DSGVO-Omnibus

Der Omnibus ist unterwegs – ein Update für die DSGVO

/von

Normalerweise hört man zum Thema Datenschutz in den Nachrichten nur dann etwas, wenn irgendetwas unerwünschtes passiert. Also beispielsweise dann, wenn mal wieder ein Großunternehmen gehackt wurde oder wenn bekannt wird, dass ein Social Media Unternehmen Daten verkauft hat, selbst wenn es so in den AGB der Plattform seit Jahren beschrieben ist – liest halt niemand.

Jetzt hat es nach langer Zeit mal wieder ein Gesetzgebungsvorhaben zum Datenschutz in nahezu alle Nachrichtensendungen im TV, im Radio, in Podcasts und wer weiß wohin geschafft. Sie werden es vermutlich schon ahnen, es geht um den so genannten Omnibus. Formal im Verordnungsvorschlag der EU-Kommission heißt der übrigens „Digital Omnibus“ und ist nicht der einzige Verordnungsvorschlag, der sich um die EU-Digitalrechtsakte kümmert. Es gibt auch noch den Vorschlag zum „Digital Omnibus on AI“, der die KI-Verordnung anpassen soll. Der soll aber nicht Thema dieses Artikels sein. Wer sich für die Originaltexte interessiert, findet den Vorschlag für den Digital Omnibus hier und für den Digital Omnibus on AI hier.

Wieso eigentlich Omnibus?

Vorab vielleicht kurz ein paar Worte, wieso alle (einschließlich der EU-Kommission selbst) den Gesetzentwurf Omnibus nennen. Ein Omnibusgesetz fasst zahlreiche, oft inhaltlich unterschiedliche aber zusammenhängende Einzelregelungen, die auch mehrere Gesetze betreffen können, in einem gemeinsamen Gesetzespaket zusammen, das dann als Ganzes beraten und beschlossen wird. In der deutschen Gesetzgebungspraxis spricht man in diesem Zusammenhang häufig auch von Artikelgesetz oder Mantelgesetz. In der EU verhält es sich ebenso. Mehrere inhaltlich zusammenhängende Gesetzesänderungen werden in einem einzigen „Sammel‑Rechtsakt“ zusammengefasst. Dieser durchläuft dann als Paket das normale EU-Gesetzgebungsverfahren. Auch zum EU-Gesetzgebungsverfahren noch ein paar Informationen in Kurzform. Der Ablauf ist wie folgt geregelt: 

Schritt 1: Initiativphase (Entwurf der Kommission)

  • Die EU‑Kommission erarbeitet ein Omnibus‑Konzept, identifiziert die betroffenen Rechtsakte (in unserem Fall unter anderem die DSGVO) und erstellt einen Legislativvorschlag (neue Richtlinie, neue Verordnung oder eben auch Anpassungen an bestehenden Richtlinien oder Verordnungen).
  • Nach internen Abstimmungen und gegebenenfalls Konsultationen verabschiedet das Kollegium den Entwurf offiziell und übermittelt ihn an Parlament und Rat.

Schritt 2: Parlament und Rat bilden Positionen

  • Das EU-Parlament weist den Vorschlag dem zuständigen Ausschuss zu. Dieser berät und ändert den Vorschlag und beschließt eine Parlamentsposition. Anschließend stimmen Plenum und Fraktionen darüber ab.
  • Parallel beraten die Mitgliedstaaten im Rat und einigen sich auf eine Ratsposition.

Schritt 3: Trilog und politische Einigung

  • Liegen Positionen von Parlament und Rat vor, beginnen die Trilog‑Verhandlungen zwischen Parlament, Rat und Kommission, um einen gemeinsamen Kompromisstext zu finden.
  • Einigen sich die Institutionen politisch, wird dieser Kompromiss anschließend noch einmal formell von Parlament und Rat beschlossen (Endabstimmungen).

