Europa treibt Lockerungen bei GDPR und KI-Regulierung voran

 (theverge.com)
1 Punkte von GN⁺ 2025-11-20 | 1 Kommentare | Auf WhatsApp teilen
  • Die Europäische Union hat einen Änderungsentwurf vorgeschlagen, der zentrale Bestimmungen der GDPR und des KI-Gesetzes lockert und unter dem Druck der Industrie sowie der US-Regierung eine Deregulierung vorantreibt
  • Der Entwurf soll die Weitergabe anonymisierter und pseudonymisierter Daten erleichtern und KI-Unternehmen erlauben, personenbezogene Daten für das Training zu nutzen, sofern sie die Anforderungen der GDPR erfüllen
  • Der Anwendungsbeginn der Regulierung für Hochrisiko-Systeme im AI Act wird verschoben und tritt erst in Kraft, nachdem entsprechende Standards und Unterstützungswerkzeuge bereitstehen
  • Enthalten sind außerdem Verwaltungsvereinfachungen wie weniger Cookie-Banner, vereinfachte KI-Dokumentationspflichten für kleine und mittlere Unternehmen, gebündelte Cybersicherheitsmeldungen und eine zentralisierte Aufsicht über das AI Office
  • Der Vorschlag zielt auf mehr Innovation in Europa und wirtschaftliche Erholung, stößt aber bei Bürgerrechtsgruppen und in der Politik auf Widerstand, die darin eine Schwächung der Grundrechte und ein Nachgeben gegenüber Big-Tech-Druck sehen

Vorschlag der Europäischen Union zur Lockerung von Datenschutz- und KI-Regeln

  • Die Europäische Kommission hat einen Änderungsentwurf veröffentlicht, der zentrale Bestimmungen der GDPR (Datenschutz-Grundverordnung) und des AI Act (Gesetz über künstliche Intelligenz) lockert

    • Die Lockerung wird unter starkem Druck aus der Industrie und von der US-Regierung vorangetrieben
    • Ziel sind vereinfachte Verwaltungsverfahren und mehr Wirtschaftswachstum

  • Die Änderungen an der GDPR umfassen eine Lockerung der Verfahren zur Weitergabe anonymisierter und pseudonymisierter personenbezogener Daten

    • Unternehmen können diese Daten leichter austauschen
    • KI-Unternehmen dürfen personenbezogene Daten rechtmäßig für das KI-Training nutzen, sofern sie andere Anforderungen der GDPR erfüllen

Wichtige Änderungen am AI Act

  • Verschiebung des Anwendungsbeginns für die Regulierung von Hochrisiko-KI-Systemen

    • Die ursprünglich für den nächsten Sommer vorgesehene Regelung wird auf einen Zeitpunkt „nach Bereitstellung der notwendigen Standards und Unterstützungswerkzeuge“ verschoben
    • Dies betrifft Bestimmungen für Systeme, die erhebliche Risiken für Gesundheit, Sicherheit und Grundrechte mit sich bringen können

  • Erleichterungen für kleine und mittlere Unternehmen sind enthalten

    • Vereinfachte Anforderungen an die KI-Dokumentation
    • Gebündelte Schnittstellen für die Meldung von Cybersicherheitsvorfällen
    • Zentralisierte Aufsicht über das AI Office

Lockerung der Cookie-Regulierung

  • Der Änderungsentwurf sieht auch weniger Cookie-Banner und Pop-ups vor
    • Einige Cookies mit geringem Risiko sollen ohne Pop-up erlaubt sein
    • Nutzer können Cookie-Einstellungen gesammelt über eine zentrale Steuerungsfunktion im Browser verwalten

Position und Ziele der Europäischen Union

  • Die Europäische Union erklärt, dass diese Änderungen auf den „European way“ ausgerichtet seien
    • Die für Technologiesouveränität zuständige Exekutiv-Vizepräsidentin Henna Virkkunen sagte, Ziel sei es, zu verhindern, dass Startups und kleine Unternehmen durch komplexe Regulierung ausgebremst werden
    • Hervorgehoben werden besserer Datenzugang, die Einführung einer gemeinsamen Business Wallet und der fortbestehende Schutz der Grundrechte

