Der digitale „Omnibus“ soll Daten nutzbar machen – und nimmt die DSGVO an Bord

Die EU-Kommission plant mit ihrem Entwurf für den „digitalen Omnibus“, das seit Längerem bestehende Spannungsverhältnis innerhalb der Regulierung der Datenwirtschaft aufzulösen. Dabei sollen bestehende Datengesetze konsolidiert und gleichzeitig eine KI-freundlichere Gesetzeslandschaft geschaffen werden. Im Fokus steht dabei die Datenschutz-Grundverordnung (DSGVO). Wird es hier eine tiefgreifende Reform und damit auch eine gewisse Abkehr vom bisher hohen Schutzniveau geben?

Die EU-Datenregulierung – gegenwärtig mit zahlreichen Facetten

Die Gesetzeslandschaft befindet sich gerade im Bereich der Digitalregulierung im stetigen Wandel; allein in diesem Jahr stehen einige bedeutende Gesetzgebungsverfahren an (siehe auch: Zum Jahreswechsel: wichtige Gesetze 2025 und 2026 im Rück- und Ausblick). Entsprechend ist auch das Regulierungsumfeld in Bezug auf Daten, insbesondere deren Schutz und Nutzbarkeit, durchaus komplex und birgt zahlreiche Facetten.

Die Komplexität resultiert auch aus den unterschiedlichen Motivationen für die neuen Gesetzesvorhaben: Der Data Governance Act als Teil der EU-Datenstrategie entspringt dem Vorhaben, die Souveränität der Dateninhabenden über die eigenen Daten in Zeiten umfangreicher Cloud-Anbieter und vernetzter Datenhaltungsmöglichkeiten zu wahren. Der Data Act hingegen soll eine faire und transparente Datennutzung ermöglichen und Datenmonopole minimieren. Der AI Act wiederum zielt darauf ab, Grenzen und Möglichkeiten bestehender und künftiger KI-Modelle und ­Anwendungen in gesetzlich geregelte Bahnen zu leiten. Hintergrund für den „Omnibus“ ist schließlich die Absicht, die verschiedenen Vorschriften zu vereinheitlichen und zu harmonisieren, indem unter anderem der Data Act und der Data Governance Act – mit weiteren einschlägigen Vorschriften – vereint und in den KI-Kontext eingefügt werden. Insofern plant die EU-Kommission gegenwärtig zwei Linien des „Omnibus“, aufgeteilt in zwei Gesetzesvorschläge bezogen auf Datenschutz und KI. Im Folgenden stehen die geplanten Modifikationen der DSGVO im Vordergrund.

Die DSGVO – eine datenschutzrechtliche Erfolgsgeschichte made in Europe

Seit ihrem Inkrafttreten im Jahr 2018 berührt die DSGVO das tägliche Leben nahezu aller Unionsbürgerinnen und -­bürger – sei es in ihrer Eigenschaft als betroffene Personen, deren Privatsphäre durch strenge Regulierung der Verarbeitung ihrer personenbezogenen Daten geschützt werden soll, oder aber in ihrer Eigenschaft als Verarbeitende personenbezogener Daten, in der sie mit zahlreichen Vorschriften und dem vielfach beschworenen „Verbot mit Erlaubnisvorbehalt“ konfrontiert werden. Gerade bei Unternehmen waren die Reaktionen auf die neue, einheitliche Regulierung in den ersten Monaten durchaus verhalten, bedurfte es doch teils langwieriger Implementierungen und einiger Resilienz in Bezug auf Rechtsunsicherheiten. Auch betroffenen Personen war die neuerliche Flut an Einwilligungserfordernissen und Informationsschreiben schwerlich als für sie positiv vermittelbar.

In den vergangenen sieben Jahren haben sich viele Ansichten spürbar geändert. Die Sensibilität für das Thema Datenschutz ist gestiegen. Viele betroffene Personen schätzen mittlerweile ihre starke Position gegenüber verarbeitenden Stellen. Auch für Unternehmen hat die DSGVO inzwischen wahrnehmbare Vorteile – sie bietet klare Vorgaben in Bezug auf den Datenschutz hinsichtlich aller involvierten Personen (z. B. Kundinnen und Kunden, Mitarbeitende, interessierte Personen). Eine repräsentative Umfrage des ZEW – Leibniz-Zentrum für Europäische Wirtschaftsforschung aus dem Jahr 2024 zeigte, dass trotz gewisser Skepsis 41 Prozent der befragten Unternehmen anlässlich des DSGVO-Inkrafttretens ihre Prozesse überprüft haben und optimieren konnten. Das europaweit einheitliche Regelungswerk verhindert insbesondere Rechtsunsicherheiten im Geschäftsverkehr innerhalb der EU und stärkt damit deutlich den Binnenmarkt und die daraus erwachsende, dynamische europäische Integration.

