Es ist ein wenig Ruhe eingekehrt, seitdem die Europäische Kommission im November ihre neuen Vorschläge ihrer europäischen Digitalstrategie vorgestellt hat. Der große Knall ist ausgeblieben. Vieles, was verkündet wurde, sickerte bereits im Vorfeld durch. Ob das Reformpaket, also die vorgeschlagenen Ideen zur Aktualisierung bestehender Vorschriften für Datenschutz, Datennutzung, künstliche Intelligenz und Cybersicherheit, gemäß des lateinischen Wortursprungs (omnibus = u. a. „für alle“) nun aber auch tatsächlich für alle etwas parat hält, scheint fraglich. Erste kritische Stimmen sind bereits zu vernehmen, denen die geplanten Neuerungen nicht weit genug gehen, falsche Schwerpunkte gesetzt wurden oder Datenverarbeitungen mit KI-Systemen zu leicht legitimiert werden. Gerade mit Blick auf die in der Praxis höchst relevanten Themen „Betroffenenrechte“ und „Datenpannen“ sind jedoch vielversprechende Ideen angekündigt.
Warum überhaupt Veränderung?
Gesetze und Rechtsnormen kommen immer dann schnell an ihre Grenzen, wenn der Zahn der Zeit oder die Auswirkungen in der Praxis zeigen, dass die Rechtsvorschriften in ihrer ursprünglichen Idee und Gestalt nicht vollends oder nicht mehr passend auf tagesaktuelle Sachverhalte anwendbar sind.
Ziel der Reform der europäischen Digitalregulierung ist es, den bestehenden EU-Vorschriften im digitalen Wirkungskreis (wo notwendig) endlich den benötigten neuen Anstrich zu verpassen, einst gesponnene Geflechte verschiedenster Rechtsnormen zu entwirren und an den Stellen wieder mehr Rechtsklarheit und Präzision zu schaffen, an denen sie über Jahre immer mehr verloren ging oder Gerichte durch praxisuntaugliche Entscheidungen strittige Diskurse und ratlose Verantwortliche zurückließen. Mit ihrem Modernisierungspaket will die Europäische Kommission nun wieder mehr Einfachheit und Praktikabilität in die europäischen Rechtsakte bringen, zeitgleich aber auch Innovation und mehr Wettbewerbsfähigkeit ermöglichen sowie besonders KMU entlasten.
Hilfreiche Informationen zum „digitalen Paket“, insbesondere auch zu den geplanten Veränderungen im Bereich der KI-Verordnung und der Cybersicherheit, stellt die Europäische Kommission in einer FAQ-Liste zusammen.
Welche Vorschläge sieht die Kommission für den europäischen Datenschutz vor (verkürzt)?
Präzisierung „personenbezogener Daten“, insbesondere mit Blick auf pseudonyme Daten
Aufgrund der Rechtsprechung des Europäischen Gerichtshofs (EuGH) zur Definition personenbezogener Daten ist aus Sicht der Europäischen Kommission eine Präzisierung erforderlich, wann eine natürliche Person als identifizierbar gilt. Hiernach müssen personenbezogene Daten im Sinne der DSGVO nur dann als solche betrachtet werden, wenn die verarbeitende Stelle vernünftigerweise über die Mittel verfügt, die betroffene Person zu identifizieren. Pseudonymisierte Daten sollen für datenverarbeitende Stellen dann nicht als personenbezogen gelten, wenn diese wiederum keine Möglichkeit zur Re-Identifizierung haben, selbst wenn woanders identifizierende Informationen existieren (alte Debatte um den relativen und absoluten Personenbezug).
Anpassungen im Bereich Betroffenenrechte
Der Vorschlag der Europäischen Kommission stellt den nach der DSGVO Verantwortlichen die Möglichkeit zur Verfügung, die Umsetzung von Auskunftsersuchen von betroffenen Personen abzulehnen oder eine angemessene Gebühr dafür zu erheben, wenn die Ersuchen nicht zu mit der DSGVO vereinbarten Zwecken gestellt werden (z. B. reine Beweissicherung zur Vorbereitung eines arbeitsgerichtlichen Prozesses).
Konkretisierungen im Bereich DSFA
Die Europäische Kommission nimmt den Europäischen Datenschutzausschuss (EDSA) verstärkt in die Pflicht und weist ihm eine zentrale Rolle bei der Vereinheitlichung von Datenschutz-Folgenabschätzungen (DSFA) zu. Konkret soll der EDSA Black- und White-Lists herausgeben, die einheitlich festlegen, welche Verarbeitungsvorgänge verpflichtend eine DSFA erfordern und welche nicht. Zudem soll der EDSA eine Methodik zur Durchführung einer DSFA entwickeln. Ziel ist es, konsistentere Kriterien und Vorgaben festzuhalten und Verantwortlichen klare und strukturierte Anleitungen zur DSFA-Durchführung an die Hand zu geben.
Reformierung der Meldeverpflichtungen
Der Vorschlag der Europäischen Kommission sieht des Weiteren eine Änderung von Art. 33 Abs. 1 DSGVO vor und hebt die Risikoschwelle für Meldungen auf das Niveau des Art. 34 DSGVO an. Hiernach müssten nur noch jene Datenschutzverletzungen gemeldet werden, die voraussichtlich zu einem hohen Risiko für natürliche Personen führen. Derzeit werden die Risikoanforderungen deutlich niedriger angesetzt.