Schritt 4: Veröffentlichung, Inkrafttreten, Anwendung

  • Nach Annahme wird der Rechtsakt im Amtsblatt der EU veröffentlicht; meist tritt er 20 Tage nach Veröffentlichung in Kraft.
  • Bei Richtlinien läuft dann eine Umsetzungsfrist für die Mitgliedstaaten, während Verordnungen unmittelbar gelten, allerdings sind häufig Übergangs‑ oder Anwendungsfristen für Unternehmen definiert. Bei der DSGVO waren das beispielsweise zwei Jahre.

Letztlich haben wir mit dem Omnibusgesetz also ein ganz normales Gesetzgebungsverfahren der EU mit der Besonderheit, dass nicht ein einzelner neuer Rechtsakt beschlossen werden soll, sondern zahlreiche kleinteilige Änderungen an bestehenden Rechtsakten.

Damit wären wir dann bereit zum Einsteigen in den Omnibus (Ok, versprochen, das war das einzige Dadjoke-Wortspiel zum Begriff Omnibus in diesem Artikel) und können uns die einzelnen Themen vornehmen:

Die EU-Digitalregulierung wird überarbeitet

Die zahlreichen Verordnungen der EU-Digitalregulierung sind über einen langen Zeitraum entstanden und dadurch nicht immer optimal auf einander abgestimmt. An einigen Stellen könnte man sogar von Überregulierung sprechen. Betrachtet man dann noch, dass diese Verordnungen unter anderem das Ziel haben, den digitalen Binnenmarkt der EU zu stärken und zu fördern, erkennt man recht schnell, dass hier gelinde gesagt Verbesserungspotenzial schlummert. Ziel des Digital-Omnibus ist somit auch die Simplifizierung des Digitalrechts.

Wir schauen uns in diesem Beitrag die Änderungen der DSGVO an (also Art. 3 des Omnibus), die anderen Anpassungen, beispielsweise im DataAct, der gerade erst in Kraft getreten ist und sich in zahlreichen Unternehmen aktuell in Umsetzung befindet, betrachten wir hier nicht.

Jetzt aber… Los geht’s. 

Schärfung des Begriffs der personenbezogenen Daten und Ergänzung weiterer Begriffsdefinitionen

„Endlich!“ möchten wir förmlich schreien. Der Begriff der personenbezogenen Daten soll geschärft werden. Insbesondere geht es darum, wann Daten nicht personenbezogen, also aus Sicht eines Empfängers anonym sind, selbst wenn sie aus Sicht anderer gegebenenfalls „nur“ pseudonym sein sollten. Der Entwurf sieht vor, dass zukünftig der sogenannte relative Ansatz gilt. Mehr dazu, was dieser relative Ansatz ist, finden Sie unserem Beitrag hier. Falls Sie sich jetzt fragen, warum uns das so zum Jubeln bringt, verweisen wir auf das unsägliche Urteil 582/14 des EuGH vom 19.10.2016 zum Personenbezug von IP-Adressen. Die Entscheidung damals lautete sinngemäß: Wenn es jemanden gibt, mit deren*dessen Hilfe herausgefunden werden kann, wer hinter einer IP-Adresse steckt, dann gilt dies als personenbezogenes Datum. Dabei war es unerheblich, dass diese*r Jemand üblicherweise ein Provider ist, der mit richterlichem Beschluss gezwungen werden muss, die Identität der hinter der IP-Adresse stehenden Person offenzulegen. Kein „normales“ Unternehmen, das nicht als Provider agiert, war und ist ohne diese Hilfe in der Lage herauszufinden, wer sich hinter einer IP-Adresse verbirgt. Dies wäre nur dann ausnahmsweise der Fall, wenn es sich um eine IP-Adresse aus dem internen Netzwerk des Unternehmens selbst handeln würde. In einem solchen Fall könnten die internen Administrator*innen von der IP-Adresse direkt auf die dahinterstehende Person schließen. Bei öffentlichen IP-Adressen, die vom Provider vergeben werden, ist dies jedoch nicht möglich.

Interessanterweise wird die Definition personenbezogener Daten in Art. 4 Nr. 1 DSGVO nicht  geändert, sondern lediglich mit einer Klarstellung ergänzt, die sich ein bisschen liest, als würde die Kommission hier direkt auf das damalige Urteil des EuGH reagieren. Wir haben den Text einmal übersetzt, bitte beachten Sie, dass diese Übersetzung Fehler oder Fehlinterpretationen enthalten kann, dieser Hinweis gilt auch für alle nachfolgenden Übersetzungen.

