsichtlich Datenschutz und Datenqualität bewerten. Qualifizierte Register werden dann in einem Verzeichnis aufgeführt, dürfen zu einem festgelegten Zweck kooperieren und auch anlassbezogen Daten zusammenführen. Die personenbezogenen Daten, die dort gespeichert sind, können für die Dauer von bis zu 100 Jahren in den Registern gespeichert werden.

Derzeit gibt es bundesweit rund 350 Medizinregister. Zu den größten zählen das „Deutsche Herzschrittmacher Register“, das die Daten von mehr als einer Million Patient:innen enthält, und das „TraumaRegister DGU“ mit Daten von mehr als 100.000 Patient:innen. Das Gesundheitsministerium geht davon aus, dass etwa drei Viertel der bestehenden Medizinregister Interesse daran haben könnten, in das Verzeichnis des ZMR aufgenommen zu werden.

Verbraucher- und Datenschützer:innen mahnen Schutzvorkehrungen an

Gesundheitsdaten, die dem ZMR vorliegen, sollen ebenfalls pseudonymisiert oder anonymisiert der Forschung bereitstehen. Das geplante Medizinregistergesetz sieht außerdem vor, dass die Daten qualifizierter Register ebenfalls miteinander verknüpft werden können.

Zu diesem Zweck sollen Betreiber von Medizinregistern und die meldenden Gesundheitseinrichtungen registerübergreifende Pseudonyme erstellen dürfen. Als Grundlage dafür soll der unveränderbare Teil der Krankenversichertennummer von Versicherten (KVNR) dienen.

Fachleute weisen darauf hin, dass eine Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation bietet. Das Risiko wächst zudem, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, wenn diese weitere personenbezogene Daten der gleichen Person enthält.

Das Netzwerk Datenschutzexpertise warnt zudem davor, die Krankenversichertennummer in einer Vielzahl von Registern vorzuhalten. Weil im Gesetzentwurf notwendige Schutzvorkehrungen fehlen würden, sei „das Risiko der Reidentifizierung bei derart pseudonymisierten Datensätzen massiv erhöht“.

Der Verbraucherzentrale Bundesverband kritisiert die Menge an personenbezogenen Daten, die laut Gesetzentwurf an qualifizierte Medizinregister übermittelt werden dürfen. Dazu zählen neben sozialdemographischen Informationen auch Angaben zu Lebensumständen und Gewohnheiten sowie „zu einem Migrationshintergrund oder einer ethnischen Zugehörigkeit, der Familienstand oder die Haushaltsgröße“.

Um die Patient:innendaten besser zu schützen, forderte der Verband bereits im November vergangenen Jahres, eindeutig identifizierende Daten vom Kerndatensatz eines Medizinregisters getrennt aufzubewahren.

Gesundheitsministerium schafft Schnittstellen in die EU

Das Gesundheitsministerium lässt sich davon jedoch nicht beirren und strebt weitere Datenverknüpfungen an. Laut seiner Digitalisierungsstrategie will das BMG das Forschungspseudonym auch dazu nutzen, um die Gesundheits- und Pflegedaten „mit Sozialdaten und Todesdaten zu Forschungszwecken“ sowie „mit Abrechnungs- und ePA-Daten“ zu verbinden. Ob Versicherte dieser umfangreichen Datenverknüpfung überhaupt noch effektiv und transparent widersprechen können, ist derzeit zweifelhaft. Sicher aber ist: Der Aufwand dürfte immens sein.

Die Digitalisierungsstrategie macht ebenfalls deutlich, dass das Ministerium die geplanten Maßnahmen auch in Vorbereitung auf den Europäischen Gesundheitsdatenraum (EHDS) ergreift. Der EHDS ist der erste sektorenspezifische Datenraum in der EU und soll als Blaupause für weitere sogenannte Datenräume dienen. Schon in wenigen Jahren sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Konkret bedeutet das: In gut drei Jahren, ab Ende März 2029, können auch Forschende aus der EU beim FDZ Gesundheitsdaten beantragen. Und das Zentrum für Medizinregister soll dem BMG zufolge ebenfalls Teil der europäischen Gesundheitsdateninfrastruktur werden.