Die Frist für meldepflichtige Datenschutzverletzungen soll zudem zukünftig auf 96 Stunden erhöht werden. Zudem soll der EDSA hier neben einem einheitlichen Muster für die Meldung von Datenschutzverletzungen eine Auflistung von Fällen bzw. Sachverhalten erstellen, in denen eine Meldeverpflichtung anzunehmen ist. Um neuen Bedrohungen der Informationssicherheit Rechnung zu tragen, wird empfohlen, die gemeinsame Vorlage und die Liste mindestens alle drei Jahre zu überprüfen.
Darüber hinaus soll eine zentrale Anlaufstelle eingeführt werden. Diese Stelle soll zukünftig nicht nur die Meldepflichten nach der DSGVO abdecken, sondern auch solche, die sich aus anderen Rechtsakten wie z. B. NIS2 und DORA ergeben. Ziel ist es, die Meldeverfahren zu konsolidieren, um auch hier vereinfachte Umstände für die Verantwortlichen zu schaffen.
Aufgreifen datenschutzrechtlicher KI-Themen
Nach intensiven Diskussionen mit Aufsichtsbehörden und der Privatwirtschaft stellt der Vorschlag der Europäischen Kommission klar, dass die Verarbeitung personenbezogener Daten zur Entwicklung und zum Betrieb von KI-Modellen explizit als ein mögliches berechtigtes Interesse anerkannt wird. Auf Basis der hierfür möglichen Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO können somit Opt-out-Modelle entwickelt und etabliert werden, die in der Praxis schwierig umsetzbare Einwilligungs-Prozesse (Opt-in) ablösen sollen. Zudem soll ein neuer Erlaubnistatbestands für das KI-Training mit sensiblen Daten gemäß Art. 9 DSGVO geschaffen werden, der als klare Vorgabe hat, dass der Verantwortliche geeignete am Schutzbedarf der Daten ausgerichtete technische und organisatorische Maßnahmen wirksam umgesetzt hat.
Erleichterungen beim Tracking
Überdies verortet der Vorschlag der Europäischen Kommission die Verarbeitung personenbezogener Daten durch Cookies, SDKs und weiteren Tracking-Technologien nunmehr ausschließlich in der DSGVO, wonach grundsätzlich ein Einwilligungserfordernis besteht. Ausnahmen ohne Einwilligungen sind nur zur Erstellung aggregierter Reichweitenmessungen (durch den Verantwortlichen selbst) und zur Sicherheitswiederherstellung zulässig. Erteilt ein Nutzer seine Einwilligung nicht, soll der Verantwortliche für denselben Zweck sechs Monate lang nicht erneut nach Zustimmung fragen dürfen.
Was sagen die Aufsichtsbehörden?
In Person der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) kritisieren die deutschen Aufsichtsbehörden (DSK) die „zu Rechtsunsicherheiten“ führenden Vorschläge der Europäischen Kommission in ihrer Pressemitteilung vom 12.12.2025 indes als „nicht bis zu Ende gedacht“. Zusätzlich führe das Paket nicht zur Entlastung von KMU und dem Bürokratieabbau und enthalte nicht nur kleinere, redaktionelle Veränderungen, sondern fundamentale Anpassungsvorschläge, die einen weitaus größeren zeitlichen Umsetzungsprozess bedürfen.
Zudem hat die DSK zwei eigene Vorschläge für gezielte Anpassungen der DSGVO vorgebracht: Gesetzliche Festlegung von spezifischen Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systeme sowie, stärkere Berücksichtigung der Rechte betroffener Personen beim KI-Einsatz, z. B. durch gesetzliche Festlegung einer ausdrücklichen Informationspflicht des Verantwortlichen über den Einsatz eines KI-Systems.
Die Vorschläge der Europäischen Kommission werden nun intensiv mit den europäischen Kollegen diskutiert und alsdann wird eine gemeinsame Stellungnahme veröffentlicht.
Ausblick
Wie ein zu enges Kleidungsstück zwickt und drückt die Umsetzung der DSGVO in der Praxis an einigen Stellen – und das schon seit ihrer Geburtsstunde. Umso mehr ist es zu begrüßen, dass die Europäische Kommission praxisrelevante Veränderungen, wie die Novellierung des Meldewesens und die erweiterten Befugnisse bei missbräuchlichen Auskunftsersuchen, direkt adressiert und vorantreibt. Sollten die Vorschläge vom europäischen Gesetzgeber angenommen werden, verspricht dies die versprochene Entlastung an praxisrelevanten Stellen. Aber auch hier ist zu erkennen, was in der datenschutzrechtlichen Praxis überall feststellbar ist: Datenschutz ist ein Prozess, der immer noch eher langfristig als kurzfristig gedacht wird und umsetzbar ist. Getreu dem Motto: „Gut Ding will (muss) (auch hier) Weile haben“, hoffen alle Beteiligten, dass am Ende für Viele wirklich vieles besser wird.
18. Dezember 2025 @ 11:10
Viel sinnvoller als das Absenken von Standards wäre die bessere Verzahnung und Vereinheitlichung der über 100 Rechtsakte im Digitalbereich.
Das ist aber keine Sache, die man innerhalb von 4 Wochen zusammenstellt, wie laut einzelner Parlamentarier die zuständigen Personen in der EU-Kommission für diesen Vorschlag Zeit hatten.