Informationen über eine natürliche Person sind nicht unbedingt personenbezogene Daten für jede andere Person oder Einrichtung, nur weil eine andere Einrichtung diese natürliche Person identifizieren kann. Informationen sind für eine bestimmte Einrichtung nicht personenbezogen, wenn diese Einrichtung die natürliche Person, auf die sich die Informationen beziehen, unter Berücksichtigung der von dieser Einrichtung vernünftigerweise zu erwartenden Mittel nicht identifizieren kann. Solche Informationen werden für diese Einrichtung nicht personenbezogen, nur weil ein potenzieller späterer Empfänger über Mittel verfügt, die vernünftigerweise zur Identifizierung der natürlichen Person, auf die sich die Informationen beziehen, eingesetzt werden können.

Mit dem Umschwenken auf den relativen Bezug bei anonymen Daten könnten zumindest öffentliche IP-Adressen zukünftig dann als nicht-personenbezogene Daten angesehen werden, was zahlreiche Folgethemen „beenden“ würde. Beispielsweise Abmahnungen, weil die IP-Adresse beim Abruf eines Services, eines Bilds oder von was auch immer in einem unsicheren Drittstaat gelandet ist.

Neben dem Begriff der personenbezogenen Daten sollen weitere Begriffe in Art. 4 DSGVO definiert werden. Dies wären „Terminal Equipment“, „Elektronische Kommunikationsnetzwerke“, „Webbroser“, „Mediendienste“, „Mediendiensteanbieter“, „Onlineschnittstelle“ und „wissenschaftliche Forschung“. Für die meisten wird einfach auf die Definitionen in unterschiedlichen anderen Rechtsakten der EU verwiesen. Lediglich für die wissenschaftliche Forschung wird eine vollständige Definition in der neuen Nr. 38 der Definitionen eingeführt (grob von uns übersetzt):

„Wissenschaftliche Forschung“ bezeichnet jede Forschung, die auch Innovationen unterstützen kann, wie beispielsweise technologische Entwicklung und Erprobung. Diese Aktivitäten sollen bestehende wissenschaftliche Erkenntnisse erweitern oder vorhandenes Wissen auf neue Weise anwenden, mit dem Ziel durchgeführt werden, zum Wachstum des allgemeinen Wissens und Wohlergehens der Gesellschaft beizutragen, und den ethischen Standards im jeweiligen Forschungsbereich entsprechen. Dies schließt nicht aus, dass die Forschung auch kommerziellen Interessen dienen kann.

Damit wird der bislang eher eng ausgelegte Begriff der wissenschaftlichen Forschung stärker in Richtung unternehmerischer Produktentwicklungen geöffnet. Wir sind gespannt, wie die Begründungen der Unternehmen, bis hin zu den Social Media Riesen, aussehen werden, dass die Datenverarbeitung, auch besonderer Kategorien personenbezogener Daten, für Forschungszwecke erforderlich ist. Wir denken hier insbesondere auch an den Erlaubnistatbestand aus Art. 9 Abs. 2 lit. j DSGVO.

Ergänzung weiterer Erlaubnistatbestände für die Verarbeitung besonderer Kategorien personenbezogener Daten

A propos Art. 9 DSGVO… Die Verarbeitung besonderer Kategorien personenbezogener Daten wird in Art. 9 Abs. 1 DSGVO bekanntlich allgemein verboten. Art. 9 Abs. 2 DSGVO definiert dann einzelne, sehr eng auszulegende Ausnahmen von diesem allgemeinen Verarbeitungsverbot. Diese Ausnahmen (bislang gib es lit. a bis lit. j) wird ergänzt um zwei weitere, die wir ebenfalls einmal grob übersetzt haben.

k) Verarbeitung im Zusammenhang mit der Entwicklung und dem Betrieb eines KI-Systems im Sinne von Artikel 3 Nummer 1 der Verordnung (EU) 2024/1689 oder eines KI-Modells unter den in Absatz 5 genannten Bedingungen;

l) die Verarbeitung biometrischer Daten ist zum Zwecke der Bestätigung der Identität einer betroffenen Person (Überprüfung) erforderlich, wenn die biometrischen Daten oder die für die Überprüfung erforderlichen Mittel unter der alleinigen Kontrolle der betroffenen Person stehen.