Politische Reaktionen und Kontroversen

  • Der Vorschlag muss vom Europäischen Parlament und den 27 Mitgliedstaaten gebilligt werden und benötigt eine qualifizierte Mehrheit

    • Das Genehmigungsverfahren kann mehrere Monate dauern, und Änderungen am Inhalt sind möglich

  • Widerstand von Bürgerrechtsgruppen und aus der Politik

    • Ein durchgesickerter Entwurf wurde als Schwächung grundlegender Schutzvorkehrungen und als Nachgeben gegenüber Big-Tech-Druck kritisiert
    • Die GDPR gilt als Kernstück der europäischen Technologiepolitik und wird als „nahezu unantastbare Politik“ bewertet

  • Die Entscheidung folgt auf Forderungen nach Lockerungen von Big-Tech-Unternehmen, dem früheren US-Präsidenten Donald Trump und dem ehemaligen EZB-Präsidenten Mario Draghi

    • Die Europäische Union bezeichnet dies als „Vereinfachung statt Deregulierung“ und betont es als Maßnahme zur Wiederherstellung globaler Wettbewerbsfähigkeit
    • Dem Artikel zufolge hat Europa im KI-Wettbewerb, der von US-amerikanischen und chinesischen Unternehmen wie DeepSeek, Google und OpenAI dominiert wird, kaum verlässliche Wettbewerber

Keine zusätzlichen Informationen im Originalartikel

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-20
Hacker-News-Kommentare

  • Ich verstehe, dass zu viel Regulierung ein Problem sein kann, aber beim Datenschutz darf es keine Ausnahmen geben.
    Bei Cookie-Bannern suche ich immer nach „Alle ablehnen“. Solange Nutzer nicht ausdrücklich zustimmen, sollten keinerlei Daten gesammelt werden.
    Unternehmen respektieren nichts außer Profit. Umso bitterer ist es, wenn unter dem Vorwand von KI versucht wird, solche Gesetze aufzuweichen. Noch schlimmer ist es, wenn dabei sogar Überwachungsmaßnahmen wie Chat Control vorangetrieben werden.

    • Ich denke nicht, dass man Regulierung einfach als Frage von zu viel oder zu wenig betrachten kann.
      In manchen Bereichen braucht es mehr Regulierung, in anderen weniger. Entscheidend ist, was und wie reguliert wird.
    • Viel Regulierung ist nicht automatisch gut. Wenn es zu viel wird, entstehen Widersprüche oder Schlupflöcher, und die Kosten für Compliance steigen, sodass am Ende nur große Unternehmen profitieren.
      Zentrale Regeln, etwa die Pflicht zur Offenlegung von Lebensmittelzutaten, sind dagegen eher ein gutes Beispiel.
    • Es ist absurd, dass selbst bei Punkten, die „immer aktiv“ sind, Hunderte von „Partnern“ beteiligt sein sollen.
      Als Beispiel dazu kann man diesen Kommentar ansehen.
    • Eine Funktion zum Ablehnen von Cookies sollte als Standard im Browser verfügbar sein.
    • Das eigentliche Problem Europas sind nicht Cookies, sondern Regulierungen, die Startups ersticken.
      Cookie-Banner sind nur ein weiteres Problem, das bei dem Versuch entstanden ist, ein anderes Problem zu lösen, und sie belasten kleine Teams unnötig.

  • Es ist überraschend, wie sehr sich die Haltung der EU und der HN-Community um 180 Grad gedreht hat.
    Früher hat man die EU angefeuert, wenn sie Big Tech wie Meta angegriffen hat, heute ist die Stimmung anders.
    Ich würde mir wünschen, dass Meta auf natürliche Weise verdrängt wird. Es wäre besser, wenn die Menschen freiwillig aufhören würden, die Dienste zu nutzen, und das Unternehmen daran verschwindet.
    Zwangsregulierung schadet eher dem Gründer- und Hackergeist.

