Die Verbände der Caritas sind wichtige Säulen der sozialen Infrastruktur in Deutschland und unterstützen den Ansatz des Draghi-Berichts, Produktivitätswachstum mit starker sozialer Inklusion zu verbinden.
Für den Deutschen Caritasverband sind in der Bewertung der Verordnungsvorschläge zwei Leitfragen entscheidend:
- Werden die vorgeschlagenen Änderungen den gemeinnützigen, mehrheitlich kleinen und mittelgroßen Organisationen der Caritas die digitalisierte Arbeit erleichtern?
- Werden die vorgeschlagenen Änderungen einen hohen Datenschutz und Schutz vor Diskriminierung für benachteiligte und vulnerable Personengruppen (die die Caritas-verbände mit ihrer Arbeit unterstützen) gewährleisten?
Die Kernforderungen des DCVs für den Digital-Omnibus zu Daten (2025/0360) sind:
1. Klare Vorgaben, Bündelung der Regeln und Zuständigkeiten
Verschiedene EU-Gesetze (wie die Open-Data-Richtlinie oder die Daten-Governance- Verordnung), in dem Datengesetz passend zusammenzuführen wäre eine Vereinfachung für Träger. Die Einrichtung der ENISA als zentrale Meldestelle für Cybersicherheitsvorfälle ist hilfreich. Es gilt: Je übersichtlicher und klarer anwendbar die Gesetze sind, desto mehr profitieren kleinere Organisationen. Die Co-Gesetzgeber müssen daher an jeglichen Stellen der Verordnungen sicherstellen, dass die Formulierungen und Vorgaben klar sind, und sich zudem nicht mit anderen Gesetzen aus dem Digitalgesetzbesitzstand der EU widersprechen (siehe Art. 6 Nr. 1 Digital-Omnibus-VO-Vorschlag/ Art. 23a NIS-2-RL).
2. Perrsonenbezogene Daten und Privatsphäre schützen, Art. 3 Nr. 1a entfernen
Das Niveau des Datenschutzes und des Schutzes der Privatsphäre muss hoch bleiben. Der Vorschlag, bestimmte (pseudonymisierte) personenbezogene Daten nicht mehr als personenbezogene Daten zu behandeln, sofern eine Rückidentifizierung unwahrscheinlich ist, führt für viele Träger zu großer Unsicherheit, was die einfache Datennutzung verhindert. Auch für Klient:innen als Datensubjekte, deren sensible personenbezogenen Daten verarbeitet werden, entstünden keine nennenswerten Vorteile. Art. 3 Nr. 1a des Digital-Omnibus-VO-Vorschlag sollte gelöscht werden (siehe Art. 3 Nr. 1 Digital-Omnibus-VO-Vorschlag/ Art. 4 Nr. 1 DSGVO; Art. 3 Nr. 10 Digital-Omnibus-VO-Vorschlag / Art. 41a DSGVO).
3. Mehr (Rechts)Sicherheit über Pflichten durch "Umsetzungslisten"
Ein hilfreicher Vorschlag sind die Durchführungsrechtsakte auf Grundlage von Listen des Europäischen Datenschutzausschusses über Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, oder nicht durchzuführen ist. Sofern die EU-Kommission die Expertise des Ausschusses berücksichtigt und diese Listen regelmäßig erneuert werden, kann dies eine enorme Arbeitserleichterung für kleine und mittelgroße Träger der Caritas darstellen (siehe Art. 3 Nr. 9 Digital-Omnibus-VO-Vorschlag/ Art. 35 DSGVO)
4. Ein freiwilliges Zertifizierungssystem für DSGVO-konforme Produkte und Dienste
Ähnlich dem Zertifizierungssystem der ENISA für die Cybersicherheit, sollten der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftrage den Auftrag erhalten, IKT-Produkte und Dienste updatesicher, kostenfrei und für Anbieter freiwillig auf ihre DSGVO-Vereinbarkeit hin zu prüfen und zu zertifizieren. Nicht nur die Organisationen der Caritas, auch alle KMUs könnten von dieser Zertifizierung bei der Auswahl der von ihnen genutzten Produkte und Dienste sowie der erhöhten Rechtssicherheit profitieren – sie müssten nicht länger aufwendig selbst prüfen, wie z.B. im Fall von Auftragsdatenverarbeitungen (siehe Art. 42 und 43 DSGVO und Titel III des Cybersicherheitsgesetzes).
Die Kernforderungen des DCVs für den Digital-Omnibus zu KI (2025/0359) sind:
1. Fristverschiebungen verhindern
Die Regeln der KI-Verordnung für Hochrisiko-KI-Systeme sind sowohl für Träger als auch zum Schutz der oftmals benachteiligten und vulnerablen Klient:innengruppen wichtig. Die Einhaltung der Umsetzungsfristen muss oberste politische Priorität sein, d.h. die nötigen Standards und Normen müssen schnellstmöglich erarbeitet werden. Wenn eine Fristverlängerung unter keinen Umständen abgewendet werden kann, sollte für alle Hochrisiko-KI-Systeme spätestens mit dem 2. Oktober 2027 dieselbe, feste neue Frist gelten (siehe Art. 1 Nr. 31 Digital-Omnibus-KI-VO-Vorschlag/ Art. 113 Abs. 3 KI VO).
2. Genaue Vorgaben für die Verarbeitung sensibler Daten zur Erkennung und Korrektur von Verzerrungen
Die Minimierung von Verzerrungen und Diskriminierungen durch KI-Systeme ist eines der Hauptanliegen der Caritas, insbesondere bei Hochrisiko-KI-Systemen. Dass Anbieter solcher Systeme in Ausnahmen besondere Kategorien personenbezogener Daten verarbeiten dürfen, um Verzerrungen zu verhindern, ist sinnvoll. Die außerdem von der EU-Kommission vorgeschlagenen Bedingungen und die darin enthaltenden Schutzvorkehrungen für die Verarbeitung besonderer Kategorien personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen müssen in den Verhandlungen des Gesetzgebungsprozesses beibehalten werden (siehe Art. 1 Nr. 5 Digital-Omnibus-KI-VO-Vorschlag / Art 4a KI VO).
3. KI-Kompetenzen wirksam stärken
Organisationen mit der Weiterbildung ihrer Beschäftigten und ehrenamtlich Engagierten nicht alleine zu lassen ist richtig - die EU-Kommission und nationale staatliche Stellen einzubinden ist daher ein guter Vorschlag. Die Formulierungen müssen aber klarer sein und allen Akteur:innen eindeutige Vorschriften machen, Mitgliedstaaten z.B. verpflichten kostenlos zugängliche Angebote anzubieten, mit denen Grundkenntnisse über KI vermittelt werden. Arbeitgeber:innen können darauf aufbauend organisationsspezifische weitere Kompetenzen vermitteln (siehe Art. 1 Nr. 4 Digital-Omnibus-KI-VO-Vorschlag / Art. 4 KI VO).