Ergänzt wird der neue Buchstabe k dann durch den neuen Absatz 5:

5. Für die in Absatz 2 Buchstabe k genannte Verarbeitung sind geeignete organisatorische und technische Maßnahmen zu ergreifen, um die Erhebung und sonstige Verarbeitung besonderer Kategorien personenbezogener Daten zu vermeiden. Stellt der Verantwortliche trotz der Umsetzung solcher Maßnahmen fest, dass in den für Schulungs-, Test- oder Validierungszwecke verwendeten Datensätzen oder im KI-System oder KI-Modell besondere Kategorien personenbezogener Daten enthalten sind, so muss er diese Daten entfernen. Erfordert die Entfernung dieser Daten einen unverhältnismäßigen Aufwand, so schützt der Verantwortliche diese Daten in jedem Fall unverzüglich und wirksam davor, dass sie zur Erzeugung von Ergebnissen verwendet, offengelegt oder auf andere Weise Dritten zugänglich gemacht werden.

Insbesondere die Erlaubnis zur Verarbeitung besonderer Kategorien personenbezogener Daten für die Entwicklung und den Betrieb eines KI-Systems halten wir für bedeutsam aber auch bedenklich. Der ebenfalls ergänzte Absatz 5 soll dafür sorgen, dass die in diesem Zusammenhang verarbeiteten Daten nicht versehentlich oder durch Fehler wieder aus dem System ausgegeben werden können. Wir halten diese Regel jedoch für problematisch, könnte sie doch letztlich dafür sorgen, dass die Daten nicht nur im KI-System bzw. im Modell an sich gespeichert sind, sondern zusätzlich auch noch in nachgeschalteten Filtern verarbeitet werden müssen. Hier sind unseres Erachtens Fehler mit unter Umständen unzumutbaren Folgen für die betroffenen Personen vorprogrammiert.

Die im neuen Buchstaben l vorgenommene Ergänzung, dass biometrische Identifizierung zulässig ist, sofern die betroffene Person die dafür benötigten Daten unter ihrer Kontrolle hat, halten wir für sinnvoll, fragen uns allerdings auch, wie das funktionieren soll, wenn die Daten, gegen die bei der Identifizierung abgeglichen werden soll, von der zu identifizierenden Person „mitgebracht“ werden müssen. Das kann eigentlich nur funktionieren, wenn diese Daten zuvor von einer vertrauenswürdigen Stelle fälschungssicher auf dem Identifikationsmedium gespeichert wurden, also zum Beispiel mit Personalausweisen oder Pässen.

Schärfere Definition des exzessiven oder missbräuchlichen Gebrauchs der Rechte der betroffenen Personen

Vielleicht kennen Sie das bereits aus eigener Erfahrung: Betroffene Personen nutzen die Rechte der betroffenen Personen nicht immer nur, weil es wirklich sinnvoll ist. Manchmal (nach unserer Erfahrung meistens) werden die Anfragen, insbesondere Auskunftsanfragen, gestellt, weil die betroffene Person mit irgendetwas unzufrieden ist und nun zurück ärgern möchte. Für diese Fälle sollen die diesbezüglichen Regeln des Art. 12 Abs. 5 DSGVO nun ausführlicher formuliert werden (Übersetzung und Hervorhebungen von uns):

Die gemäß den Artikeln 13 und 14 bereitgestellten Informationen sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und 34 sind kostenlos zur Verfügung zu stellen. Sind Anträge einer betroffenen Person offensichtlich unbegründet oder übermäßig, insbesondere aufgrund ihres wiederholten Charakters oder, bei Anträgen gemäß Artikel 15, weil die betroffene Person die durch diese Verordnung gewährten Rechte für andere Zwecke als den Schutz ihrer Daten missbraucht, kann der Verantwortliche entweder:
(a) eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bereitstellung der Informationen oder Mitteilungen oder für die Durchführung der beantragten Maßnahmen erheben; oder
(b) die Bearbeitung des Antrags ablehnen.