    • In den letzten zehn Jahren ist der Hackergeist in der HN-Community schwächer geworden, und es gibt immer mehr Leute, die sich nur fürs Geldverdienen interessieren.
      Das hat viel mit der ZIRP-Ära und dem Film The Social Network zu tun.
    • Meta hat aber so viel Geld, dass das Unternehmen Konkurrenten einfach aufkauft.
      Instagram und WhatsApp sind dafür Beispiele.
    • Die Netzwerkeffekte sind so stark, dass Meta nicht von allein zusammenbrechen kann.
      WhatsApp wird ohne Eingreifen des Staates nicht verschwinden.
    • Das ist bislang nur ein Vorschlag der EC, und ob die EU ihn tatsächlich verabschiedet, ist offen.
    • HN ist keine einheitliche Meinungsgruppe.
      Jedes Mal, wenn die EU irgendein Unternehmen reguliert, gehen die Meinungen auseinander.

  • Ich habe Verständnis für die Schwierigkeiten von Startups, aber die Lösung ist nicht, Regulierung zu schwächen, sondern intelligente Regulierung zu schaffen.
    Es braucht klare Safe Harbors für kleine Unternehmen, ein Einwilligungssystem auf Browser-Ebene und eine harte Durchsetzung gegen Dark-Pattern-CMPs.

    • „Intelligente Regulierung“ bedeutet nicht einfach, mehr Regulierung einzuführen.
      Übermäßige Regulierung hilft am Ende nur Großunternehmen, während kleine und mittlere Unternehmen daran scheitern.
    • Das Problem ist nicht die Menge der Regulierung, sondern die Unsicherheit.
      Wenn ich nicht weiß, ob ich das Gesetz korrekt einhalte, steigen die Kosten. Das gilt für Steuern, Arbeit, Umwelt, Bau und praktisch jeden anderen Bereich genauso.
    • Gesetzesentwürfe sollten wie Technik in kurzen Zyklen iterativ verbessert werden.
      Zum Beispiel könnte alle vier Monate eine Arbeitsgruppe Updates veröffentlichen und auf Basis öffentlichen Feedbacks überarbeiten, sodass eine Version 1.0 eines Rechtssystems entsteht.
    • Bedingungen und Verzweigungen in Gesetzen spielen am Ende großen Unternehmen in die Hände.
      Es wird dann so komplex wie GDPR oder OSA, und es entsteht böswillige Compliance.
      Ein einfaches und starkes Gesetz, das bei Datenlecks auch strafrechtliche Folgen vorsieht, wäre meiner Meinung nach besser.

  • Der neue Vorschlag zur Verringerung von Cookie-Bannern ist willkommen.
    Bei „risikoarmen“ Cookies würden Pop-ups verschwinden, und der Rest ließe sich über eine zentrale Browser-Steuerung verwalten.

    • Tatsächlich waren risikoarme Cookies schon bisher von Bannern ausgenommen.
      Eher sind die heutigen erzwungenen Einwilligungsbanner rechtswidrig. Dass die EU statt Durchsetzung auf Aufweichung setzt, wirkt sich negativ auf das europäische Tech-Ökosystem aus.
    • Cookie-Banner führen letztlich genau zu dem Ergebnis, das die Industrie des Datenmissbrauchs will.
      Bürger und kleine Unternehmen verlieren, während nur das große Werbe-Ökosystem profitiert.
    • Viele Banner sind schon jetzt gar nicht nötig.
      Wegen der Propaganda der Adtech-Branche missverstehen viele Menschen Tracking-Schutz. Seiten, die nur rein technische Cookies verwenden, brauchten nie ein Banner.
    • Der Header Do Not Track war viel vernünftiger.
      Heute ist Global Privacy Control als Alternative aufgekommen.
    • Am Ende gesteht auch die EU damit ein, dass ihre Cookie-Politik gescheitert ist.
      Selbst staatliche Websites hatten riesige Banner.

  • Dass sich Cookies im Browser steuern lassen, ist die naheliegende Richtung.
    Altersverifikation sollte genauso auf OS-Ebene gelöst werden.
    Wenn Websites Ausweise sammeln, führt das am Ende nur zu Hacks und Datenlecks.
    Wenn Eltern das Gerät ihrer Kinder auf „Kid Mode“ stellen, sollte das Gesetz diesen Modus einfach respektieren.

