EDPB-Report: „Recht auf Vergessenwerden“ in der Praxis oft mangelhaft

Die europäischen Datenschutzbehörden legen einen kritischen Prüfbericht zum „Recht auf Vergessenwerden“ vor – und stemmen sich gleichzeitig gegen eine Aufweichung des Datenschutzes auf EU-Ebene. Die Woche markiert eine entscheidende Phase für die Zukunft der DSGVO.

Kernrecht mit Schwachstellen

Im Fokus steht das Recht auf Löschung nach Artikel 17 der DSGVO. Ein neuer Report des Europäischen Datenschutzausschusses (EDPB) zeigt nun, wie Unternehmen dieses Recht in der Praxis umsetzen – oder vielmehr: wo sie scheitern. Der Bericht fasst eine koordinierte Überprüfung von 32 nationalen Aufsichtsbehörden zusammen.

Das Ergebnis ist eindeutig: Viele Organisationen haben erhebliche Schwierigkeiten, Löschanträge korrekt und vollständig zu bearbeiten. Die Behörden identifizieren systematische Mängel und geben konkrete Empfehlungen für bessere Compliance. Für Unternehmen dient der Report als dringende Handlungsanleitung.

Die irische Datenschutzkommission (DPC), eine der einflussreichsten Aufsichtsbehörden, begrüßte die Veröffentlichung. Ihr Fokus liegt 2026 bereits auf dem nächsten großen Thema: den Transparenz- und Informationspflichten der DSGVO.

Abwehrschlacht um den Datenschutz-Kern

Während die Aufseher die bestehenden Regeln schärfen, wird gleichzeitig an den Grundfesten der Verordnung gerüttelt. EDPB und der Europäische Datenschutzbeauftragte (EDPS) haben eine gemeinsame Stellungnahme zur geplanten „Digital Omnibus Regulation“ der EU-Kommission abgegeben.

Darin lehnen sie Änderungen an der Definition von „personenbezogenen Daten“ entschieden ab. Die vorgeschlagenen Neuregelungen würden den Begriff nach Ansicht der Behörden unzulässig verengen und stünden im Widerspruch zur ständigen Rechtsprechung des Europäischen Gerichtshofs (EuGH).

Besonders kritisch sehen die Datenschützer Pläne, der Kommission die Befugnis zu geben, zu entscheiden, wann pseudonymisierte Daten ihren Schutzstatus verlieren. Der EuGH hatte erst kürzlich klargestellt: Pseudonymisierte Daten bleiben personenbezogen, solange eine Re-Identifizierung realistisch möglich ist.

KI-Entwicklung und legitime Interessen

Auch bei der Frage nach der Rechtsgrundlage für neue Technologien wie Künstliche Intelligenz (AI) positionieren sich die Behörden klar. In ihrer Stellungnahme zeigen sie sich offen für Innovation, betonen aber den bestehenden rechtlichen Rahmen.

„Legitime Interessen“ könnten bereits heute eine valide Rechtsgrundlage für die Entwicklung und den Betrieb von KI-Modellen bilden, so die Behörden. Spezielle neue Erlaubnistatbestände seien nicht zwingend nötig. Diese Einschätzung stützt sich auf eine fortschreitende Auslegung des Begriffs durch die Gerichte: Auch rein kommerzielle Interessen können ausreichen, wenn sie in einer strengen Abwägung mit den Rechten der Betroffenen stehen.

Behörden signalisieren Offenheit für KI – trotzdem bringt die EU-KI-Verordnung zahlreiche Pflichten für Entwickler und Betreiber mit sich. Ein kostenloses E-Book fasst die Anforderungen, Risikoklassifizierungen und Dokumentationspflichten kompakt zusammen und erklärt die wichtigsten Übergangsfristen für Unternehmen. Ideal für Datenschutzverantwortliche und Entwickler, die KI-Modelle rechtssicher umsetzen wollen. Kostenlosen KI-Umsetzungsleitfaden herunterladen

Neue Wege im Streitverfahren

Die Durchsetzung der DSGVO wird nicht nur strenger, sondern auch justizförmiger. Ein aktuelles EuGH-Urteil bestätigt, dass Unternehmen verbindliche Beschlüsse des EDPB in grenzüberschreitenden Fällen direkt vor Gericht anfechten können.

Diese Entscheidung schafft mehr Rechtssicherheit im komplexen „One-Stop-Shop“-Verfahren und stärkt die gerichtliche Kontrolle über die höchste Datenschutzinstanz. Für multinationale Konzerne eröffnet sich damit ein klarerer Rechtsweg bei Streitigkeiten mit mehreren nationalen Behörden.

Was bedeutet das alles für die Zukunft? Der Streit um die „Digital Omnibus Regulation“ wird die europäische Datenschutzlandschaft noch lange beschäftigen. Das Arbeitsprogramm des EDPB für 2026-2027 setzt weiter auf Vereinfachung, Einheitlichkeit und Zusammenarbeit. Die Botschaft an die Wirtschaft ist klar: Die DSGVO ist kein statisches Regelwerk, sondern ein lebendiges Recht, das fortwährend ausgelegt, angewendet und verteidigt werden muss.