Der Verantwortliche trägt die Beweislast dafür, dass der Antrag offensichtlich unbegründet ist oder dass berechtigte Gründe für die Annahme bestehen, dass er übertrieben ist.

Interessant ist die Formulierung „bei Anträgen gemäß Artikel 15, weil die betroffene Person die durch diese Verordnung gewährten Rechte für andere Zwecke als den Schutz ihrer Daten missbraucht„, wird hier doch ausgeschlossen, eine Auskunft bzw. Datenkopie anzufordern, wenn man die Daten für andere Zwecke als rein datenschutzrechtliche nutzen möchte. Beliebt war beispielsweise, bei Banken eine Auskunft anzufordern, um einen kostenfreien Zweitdruck verlorengegangener Kontoauszüge zu bekommen. Zukünftig müssten zumindest andere Gründe vorgeschoben werden und die betroffenen Personen müssen aufpassen, bei den Anfragen nicht zu viele Informationen über die Hintergründe preiszugeben. Wir vermuten allerdings, dass die geschärften Regelungen keine wirklich großen Auswirkungen haben werden, außer gegebenenfalls weitere Beschäftigung der Gerichte aufgrund einer höheren Anzahl abgelehnter Auskunftsanfragen.

Entlastung bei den Informationspflichten

Hier wollen wir schon wieder jubeln! Alle, die im Rahmen der Beratung schon mit uns zu tun hatten oder als Beschäftigte*r einer unserer Mandantinnen eine Schulung bei uns gemacht haben, kennen unsere Haltung zu den wirklich vollkommen übertriebenen und praxisfernen Informationspflichten der Art. 13 und 14 DSGVO. Das soll sich jetzt grundlegend ändern. Dafür werden die Ausnahmen von der Informationspflicht, bislang nur sehr knapp geregelt in Art. 13 Abs. 4 DSGVO, erweitert (Sie kennen das jetzt schon: Grobe Übersetzung, kann Fehler und Spuren von Nüssen enthalten):

Die Absätze 1, 2 und 3 gelten nicht, wenn die personenbezogenen Daten im Rahmen einer klaren und begrenzten Beziehung zwischen den betroffenen Personen und einem für die Verarbeitung Verantwortlichen erhoben wurden, der eine nicht datenintensive Tätigkeit ausübt, und wenn berechtigter Grund zu der Annahme besteht, dass die betroffene Person bereits über die in Absatz 1 Buchstaben a) und c) von Absatz 1 bereits verfügt, es sei denn, der Verantwortliche übermittelt die Daten an andere Empfänger oder Kategorien von Empfängern, übermittelt die Daten in ein Drittland, führt eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absatz 1 durch oder die Verarbeitung kann ein hohes Risiko im Sinne von Artikel 35 für die Rechte und Freiheiten der betroffenen Personen zur Folge haben.

Bei risikoarmen Verarbeitungen, von deren Existenz die betroffenen Personen bereits wissen, muss also nicht weiter informiert werden, es sei denn die verarbeiteten Daten werden in ein Drittland übermittelt, es finden automatisierte Entscheidungsfindungen oder Profiling statt.

Achtung: Diese Erleichterungen gelten nur, sofern die Daten direkt bei der betroffenen Person erhoben werden/wurden. Werden Daten bei Dritten erhoben, bleibt es bei den ausführlichen Informationspflichten des Art. 14 DSGVO ohne jegliche Erleichterung.

Und für die Verarbeitung zu wissenschaftlichen Forschungszwecken (s. oben) wird Art. 13 DSGVO um einem neuen Absatz 5 ergänzt:

Wenn die Verarbeitung zu wissenschaftlichen Forschungszwecken erfolgt und die Bereitstellung der in den Absätzen 1, 2 und 3 genannten Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde, vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien, oder soweit die in Absatz 1 dieses Artikels genannte Verpflichtung die Erreichung der Ziele dieser Verarbeitung wahrscheinlich unmöglich machen oder ernsthaft beeinträchtigen würde, muss der Verantwortliche die in den Absätzen 1, 2 und 3 genannten Informationen nicht bereitstellen. In solchen Fällen trifft der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Veröffentlichung der Informationen.