Der größte Brückenschlag in der Gesundheitsdateninfrastruktur steht also erst noch bevor. Und auch hier bleibt die Ministerin eine überzeugende Antwort schuldig, was die Versicherten davon haben.

Daniel Leisegang ist Politikwissenschaftler und Co-Chefredakteur bei netzpolitik.org. Zu seinen Schwerpunkten zählen die Gesundheitsdigitalisierung, Digital Public Infrastructure und die sogenannte Künstliche Intelligenz. Daniel war einst Redakteur bei den “Blättern”. 2014 erschien von ihm das Buch »Amazon – Das Buch als Beute«; 2016 erhielt er den Alternativen Medienpreis in der Rubrik “Medienkritik”. Er gehört dem Board of Trustees von Eurozine und dem Kuratorium der Stiftung Warentest an. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Threema ENU3SC7K, Telefon: +49-30-5771482-28‬ (Montag bis Freitag, jeweils 8 bis 18 Uhr). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Über Daniel Leisegang - netzpolitik:

Unter der Kennung "Gastautor:innen" fassen wir die unterschiedlichsten Beiträge externer Quellen zusammen, die wir dankbar im Beueler-Extradienst (wieder-)veröffentlichen dürfen. Die Autor*innen, Quellen und ggf. Lizenzen sind, soweit bekannt, jeweils im Beitrag vermerkt und/oder verlinkt.

Der baden-württembergische @lfdi Tobias Keber hat im Jahr 2026 den Vorsitz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder @dsk. Keber: „Wir müssen die Kooperationen über die Zusammenarbeit der Datenschutzaufsichtsbehörden hinaus stärken und mit Orientierungshilfen einfache und praxisnahe Unterstützung anbieten.“ https://www.baden-wuerttemberg.datenschutz.de/lfdi-vorsitz-dsk-2026-pm/

#DSK2026 #Datenschutz #DSK #DigitalerOmnibus

Direkt von Big Techs Wunschliste

Digitaler Omnibus: Um Europas Wirtschaft zu stärken, will die EU ihre Regeln für die digitale Welt teilweise aufweichen.

Das Gesetzespaket bedient allerdings vor allem die Interessen US-amerikanischer Tech-Unternehmen, wie jetzt eine Analyse des Corporate Europe Observatory und von LobbyControl zeigt.

Die EU-Kommission soll sich bei ihren Deregulierungsplänen in den Bereichen Datenschutz und KI maßgeblich von Big Tech inspiriert haben lassen. Das geht aus einer Analyse der NGOs Corporate Europe Observatory (CEO) und LobbyControl zum sogenannten „Digitalen Omnibus“ hervor. Demnach entsprechen viele Pläne der Kommission für das Gesetzespaket den Wünschen der IT-Branche, die mit immer mehr Geld in Brüssel für möglichst wenig Regulierung lobbyiert.

Den digitalen Omnibus hatte die Kommission im Spätherbst vorgestellt. Mit dem Gesetzespaket will sie laut eigener Aussage Bürokratie abbauen, Regeln entschlacken und überlappende Gesetze harmonisieren. Im Blick hat sie dabei den Datenschutz, Regeln für die Datennutzung, Cyber-Sicherheit sowie die KI-Verordnung. Vereinfachte Regeln sollen die Wettbewerbsfähigkeit Europas und vor allem europäischer Unternehmen verbessern, so die EU-Kommission.

