Gut, eigentlich eine Nachricht aus dem Dezember 2025 – aber mit Wucht, die sollte nicht untergehen: Die EU-Kommission nimmt ein Update der DSGVO in Angriff! Mit einem umfassenden Maßnahmenpaket unter dem Schlagwort „Digital Omnibus“ sollen Unternehmen entlastet und Innovationsbedingungen verbessert werden – u.a. durch Entschlackung der DSGVO, Straffung der Gesetze für KI und Cybersicherheit, eine Strategie für eine europäische Datenunion sowie die Einführung sogenannter European Business Wallets. Das sogenannte Omnibus-Verfahren wählen Gesetzgeber, wenn sie mehrere bestehende Gesetze in einem Rutsch ändern wollen – hier neben der DSGVO auch den Data Act und den AI Act. Eigentlich sollte die DSGVO erst in diesem Jahr überprüft werden, aber jetzt gab es wohl Druck und Drohungen aus den USA und man sah sich gezwungen, schnell zu handeln.
Im Datenschutzbereich soll die Definition der personenbezogenen Daten konkretisiert und an die jüngste Rechtsprechung des EuGH zu pseudonymen Daten angenähert werden. Die neue Definition soll klarstellen, dass das Datenschutzrecht dort keine Anwendung findet, wo Personen überhaupt nicht identifiziert werden können, weil sie sich z.B. in Foren hinter Pseudonymen verbergen. Dies könnte aber zu komplizierten subjektiven Einzelfall-Entscheidungen führen, ob die DSGVO nun konkret anwendbar ist oder nicht.
Meldepflichten sollen mit dem „Digital Omnibus“ gebündelt, die Schwellen für meldepflichtige Ereignisse erhöht und Meldefristen von 72 auf 96 Stunden verlängert werden. Auch die Regeln zu Cookies sollen modernisiert werden und (angeblich) zu weniger Bannern führen und zentral steuerbare Einwilligungen ermöglichen. Nutzer sollen Tracking-Cookies mit einem Klick ablehnen können müssen und die Webseiten-Betreiber sollen sich diese Entscheidungen ein halbes Jahr lang merken. Auch Art. 35 DSGVO soll so geändert werden, dass einheitlich festgeschrieben wird, welche Datenverarbeitungen eine Datenschutz-Folgenabschätzung erfordern und welche nicht.
Da die Geltendmachung von Auskunftsansprüchen & Co. häufiger dazu genutzt wird, um die Gegenseite zu ärgern oder Aufwand zu bereiten, schlägt die Kommission vor, die Nutzung des Auskunftsrechts auf „Datenschutzzwecke“ zu beschränken. Ein zweischneidiges Schwert – denn dies würde auch bedeuten, dass etwa ein Arbeitgeber im Rahmen eines arbeitsrechtlichen Streits einen Antrag auf Auskunft als „missbräuchlich“ ablehnen könnte, wenn er z.B. unbezahlte Arbeitszeit (nicht) beweisen möchte. Oder wenn man – aus finanziellem Interesse – seine (falschen) Bonitätsdaten überprüfen/korrigieren/löschen möchte, um bei der Bank einen billigeren Kredit zu erhalten. Auch Journalisten oder Forscher könnten betroffen sein. Dabei hat der EuGH mehrfach entschieden, dass man Auskunftsrechte nach Art. 15 DSGVO zu jedem Zweck ausüben kann – auch für Rechtsstreitigkeiten oder zur Beweisführung.
Weiterhin soll in der DSGVO ein Artikel 88c ergänzt werden, mit dem sich KI-Anbieter künftig auf die Rechtsgrundlage des „berechtigten Interesses“ berufen dürfen, wenn sie personenbezogene Daten fürs Training ihrer Modelle nutzen. Eine Einwilligung (opt-in) wäre dann nicht erforderlich, lediglich ein aktiver Widerspruch möglich (opt-out). Wenn die Anbieter einige Schutzmechanismen einbauen, sollen sogar sensible Daten etwa zur Gesundheit genutzt werden dürfen. Und die Regeln des AI Act zu Hochrisiko-KI-Systemen sollen bis zu 16 Monate später als geplant wirksam werden. Damit sollen wohl europäische KI-Start-Ups gefördert werden – am Ende profitieren aber vermutlich eher wieder Meta, OpenAI, Google & Co.
Die Reaktionen zum Digitalen Omnibus könnten kaum weiter auseinanderklaffen: Sie reichen von „mehr technische Reform als politische Kehrtwende“ über eine Warnung vor einem „trojanischen Pferd“ bis hin zu „der größte Angriff auf die digitalen Rechte der Europäer seit Jahren“. Die letzte Warnung kam von Max Schrems. Er kritisiert, dass die bei EU-Gesetzen eigentlich übliche Folgenabschätzung oder Evidenzerhebung weggelassen wurde und die Kommission offenbar alle Hindernisse beseitigen will, die die Nutzung personenbezogener Daten (z. B. von Daten aus sozialen Medien) für KI einschränken könnten.