Es wird also auch für die Forschung eine Ausnahme von der Informationspflicht des Art. 13 DSGVO eingeführt. Auch hier: Wenn die Daten nicht direkt bei der betroffenen Person erhoben werden, muss weiter gemäß Art. 14 DSGVO informiert werden. Dennoch: Wir befürchten, dass hier ein weiterer Anreiz geschaffen wird, die wissenschaftliche Forschung häufiger als Verarbeitungszweck im Rahmen eigentlich wirtschaftlicher Interessen vorzuschieben.

Verlängerung der Meldefrist für Verletzung des Schutzes personenbezogener Daten („Datenpannen“)

Was sollen wir sagen, wir kommen aus dem Jubeln gar nicht mehr raus. Und bei diesem Thema dürften jetzt auch die Aufsichtsbehörden in kollektive Ekstase geraten.

Alle, die schon einmal mit einer Datenpanne (in Art. 33 DSGVO als „Verletzung des Schutzes personenbezogener Daten“ bezeichnet) zu tun hatten, kennen die zwei außerordentlich unbequemen Faktoren im Umgang mit solchen Datenpannen:

  • Die Meldepflicht solcher Pannen an die zuständige Datenschutzaufsichtsbehörde, die eigentlich fast keine Ausnahmen kennt.
  • Die meist viel zu kurze Frist von 72 Stunden (also exakt drei Tag ab entdecken der Panne) für diese Meldung.

Und beide Themen sollen laut dem Verordnungsvorschlag angegangen werden: Zum einen soll die Meldefrist von 72 auf 96 Stunden verlängert werden. Und zum anderen soll eine Meldung zukünftig nur noch erforderlich sein, wenn das Risiko für die betroffenen Personen hoch ist. Damit wäre ein enorm großer Anteil an Datenpannen nicht mehr meldepflichtig. Achtung: An der Dokumentationspflicht des Art. 33 Abs. 5 DSGVO wird hier nichts geändert, diese bleibt also unverändert für 100% aller Datenpannen bestehen. Dennoch dürfte damit sowohl für die Verantwortlichen als auch für die Aufsichtsbehörden eine große (insbesondere für die Aufsichtsbehörden wirklich sehr große) Entlastung kommen. Hier noch die Übersetzung des Vorschlags für den neu gefassten Art. 33 Abs. 1 DSGVO:

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, meldet der Verantwortliche die Verletzung des Schutzes personenbezogener Daten unverzüglich und, soweit möglich, spätestens 96 Stunden nach Bekanntwerden über die gemäß Artikel 23a der Richtlinie (EU) 2022/2555 eingerichteten einzigen Anlaufstelle der gemäß Artikel 55 und Artikel 56 zuständigen Aufsichtsbehörde mit. Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb von 96 Stunden, so ist sie mit einer Begründung für die Verzögerung zu versehen.

Die im Entwurfstext erwähnte „gemäß Artikel 23a der Richtlinie (EU) 2022/2555 eingerichteten einzigen Anlaufstelle der gemäß Artikel 55 und Artikel 56 zuständigen Aufsichtsbehörde“ gibt es aktuell noch nicht. Daher wird auch ein neuer Abs. 1a eingeführt, der eine Übergangsregelung bis zu deren Einrichtung enthält: Bis dahin müssen die Meldungen wie bisher an die Datenschutzaufsichtsbehörden gerichtet werden. Es geht hierbei um die Zusammenlegung der Verantwortlichkeiten seitens der Behörden, da auch aus anderen Verordnungen und Richtlinien der EU Meldepflichten ähnlicher Art resultieren.