Doch vieles im Kommissionsentwurf lese sich wie eine Wunschliste ausgerechnet US-amerikanischer Tech-Konzerne, schreiben CEO und LobbyControl: „Ironischerweise wird diese Deregulierungsagenda von der Kommission als Mittel zur Steigerung der Wettbewerbsfähigkeit der EU verkauft – obwohl sie damit in Wirklichkeit die US-amerikanischen Big-Tech-Unternehmen aktiv stärkt, die den Markt dominieren.“

Zugleich baut dieser „beispiellose Angriff auf digitale Rechte“ den beiden Nichtregierungsorganisationen zufolge wichtige Schutzmechanismen für EU-Bürger:innen ab. Diese sorgten dafür, dass die Daten aller sicher sind, Regierungen und Unternehmen zur Rechenschaft gezogen werden können, und Menschen davor bewahrt werden, dass unkontrollierte KI-Systeme über ihre Lebenschancen entscheiden.

Akribische Detailanalyse

Diese Schlussfolgerungen untermauern die NGOs mit einem detaillierten Vergleich des Gesetzentwurfs mit öffentlich bekannten Lobby-Forderungen der Tech-Branche, darunter Konzernen wie Google, Microsoft und Meta. So will die Kommission beispielsweise pseudonymisierte Daten überwiegend nicht mehr als personenbezogene Daten behandelt wissen. Setzt sie sich im laufenden Gesetzgebungsprozess durch, würden solche Daten aus dem Geltungsbereich der Datenschutz-Grundverordnung (DSGVO) herausfallen.

Was wie ein unscheinbares Detail klingt, hätte weitreichende Folgen. Damit hätten es unter anderem Tracking-Firmen und Datenhändler einfacher, die digitalen Spuren von Internet-Nutzer:innen zusammenzuführen, auszuwerten und zu monetarisieren. Zudem lassen sich aus pseudonymisierten Daten relativ einfach Einzelpersonen re-identifizieren, wie nicht zuletzt unsere Databroker-Files-Recherche gezeigt hat.

Für eine derartige Änderung setzt sich die Digitalbranche schon seit langem ein. So forderte der Lobby-Verband Digital Europe in einem Empfehlungspapier, das Schutzniveau für pseudonymisierte Daten abzusenken. Von Google bis Meta sind praktisch alle führenden Tech-Unternehmen in der Organisation vertreten. In die gleiche Richtung argumentiert an anderer Stelle auch Microsoft Deutschland: Die Änderung „wäre besonders wichtig, um die Entwicklung neuer Technologien, einschließlich (generativer) KI, zu unterstützen“, heißt es in einer Stellungnahme des US-Unternehmens zum EU Data Act.

Auf Anfrage des Online-Mediums Euractiv (€) wies ein Sprecher der EU-Kommission die Vorwürfe zurück. „Der Digitale Omnibus ist das Ergebnis eines umfassenden und transparenten Prozesses, in dem Zivilgesellschaft, kleine und mittlere Betriebe sowie akademische Einrichtungen gleichermaßen die Möglichkeit hatten, sich einzubringen.“ Der Digitale Omnibus verfolge ein klares Ziel, so der Sprecher weiter: „Die Förderung eines sicheren und wettbewerbsfähigen digitalen Binnenmarktes, der allen europäischen Bürgerinnen und Bürgern sowie allen europäischen Unternehmen unabhängig von ihrer Größe dient“.

Warnungen bewahrheiten sich

Doch das von den NGOs dokumentierte Muster wiederholt sich an zahlreichen Stellen. Mit Industrieforderungen praktisch deckungsgleiche Vorschläge finden sich zum Beispiel in Abschnitten zur Beschneidung des Auskunftsrechts über bei Unternehmen gespeicherte Daten oder beim geplanten Wegfall von Schutzvorkehrungen bei automatisiert getroffenen Entscheidungen. Auch eine Klarstellung zur Nutzbarkeit personenbezogener Daten für das Training von KI-Systemen hatte sich die Industrie gewünscht.