    • Ich bin aber auch bei datenschutzwahrender Verifikation skeptisch.
      Wenn Datenquellen zusammengeführt werden, besteht das Risiko, dass Nutzer identifizierbar werden. Vielleicht liegt es daran, dass ich mich mit der kryptografischen Umsetzung nicht gut genug auskenne, aber ich habe trotzdem ein ungutes Gefühl.
    • Auch OS-Funktionen bergen Risiken. Man sollte an die Zeit denken, als in Korea ActiveX erzwungen wurde.
      Besser wäre es, wenn der Staat einen offenen digitalen Identitätsdienst bereitstellt und die Authentifizierung per 2FA erfolgt.
    • Ein solcher Ansatz könnte zu einem indirekten Verbot von Open-Source-Lösungen werden.
      Am Ende landet man womöglich bei einer Logik wie „nur kommerzielle Betriebssysteme mit Secure Boot sind erlaubt“.
    • Ein „guter Kid Mode“ müsste so einfach und eindeutig sein wie dieses Lego-Telefon.
    • Der frühere P3P-Standard sollte solche Automatisierung eigentlich ermöglichen, aber Google hat das kaputtgemacht.

  • Angesichts dieser Cookie-Hölle zu schlussfolgern, dass „Regulierung schlecht ist“, ist schwer nachvollziehbar.
    Das eigentliche Problem ist mangelnde Durchsetzung. Hätte man Dark Patterns tatsächlich mit Bußgeldern belegt, wäre es nie so weit gekommen.
    Die EU sollte im Gegenteil viel härter durchgreifen.

    • Ich will allerdings auch kein von Politikern und Anwälten entworfenes Internet.
      Regulierung auf diesem Niveau kann Kreativität ersticken.
    • Vorschriften befolgt man nicht wegen der Bußgelder, sondern weil sie Gesetz sind.
      Über Vor- und Nachteile von Regulierung zu sprechen, ist etwas anderes als über Geldstrafen zu reden.
    • Selbst die staatlichen Websites der EU sind voller Cookie-Banner. Auch sie wollen Daten.

  • Für Europa ist diese Veränderung sehr wichtig.
    Ich habe mehr als 100 Startups beraten, und EU-Unternehmen klagen, dass sie wegen der Regulierung kaum noch Luft bekommen.

    • Ich frage mich, wofür diese Startups die Nutzerdaten verwendet haben.
    • Für mich ist der Schutz personenbezogener Daten aber deutlich wichtiger als Startups.
      Wenn man damit nicht verantwortungsvoll umgehen kann, sollte man sie gar nicht erst verarbeiten. Vertrauen der Menschen ist entscheidend.
    • Ehrlich gesagt ist GDPR-Compliance nicht schwer.
      Das Problem ist Inkompetenz, nicht Regulierung. Unternehmen, die verantwortungslos mit Daten umgehen, verdienen keinen Erfolg.

  • Europa wird wegen der Lobbyisten immer schwächer.
    Politiker wie Ursula sind da keine Ausnahme.

    • Eigentlich machen Lobbyisten die ganze Welt schwächer.
      Wir brauchen stärkere Finanzregulierung als Regulierung für Politiker.
    • KI-Forschung braucht große Datenmengen, und GDPR wirkt in die entgegengesetzte Richtung.
      Deshalb haben Länder mit lockererer Datenregulierung Vorteile.
      Es wirkt so, als erkenne die EU ihren eigenen Wettbewerbsnachteil und versuche ihn zu entschärfen.

  • Dieser Vorschlag geht jetzt in das Genehmigungsverfahren durch das Europäische Parlament und die 27 Mitgliedstaaten.
    Beschlossen ist noch nichts.

  • Bei GDPR darf es keine Zugeständnisse geben.
    Das Problem mit Cookie-Bannern entstand, weil Website-Betreiber sich für Dark Patterns entschieden haben.
    Die EU hätte dagegen vielmehr entschieden vorgehen müssen.
    Eine zentrale Browser-Steuerung könnte eine verbesserte Version von Do Not Track sein, aber rechtliche Verbindlichkeit ist zwingend nötig.

    • Die meisten Menschen wollen Cookies in Wahrheit gar nicht.
      Ich halte es für besser, den Einsatz nicht essenzieller Cookies gesetzlich zu verbieten.
    • Die Steuerung sollte nicht im Browser, sondern auf OS-Ebene erfolgen.
      Auch Apps verfolgen Daten, daher wäre es ideal, die Nutzer nur einmal in den Geräteeinstellungen zu fragen und es dabei zu belassen.