EU-weit einheitliche Muss- und „Braucht-nicht“-Listen für die Datenschutz-Folgenabschätzung

In Art. 35 Abs. 4 bis 6 DSGVO werden die Listen geregelt, welche sowohl die Verarbeitungstätigkeiten enthalten, für die immer eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist und die Verarbeitungstätigkeiten, für die nie eine DSFA durchgeführt werden muss. Damit haben wir nicht nur in 27 Mitgliedsstaaten unterschiedliche Listen, sondern in Deutschland den Overkill mit potenziell unterschiedlichen Listen von Bundesland zu Bundesland. Mit diesem Overkill soll zukünftig nach dem Wunsch der EU-Kommission Schluss sein. Statt zahlreicher voneinender abweichender Listen soll es zukünftig in der EU zentrale Listen für „muss“ und „braucht nicht“ geben, die in allen Mitgliedsstaaten gleichermaßen gelten.

Cookies! Cookie-Banner! Weg damit! Doch nicht!

Wenn Sie bis hierhin gelesen haben: Vielen Dank, Sie halten viel aus. Zur Belohnung kommt jetzt das Thema, das es bis in die Nachrichten geschafft hat. Vorab: Wir finden diese Regelungen nicht nur nicht spektakulär, sondern befürchten, dass wir zukünftig weiterhin ohne Ende von Einwilligungsbannern belästigt werden, wenn es keine Änderungen an der Einwilligungsverwaltungsverordnung (EinwV) gibt. Den Grund können Sie hier nachlesen.

Das ganze Thema „Cookies“ (eigentlich Speicherung von Daten auf den Endgeräten der Nutzer*innen, das bezieht sich eben nicht nur auf Cookies, sondern auf jegliche Speicherung, mehr dazu hier) wird sehr knapp geregelt in § 25 TDDDG und stellt letztlich die Umsetzung des deutschen Bundesgesetzgebers der diesbezüglichen Regelungen der ePrivacy-Richtlinie der EU dar. Diese Richtlinie sollte bereits im Jahr 2018 gemeinsam mit Inkrafttreten der DSGVO durch eine neue ePrivacyverordnung ersetzt werden. Die Verhandlungen dazu sind aus unterschiedlichen Gründen mehrfach gescheitert, so dass diese Nachfolgeverordnung bis heute noch nicht einmal mehr in Form eines aktuellen Entwurfs existiert. Die EU-Kommission erkennt das Scheitern offenbar an und hat in den Verordnungsentwurf des Digital Omnibus einen Art. 88a aufgenommen, der das Thema „Speicherung auf und Auslesen von Daten aus einem Nutzer*innenendgerät“ in die DSGVO integrieren soll. 

Dieser neue Artikel regelt allerdings passend zur DSGVO ausschließlich die Speicherung und das Auslesen von personenbezogenen Daten und damit nur eine Untermenge dessen, was in § 25 TDDDG geregelt wird. Hier wäre abzuwarten, wie der deutsche Gesetzgeber darauf reagiert und ob § 25 TDDDG dann noch einmal diesbezüglich angepasst wird.

Interessant ist die Regelung des Entwurfs des Art. 88a Abs. 4 lit. c: Dort wird festgelegt, dass bei Ablehnung der lokalen Speicherung oder des Auslesens von Daten für einen Zeitraum von 6 Monaten nicht erneut gefragt werden darf. Das ist eine aus unserer Sicht positive Regelung, denn aktuell gibt es Webseiten, die nach einer Ablehnung bei jedem neuen Aufruf der Seite oder schlimmer noch, bei jedem Aufruf einer weiteren Unterseite, wieder nach der Einwilligung fragen. Aus unserer Sicht ist das unzulässiges Nudging (siehe auch hier, letzter Absatz vor dem Fazit), daher würden wir uns über eine Regelung freuen, die das endlich in Form einer Rechtsnorm EU-weit umsetzt.

In diesem Zusammenhang ist auch der neue Art. 88b im Entwurf interessant. Dieser beschäftigt sich mit der automatisierten Übermittlung von Einwilligungen bzw. der Ablehnung. Hier könnte zukünftig aus der DSGVO eine Regelung „querschießen“, die unseren größten Kritikpunkt an der deutschen EinwV behebt, nämlich die Optionalität bei der Beachtung der Nutzer*innenwünsche. Der Entwurf des Art. 88b verpflichtet die Verantwortlichen, solche automatisiert übermittelten gegebenen oder eben verweigerten Einwilligungen zu beachten.