Bereits im Vorfeld der Omnibus-Veröffentlichung warnten zivilgesellschaftliche NGOs, Gewerkschaften und Verbraucherschutzorganisationen vor einem „der größten Rückschritte für digitale Grundrechte in der Geschichte der EU“. Der als „technische Straffung“ der EU-Digitalgesetze verkaufte Vorstoß sei „in Wirklichkeit ein Versuch, heimlich Europas stärkste Schutzmaßnahmen gegen digitale Bedrohungen abzubauen“, hieß es in einem Brief, den über 120 Organisationen unterzeichnet haben, darunter European Digital Rights (EDRi), Amnesty International und Wikimedia Deutschland.

Die Befürchtungen haben sich bewahrheitet, wie schon erste Analysen nach der Vorstellung des Omnibusses offengelegt haben. Überraschend ist dies gleichwohl nicht: Die Verbesserung der Wettbewerbsfähigkeit der EU zählt zu einem der erklärten Ziele der Ende 2024 wiedergewählten EU-Kommission unter der konservativen Präsidentin Ursula von der Leyen. Zuvor schlugen zwei wegweisende, von der EU in Auftrag gegebene Berichte europäischer Spitzenpolitiker, der sogenannte Draghi– sowie der Letta-Bericht, einen teils drastischen Abbau von Regulierung vor.

Lobbyist:innen umgarnen Rechtsaußen-Parteien

Bei eher linksstehenden Parteien ist dieser Ruf nach Deregulierung auf ein überwiegend negatives Echo gestoßen. Ganz anders die Reaktion rechter und rechtsradikaler Parteien, die bei der letzten EU-Parlamentswahl zugelegt hatten und ihren Einfluss deutlich steigern konnten. Traditionell zeigen sich solche Parteien zum einen wirtschaftsliberalen Ansätzen gegenüber aufgeschlossen. Zum anderen lassen sie kaum eine Gelegenheit ungenutzt, Gesetzgebung aus Brüssel kurz und klein zu schlagen.

Dass sich die Berührungsängste der Europäischen Volkpartei (EVP), der auch von der Leyen angehört, zu Rechtsaußen-Fraktionen in Grenzen halten, hatte die Kommissionpräsidentin wiederholt ausgesprochen. Inzwischen ist daraus gelebte Praxis geworden: Bereits mehrfach machten moderate Konservative im EU-Parlament gemeinsame Sache mit der extremen Rechten, um beispielsweise das Lieferkettengesetz entscheidend zu schwächen. Eine Zusammenarbeit beim digitalen Omnibus zeichnet sich jetzt schon ab.

Die verschobenen Machtverhältnisse machen sich auch beim Lobbying bemerkbar, wie Corporate Europe Observatory und LobbyControl aufzeigen. Vor allem das Trump-freundliche Meta, das unter anderem Facebook, Instagram und WhatsApp betreibt, sucht offenbar gezielt die Nähe zu Rechtsaußen-Politiker:innen.

So hatten sich Meta-Lobbyist:innen laut der Analyse in der gesamten vorangegangenen Legislaturperiode nur ein einziges Mal mit einem Abgeordneten einer einschlägigen Fraktion getroffen. Seit im Sommer 2024 das Parlament neu bestellt wurde, lassen sich inzwischen 38 Treffen zwischen Meta und Abgeordneten der „Patrioten für Europa“ oder „Europäische Konservative und Reformer“ dokumentieren. Bei den Treffen sei der Digitale Omnibus eine „Schlüsselpriorität“ gewesen, so die NGOs.

„Die Lobbying-Strategie der großen Technologiekonzerne in den USA, wo sie sich mit der Trump-Administration verbündet haben, scheint nun auch auf das Europäische Parlament ausgeweitet worden zu sein“, schreiben die NGOs.

Tomas Rudl ist in Wien aufgewachsen, hat dort für diverse Provider gearbeitet und daneben Politikwissenschaft studiert. Seine journalistische Ausbildung erhielt er im Heise-Verlag, wo er für die Mac & i, c’t und Heise Online schrieb. Kontakt: E-Mail (OpenPGP), Bluesky. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.