Dass der Regulierungsgehalt der DSGVO auch außerhalb der EU geschätzt wird, zeigt ein Blick in internationale Datenschutzgesetze: Das brasilianische „Lei Geral de Proteção de Dados Pessoais“ (LGPD), der britische Data Protection Act (DPA) und das schweizerische revidierte Datenschutzgesetz (revDSG) sind deutlich von der DSGVO inspiriert.

Die geplanten Änderungen im Kommissionsentwurf

Mit ihrem Entwurf ändert die EU-Kommission nun einige zentrale Vorschriften der DSGVO – mit dem klaren Ziel einer erweiterten Datennutzbarkeit.

1. So soll die Definition der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO um einen Passus erweitert werden, der die Einstufung von Daten als personenbezogen in Bezug auf einzelne Unternehmen ausschließt, „sofern das Unternehmen höchstwahrscheinlich nicht die Möglichkeiten hat, die natürliche Person dahinter zu identifizieren“. Im Klartext bedeutet dies vor allem die Möglichkeit, pseudonymisierte Daten außerhalb der Vorschriften der DSGVO zu verarbeiten, sofern die Pseudonymisierung nicht durch das entsprechende Unternehmen selbst vorgenommen wurde. Für die Praxis hätte eine solche Änderung weitreichende Auswirkungen: Viele der gegenwärtig als personenbezogen eingestuften Daten würden künftig nicht länger dem Regelungsgehalt der DSGVO unterliegen und deren Verarbeitungsmöglichkeiten wären unter gewissen Voraussetzungen deutlich erweitert.

2. In Bezug auf die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sollen die bestehenden Ausnahmen des grundsätzlichen Verarbeitungsverbots um zwei Anwendungsfälle erweitert werden: Zunächst soll die Verarbeitung von biometrischen Daten künftig zulässig sein, sofern diese der Identitätsbestätigung des Betroffenen dient und der Betroffene dabei die Kontrolle über die Daten und Mittel behält. Für die Praxis deutlich relevanter dürfte die zweite geplante Ausnahme sein. Es soll zukünftig die „Restverarbeitung“ besonderer Kategorien personenbezogener Daten zum Zwecke der Entwicklung und des Betriebs von KI-Modellen zulässig sein – wobei dies unter dem Vorbehalt der Implementierung technischer und organisatorischer Schutzmaßnahmen steht. Dies ermöglicht es Entwicklern und Betreibern von KI-Modellen in Zukunft, weitaus umfangreichere Daten, auch besondere Kategorien solcher Daten, in entsprechende Modelle einzupflegen. Bislang ist die Verarbeitung besonderer Kategogrien personenbezogener Daten zu diesem Zweck faktisch unzulässig.

3. Auch die Geltendmachung der Betroffenenrechte der Art. 15 ff. DSGVO soll geändert werden: Künftig könnten Verantwortliche etwa bei Auskunftsersuchen betroffener Personen Gebühren erheben oder eine Auskunft sogar vollständig verweigern, sofern Auskunftsersuchen „exzessiv“, missbräuchlich oder nachweislich nicht zum Schutz der Daten der betroffenen Person gestellt werden. Dies könnte insbesondere Unternehmen entlasten. Die geplanten Änderungen sehen hier eine Möglichkeit vor, sich künftig rechtsmissbräuchlicher Auskunftsersuchen zu erwehren – wobei die Abwehr rechtsmissbräuchlicher Auskunftsersuchen jedoch den Nachweis eines begründeten entsprechenden Verdachts voraussetzt.

4. In Bezug auf Informations- und Anzeigepflichten der Verantwortlichen sieht der Kommissionsentwurf ebenfalls Lockerungen vor. Eine Information betreffend die Datenverarbeitung an die jeweils betroffenen Personen nach Art. 13 DSGVO soll künftig nicht mehr erforderlich sein, sofern die betroffene Person „begründeten Anlass dazu hat, davon auszugehen, dass dem Verantwortlichen die Daten bereits vorliegen“.

Meldungen von Datenschutzverletzungen an die jeweils zuständige Datenschutz-Aufsichtsbehörde und betroffene Personen sollen künftig nur noch im Falle eines voraussichtlich hohen Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sein, mit einer verlängerten Meldefrist von 96 Stunden und über den „single entry“ als eine vereinfachte, zentrale Meldestelle für Cyber-Sicherheitsvorfälle und Meldepflichten des ebenfalls im Zuge des Digital Omnibus zu schaffenden Art. 23a der Richtlinie (EU) 2022/2555 (NIS-2). In der Übergangszeit bis zur Schaffung eines solchen „single entry“ soll die Meldung weiterhin direkt gegenüber der zuständigen Aufsichtsbehörde erfolgen.

Weitere Änderungspläne umfassen u. a. die Regelung zum Einsatz von Cookies innerhalb der DSGVO sowie die Bereitstellung einheitlicher Listen auf Unionsebene für Verarbeitungen, die eine Folgenabschätzung erfordern.