Mit dem Digital Omnibus wagt die EU einen neuen Anlauf, ihr bislang stark fragmentiertes Digital- und Datenschutzrecht übersichtlicher und praxistauglicher zu gestalten. Zahlreiche Vorschriften gelten derzeit nebeneinander, ohne aufeinander abgestimmt zu sein, was zu Überschneidungen und Widersprüchen führt. Das Reformpaket soll insbesondere DSGVO, KI-VO und ePrivacy-Vorschriften präzisieren und miteinander harmonisieren.
Ziel ist es, Unternehmen den Zugang zu Daten als wichtige Innovationsressource zu erleichtern, ohne dabei das hohe Schutzniveau für Bürger, Privatsphäre und Geschäftsgeheimnisse zu gefährden.
Für die DSGVO sieht die Kommission dabei mehrere zentrale Klarstellungen vor:
- eine geschärfte Definition personenbezogener Daten,
- klare Regeln für deren Nutzung im Rahmen von KI sowie
- eine Vereinfachung bestimmter Pflichten wie Datenschutz-Folgenabschätzungen und Meldungen von Datenschutzverletzungen.
Am Schutzstandard selbst ändert sich nichts, denn alle Anpassungen werden von strengen Sicherheitsmechanismen flankiert.
Wichtige Inhalte der Reform
Personenbezug & Anonymisierung
Der Digital Omnibus sieht eine präzisere Auslegung des Begriffs „personenbezogene Daten“ vor, ohne das hohe Schutzniveau der DSGVO zu verändern. Künftig soll stärker berücksichtigt werden, ob ein konkreter Verantwortlicher oder Auftragsverarbeiter tatsächlich in der Lage ist, einen Personenbezug herzustellen. Kann ein Akteur die betreffende Person nicht identifizieren, gelten die Daten für ihn als nicht-personenbezogen.
Damit greift der Entwurf auch ein aktuelles Urteil des Europäischen Gerichtshofs auf und überführt dessen Grundsätze in Gesetzesform. Danach dürfen Datensätze freigegeben und genutzt werden, wenn der Empfänger sie nicht re-identifizieren kann. Der Digital Omnibus schafft hierfür eine klare Abgrenzung zwischen Anonymisierung und Pseudonymisierung – eine notwendige Reaktion auf steigende technische Re-Identifizierungsrisiken. Maßgeblich ist künftig, ob Daten vernünftigerweise einer Person zugeordnet werden können. Verantwortliche, die Datensätze pseudonymisieren, unterliegen weiterhin sämtlichen Pflichten der DSGVO.
Transparenzpflichten
Der Digital Omnibus sieht eine Vereinfachung von Transparenzpflichten für einfache Verarbeitungen und präzisere Anforderungen für komplexe oder mehrstufige Datenverarbeitungsprozesse (z. B. KI-Training) vor. Verantwortliche sollen missbräuchliche Auskunftsanfragen ablehnen dürfen.
KI-Training mit personenbezogenen Daten
Auch für das Training von KI-Systemen mit personenbezogenen Daten bringt der Digital Omnibus wichtige Klarstellungen. Die Rechtsgrundlagen der DSGVO bleiben unverändert bestehen und sind zu erfüllen. Außerdem dürfen personenbezogene Daten nur verarbeitet werden, wenn die Verarbeitung weder gegen EU-Recht noch gegen nationales Recht verstößt.
Grundsätzlich kann das Training von KI ein berechtigtes Interesse darstellen, allerdings bleibt es bei einer sorgfältigen Interessenabwägung und der Pflicht, sämtliche Datenschutzanforderungen einzuhalten. Zentral ist zudem die Frage der Zweckbindung: Die Nutzung personenbezogener Daten für KI-Training ist nur dann zulässig, wenn sie kompatibel zur ursprünglichen Zweckbestimmung ist. Transparenz spielt dabei eine entscheidende Rolle, denn Betroffene müssen klar erkennen können, ob und in welchem Umfang ihre Daten zum Training eines Modells verwendet werden. Bei erhöhten Risiken sind zusätzliche technische und organisatorische Schutzmaßnahmen erforderlich. Der Vorschlag stellt ausdrücklich sicher, dass Betroffene jederzeit ein uneingeschränktes Widerspruchsrecht gegen diese Verarbeitung haben.
Besondere Aufmerksamkeit richtet der Entwurf auf sensible Kategorien personenbezogener Daten. Hintergrund ist, dass KI-Training in der Praxis kaum vollständig ohne Daten auskommt, aus denen sich mittelbar Rückschlüsse auf geschützte Merkmale ziehen lassen. Da der EuGH den Kreis solcher sensiblen Daten sehr weit gefasst hat, betrifft dies eine Vielzahl von Daten, aus denen sich indirekt sensible Merkmale erschließen lassen. Der Digital Omnibus versucht hier einen realistischen Rahmen zu schaffen, der den Einsatz und das Training von KI in Europa ermöglicht, ohne die Schutzstandards der DSGVO aufzuweichen.
Integration und Neufassung der Cookie-Regelungen
Der Digital Omnibus verfolgt das Ziel, die allgegenwärtigen Cookie-Banner deutlich zu reduzieren. Dafür sollen bestimmte Zwecke, wie die eigene statistische Reichweitenmessung eines Diensteanbieters oder Maßnahmen zur Sicherheit eines Dienstes, künftig ohne Einwilligung zulässig sein. Für diese Fälle wäre das Setzen von Cookies also nicht mehr zustimmungspflichtig. Gleichzeitig sollen Nutzer:innen davor bewahrt werden, ständig neue Einwilligungsanfragen zu erhalten. Sie sollen ihre Datenschutzpräferenzen zentral und automatisiert festlegen können. Die neuen Regeln sollen echte Wahlmöglichkeiten schaffen: Ein vereinfachtes Design, klare Vorgaben zur Gestaltung von Einwilligungen und die Pflicht, einen „Single-Click“-Button zum vollständigen Ablehnen aller Cookies anzubieten, sollen das Nutzererlebnis spürbar verbessern. Entscheidungen müssen zudem mindestens sechs Monate lang beachtet werden. Damit ebnet der Digital Omnibus auch den Weg für technologische Lösungen, die Datenschutzpräferenzen zentral verwalten und den Umgang mit Cookies weiter vereinfachen.
All dies erfolgt analog zu dem hohen Schutzniveau der DSGVO. Verstöße gegen die neuen Nutzerrechte könnten künftig zu Geldbußen von bis zu 4 % des weltweiten Unternehmensumsatzes führen.
Fazit
Der Digital Omnibus stärkt die Kontrolle der Nutzer und schafft mit zentralen Cookie-Einstellungen und One-Click-Ablehnung spürbare Entlastung. Zugleich sterbt er die Harmonisierung von DSGVO und KI-VO durch klarere Risikoklassifizierungen und präzisere Regeln zu Datenqualität, Bias und Datensatznutzung an – eine technische Weiterentwicklung ohne Absenkung des Schutzniveaus. Für Unternehmen bedeutet das mehr Rechtssicherheit bei Datenklassifikation, Zweckbindung und Transparenzpflichten; für Betroffene mehr Verständlichkeit und Nachvollziehbarkeit der Datenverarbeitung. Die Vorschläge markieren damit einen wichtigen ersten Schritt hin zu einem wirksameren und konsistenteren europäischen Digitalrechtsrahmen.
Ihre persönlichen Ansprechpartnerinnen
Sie haben Fragen zur KI-VO oder Interesse an unserem AI-Governance-Workshop? Melden Sie sich gerne – wir freuen uns auf den Austausch mit Ihnen.