KI-Training mit personenbezogenen Daten

Als letzter Punkt kommt aus unserer Sicht noch einmal ein Aufreger. Der Entwurf des neuen Art. 88c stellt klar, dass die Entwicklung und das Training von KI-Systemen ein berechtigtes Interesse darstellen können (Übersetzung grob und von uns):

Ist die Verarbeitung personenbezogener Daten für die Interessen des Verantwortlichen im Zusammenhang mit der Entwicklung und dem Betrieb eines KI-Systems im Sinne von Artikel 3 Nummer 1 der Verordnung (EU) 2024/1689 oder eines KI-Modells erforderlich, so kann diese Verarbeitung für berechtigte Interessen im Sinne von Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 verfolgt werden, sofern nicht andere Rechtsvorschriften der Union oder der Mitgliedstaaten ausdrücklich eine Einwilligung vorschreiben und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.

Solche Regelungen finden sich sonst eher in den Erwägungsgründen (siehe zum Beispiel ErwG 47 zur DSGVO, letzter Satz oder ErwG 48 zur DSGVO). Hier möchte die EU-Kommission es in den Verordnungstext aufnehmen, was unseres Erachtens eine andere Qualität hat. Insbesondere vor dem Hintergrund der oben beschriebenen Ergänzung eines Erlaubnistatbestands zur Verarbeitung besonderer Kategorien personenbezogener Daten für Entwicklung und Betrieb von KI-Systemen könnte hier das Tor zur Hölle geöffnet werden. Wir hoffen sehr auf eine angepasste und strengere Regelung im Rahmen des Trilogverfahrens.

Diverses

Und dann gibt es noch ein paar weitere Anpassungen im Verordnungsentwurf die aber keine direkten Auswirkungen auf die Unternehmen haben oder sich auf selten genutzte Spezialthemen beziehen. Da wären zum Beispiel:

  • Stärkung des Europäischen Datenschutzausschusses (EDSA);
  • Klarstellung, dass automatisierte Entscheidungsfindung für die Erfüllung eines Vertrags als erforderlich erachtet werden kann, selbst wenn die Entscheidung auch von einer Person getroffen werden könnte.

Fazit: Es wird dauern und es wird Änderungen geben

Wie Sie sehen, hat der Digital-Omnibus es wirklich in sich. Neben der DSGVO werden zahlreiche EU-Richtlinien und Verordnungen modifiziert. In diesem Beitrag sind wir nur auf diejenigen Themen eingegangen, für die wir uns als Datenschützer*innen interessieren. Die weiteren im Rahmen des Omnibus anstehenden Änderungen in anderen Rechtsnormen der EU sind jedoch nicht weniger relevant.

Bitte behalten Sie im Hinterkopf, dass das Gesetzgebungsverfahren mit dem Vorschlag der EU-Kommission noch bei Weitem nicht abgeschlossen ist. Es stehen noch die Positionen von Parlament und Rat aus mit dem daran anschließendem Trilog. Warten wir also ab, welche Änderungen der aus dem Trilog resultierende Text der Verordnung dann haben wird. Sofern es dramatische oder auch nur relevante Änderungen sind, werden wir weiter berichten.

Das könnte Dich auch interessieren
whatsapp trustpid telegram signalMessengerdienst Telegram verstößt gegen die DSGVO
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichSchadenersatz für den Einsatz von Google Fonts auf der Webseite
Das dritte Geschlecht im Bereich des Datenschutzes
schadenersatz betroffenenrechte auskunftsrecht löschrechtBetroffenenrechte – Beginn der Frist zur Beantwortung
berechtigungen zugriff führungskraft chefWelche Daten dürfen Führungskräfte und Kolleg*innen sehen?
private kontaktdaten beschäftigte mangelnde einbindung dsb datenschutzbeauftragter anonymisierungBußgelder wegen mangelnder Einbindung der*des Datenschutzbeauftragten