Aber noch ist nichts in Stein gemeißelt – der Abstimmungsprozess zwischen den EU-Institutionen beginnt jetzt erst. Die Datenschutzkonferenz hat auch schon Wünsche angemeldet und möchte u.a., dass Hersteller und Anbieter digitaler Produkte stärker zu „Datenschutz durch Design“ verpflichtet werden, damit kleine und mittlere Unternehmen bei Auswahl und Einsatz solcher Produkte nicht mehr die datenschutzrechtliche Hauptlast tragen; die Anbieter sollen haften. Auch Auftragsverarbeiter sollen verpflichtet werden, ihre Dienste von vornherein datenschutzkonform auszugestalten. So würden mittelständische Unternehmen entlastet, weil sie sich von vorn herein darauf verlassen können, dass Ihre genutzten Programme datenschutzkonform sind. In Sachen KI fordert die DSK, dass Betroffene ausdrücklich über deren Einsatz informiert werden müssen und dass ein Auskunftsrecht über die Verarbeitung ihrer Daten durch KI verankert wird.
In der DSGVO heißt es: „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz.“ In der Praxis sind jedoch viele Fragen ungeklärt – und auch unter Eltern hochumstritten. Umso besser, dass es endlich ein aktuelles Rechtsgutachten mit belastbaren Handlungsempfehlungen gibt.
Apropos Schutz von Kindern: Auf diesen zielt(e) ja auch das Vorhaben der sogenannten „Chatkontrolle“ ab – in der Position, auf die sich die EU-Staaten jetzt geeinigt haben, kommt sie nun ohne die Kontrolle irgendwelcher Chats aus: Die verpflichtende Durchleuchtung privater Kommunikation wurde gestrichen; stattdessen setzt der EU-Rat auf ein System aus Risikobewertung und -klassifizierung von Diensten sowie auf Präventionsmaßnahmen. Auch die Regelungen zu verpflichtenden Erkennungsanordnungen wurden entfernt. Es besteht aber weiterhin Kritik an den freiwilligen Kontrollmöglichkeiten, den Altersüberprüfungen und den vorgesehenen Sperr- und Löschanordnungen. Zudem soll die bisher befristete Ausnahmeregelung für freiwillige Scans dauerhaft ins Recht übernommen werden. Diese Themen werden nun in den Verhandlungen zwischen Rat, Parlament und Kommission debattiert.
Zum Schluss wenden wir uns zur Abwechslung einmal wieder dem Thema Bußgelder zu: Erstens musste Vodafone 45 Millionen Euro zahlen, weil es zum einen Sicherheitsmängel beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone-Hotline gab. Die aufgedeckten Schwachstellen ermöglichten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte. Zum anderen war es u.a. zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen durch böswillig handelnde Mitarbeitende in Partneragenturen zulasten von Kunden gekommen. Vodafone hat diese Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft und überwacht (Art. 28 Abs. 1 S. 1 DSGVO). Zu guter Letzt sprach die Bundesdatenschutzbeauftragte auch noch eine Verwarnung aufgrund eines Verstoßes gegen Art. 32 Abs. 1 DSGVO wegen festgestellter Schwachstellen in bestimmten Vertriebssystemen aus.
Zweitens wurde gegen ein dreistes Telekommunikationsunternehmen in NRW ein Bußgeld von 300.000 Euro verhängt. Es verschickte unaufgefordert personalisierte Werbeschreiben samt Namen, Adresse und Festnetznummer. Durch die Aufmachung der Schreiben und die Namensähnlichkeit zu einem anderen, sehr bekannten Telekommunikationsanbieter war vielen Verbrauchern nicht klar, dass es sich um einen Anbieterwechsel für ihren Telefon- und Internetvertrag handelte. Ein weitgehend vorausgefüllter Auftrag zum Vertragsabschluss und zur Kündigung des aktuellen Vertrags wurden gleich mitgeliefert. Man sollte nur noch seine IBAN eintragen und unterschreiben. Viele taten dies in dem Glauben, es handele sich um einen anderen Tarif bei ihrem bisherigen Anbieter. Und wenn sie den Schwindel widerrufen oder kündigen wollten, wurden sie von dem Unternehmen mit der Forderung einer Schadensersatzpauschale überzogen.
Mit den Kunden ging man ebenso ignorant um wie mit der Datenschutzbeauftragten von NRW: Auf Auskunftsansprüche der Betroffenen über die Verarbeitung ihrer Daten gab es einfach keine Antwort, Wünsche nach Löschung oder Widersprüche gegen die Datenverarbeitung wurden ignoriert. Außerdem waren in den Werbebriefen nicht die vorgeschriebenen Informationen über die Datenverarbeitung, etwa Angaben zum Verantwortlichen für die Datenerhebung und den Datenschutzbeauftragten, enthalten. Wie das Unternehmen überhaupt an die Daten gekommen war, konnte oder wollte es nicht transparent darlegen. Und auch die Beschwerdeverfahren verliefen sehr schleppend; trotz klarer gesetzlicher Mitwirkungspflichten und vieler Erinnerungen kooperierte das Unternehmen kaum mit der Landesdatenschutzbeauftragten, sodass diese nun die Strafzahlung verhängte.
Auch andere europäische Datenschutzbehörden waren nicht untätig und haben Bußgelder u.a. gegen eine Bank in Italien, ein Telekommunikationsunternehmen in Kroatien und zwei Banken in Finnland verhängt. In Madrid wurde Meta zur Zahlung von 479 Millionen Euro an 87 spanische Digital-Medienhäuser wegen „unlauterer Konkurrenz“ verurteilt. Denn der Facebook-Mutterkonzern hatte zwischen 2018 und 2023 Nutzerdaten ohne gültige Einwilligung zur gezielten Werbung verwendet und damit einen Wettbewerbsvorteil gegenüber etablierten Medienunternehmen erlangt.