Datenschutz hängt oft etwas Lästiges an. Cookiebanner zum Beispiel, die einen unaufhörlich durch das Internet verfolgen. Oder die seitenlangen Zustimmungen zur Datenverarbeitung, die man bei Ärztinnen ausfüllen muss, obwohl die Nase trieft und der Kopf schmerzt. Und die Unternehmen, die das alles bewerkstelligen müssen, stöhnen ohnehin über zu viel Bürokratie. Die Europäische Union (EU) will die Regeln im Digitalen nun endlich vereinfachen. Dafür hat die Kommission am Mittwoch ein Paket vorgestellt , es läuft unter dem Schlagwort "Digitaler Omnibus" (Omnibus ist Latein für "für alle"). Aus gleich mehreren ihrer Regelwerke will sie im Schnellverfahren eines machen. Geht es nach der Kommission, sollen die Bürgerinnen weniger nervige Cookiebanner wegklicken müssen, und für Unternehmen soll alles etwas einfacher werden, von Datenschutz bis IT-Sicherheit. Und weil die EU gerne weiter oben in der Liga der künstlichen Intelligenz (KI) mitspielen will, sollen die Regeln für die hiesigen Firmen innovationsfreundlicher werden. Klingt gut? Nicht für alle. Denn unter dem Deckmantel des Bürokratieabbaus und der Innovationsförderung rüttelt die EU an einigen Grundfesten des Datenschutzes. Sie will zum Beispiel verändern, welche unserer persönlichen Daten künftig geschützt sind – und welche nicht mehr. Das bedeutet: Womöglich dürfen Unternehmen bald Daten zu Sexualität, Gesundheit oder Religion verarbeiten, ohne dass die Betroffenen dagegen etwas machen können. Der Datenschutzaktivist Max Schrems spricht vom "größten Angriff auf die digitalen Rechte der Europäer seit Jahren". Warum eine Kosmetikfirma künftig Daten einer Brustkrebspatientin nutzen dürfte – ohne deren Zustimmung Ein Kritikpunkt ist, wie die EU-Kommission künftig personenbezogene Daten definieren will. Bisher ist die Datenschutz-Grundverordnung (DSGVO) streng formuliert: Es handelt sich demnach um Daten, mit denen eine Person direkt oder indirekt identifizierbar ist. Direkt wäre so etwas wie der Name. Indirekt wäre zum Beispiel eine Kundennummer oder Standortdaten. Verarbeiten Unternehmen Daten pseudonymisiert, dürfen diese Informationen nicht auf eine Person zurückzuführen sein. Zusätzliche Informationen, die die Person erkennbar machen würden, müssen Organisationen gesondert speichern. Der neue Gesetzesentwurf weicht diese Definition auf. Dort heißt es nun, dass Daten, die ein Unternehmen oder eine Organisation nur mit einigem Aufwand einer Person zuordnen können, nicht automatisch unter die Definition von personenbezogenen Daten fallen. Die EU-Kommission orientiert sich damit an einem Urteil des Europäischen Gerichtshofs (EuGH). Das würde Expertinnen zufolge wohl bedeuten, dass Firmen sehr persönliche Daten über die sexuelle Orientierung einer Person, ihre politische Meinung oder Krankheiten für eigene Zwecke verarbeiten könnten. Eine Kosmetikfirma könnte dann die Biopsie einer Brustkrebspatientin, pseudonymisiert, für die Entwicklung einer Gesichtscreme nutzen. Bisher müsste die Betroffene dem ausdrücklich zustimmen. Das mag nach einer Kleinigkeit klingen. Aber Pseudonyme funktionieren wie Spitznamen: Kennt man ihn, weiß man, wer sich dahinter verbirgt. Nun mag man denken: Wer soll denn aus meinen Gesundheitsdaten schließen, dass ich dahinterstecke? Tatsächlich ist das aber einfacher, als viele glauben. Schon aus wenigen Informationen, darauf weisen Datenschutzexperten und Wissenschaftlerinnen immer wieder hin, kann man eine Person identifizieren. Im schlimmsten Fall könnte also jemand aus den Biopsiedaten ablesen, wer die Patientin mit Brustkrebs ist. Die Frage ist auch, was das im Einzelfall bedeutet. Wenn eine Person zum Beispiel einen Blogbeitrag über die iPhone-Socke schreibt, das aber unter Pseudonym tut, dürfte der Websitebetreiber diese Information dann verarbeiten? Und dürfte er es nicht, wenn die Person mit einer E-Mail-Adresse angemeldet ist, weil sie so ja identifizierbar wäre? Die Sorge ist, dass Unternehmen diese Regelung für sich vorteilhaft auslegen und behaupten, sie könnten eine Person nicht eindeutig identifizieren, obwohl sie es können – weil sie dann mehr Daten verarbeiten dürfen. Die neuen Regeln könnten es Unternehmen auch erleichtern, unliebsame Anfragen von Nutzerinnen und Nutzern abzuwehren. Bisher kann eine Person verlangen, dass ein Konzern offenlegt, welche Daten er über sie gespeichert hat. Doch Datenschutzaktivisten befürchten, dass Unternehmen künftig einen Nutzer abwimmeln könnten, indem sie darauf verweisen, dass sie nur pseudonymisierte Daten verarbeiten. Das Auskunftsrecht wird auch auf eine andere Weise eingeschränkt: Unternehmen können Nutzeranfragen mit Hinweis auf missbräuchliche oder repetitive Anfragen entweder ablehnen oder eine Gebühr verlangen. Das könnte bedeuten: Wenn jemand häufiger eine Datenauskunft will, als es den Firmen lieb ist, müsste man Geld hinblättern. Auch das könnten Unternehmen nutzen, um weniger Anfragen bearbeiten zu müssen oder mehr zurückzuweisen. Der Digitalverband Bitkom sieht es naturgemäß anders. Er sagt: Der Anspruch für Nutzerinnen und Nutzer, dass Unternehmen sie auf Anfrage darüber informieren müssen, wie ihre Daten verarbeitet werden, ergebe sich auch aus anderen Gesetzen. Vereinheitlicht worden sei dieses Auskunftsrecht nicht.