EU-Datenschutz: Brüssel plant revolutionäre DSGVO-Reform

Die Europäische Kommission wagt den größten Umbau der Datenschutz-Grundverordnung seit deren Einführung. Mit dem „Digital Omnibus”-Paket sollen Unternehmen spürbar entlastet werden – ohne die Grundpfeiler des Datenschutzes zu opfern. Doch reichen die Reformen wirklich aus?

Während Rechtsexperten und Wirtschaftsverbände die gestern veröffentlichten Details analysieren, wird das Ausmaß der geplanten Änderungen deutlich. Das Reformpaket will den Flickenteppich digitaler Gesetze – von KI-Verordnung bis Data Act – harmonisieren und gleichzeitig konkrete Erleichterungen schaffen. Längere Meldefristen für Datenpannen und eine Neudefinition personenbezogener Daten stehen im Zentrum.

Eine der greifbarsten Änderungen betrifft die Meldepflicht bei Datenpannen. Bislang müssen Unternehmen nach Artikel 33 der DSGVO binnen 72 Stunden ihre Aufsichtsbehörde informieren. Das „Digital Omnibus”-Paket verlängert diese Frist auf 96 Stunden.

Die zusätzlichen 24 Stunden sollen Firmen mehr Zeit geben, Vorfälle gründlich zu untersuchen, bevor der regulatorische Alarm ausgelöst wird. Gleichzeitig will die Kommission die Meldefristen mit jenen für die Benachrichtigung betroffener Bürger angleichen.

Die EU-KI-Regeln betreffen jetzt auch Unternehmen, die KI-Modelle mit personenbezogenen Daten trainieren. Wer Kennzeichnungs-, Risikoklassen- und Dokumentationspflichten übersieht, riskiert Bußgelder und Nachforderungen. Unser kostenloser Umsetzungsleitfaden zur EU-KI-Verordnung erklärt praxisnah, wie Sie Ihr System klassifizieren, die richtigen Nachweise erstellen und Übergangsfristen einhalten. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Noch wichtiger könnte die geplante zentrale Meldestelle werden. Statt separate Berichte für DSGVO, NIS2-Richtlinie (Cybersicherheit) und DORA (digitale Resilienz) einzureichen, sollen Unternehmen künftig nur noch ein einziges Formular über ein EU-Portal absenden. Das „einmal melden, überall teilen”-Prinzip könnte doppelte Bürokratie bei Cyberangriffen eliminieren.

Grünes Licht für KI-Training

Die Reform adressiert auch den Spagat zwischen Datenschutz und Künstlicher Intelligenz. Laut einer Analyse des Legal Tribune Online vom 28. November schafft der Entwurf neue rechtliche Grundlagen für die KI-Entwicklung.

Der Vorschlag klärt, dass Training, Test und Validierung von KI-Systemen generell auf „berechtigtem Interesse” (Artikel 6 Absatz 1 Buchstabe f DSGVO) basieren können. Die oft unpraktikable Einwilligung von Millionen Menschen, deren Daten in Trainingsdatensätzen stecken könnten, würde damit entfallen.

Zusätzlich plant die Kommission einen neuen Artikel 9 Absatz 5 der DSGVO. Dieser würde die Verarbeitung sensibler Daten wie Gesundheits- oder biometrischer Informationen speziell zur Erkennung und Korrektur von Verzerrungen in KI-Modellen erlauben – ein entscheidender Schritt für faire und diskriminierungsfreie Algorithmen.

Personenbezogene Daten neu gedacht

Die rechtlich bedeutsamste Verschiebung ist die Hinwendung zu einer „relativen” Definition personenbezogener Daten. Der Vorschlag kodifiziert aktuelle Rechtsprechung des Europäischen Gerichtshofs: Daten gelten nur dann als personenbezogen, wenn der jeweilige Verantwortliche tatsächlich über die Mittel verfügt, die Person zu identifizieren.

Wäre die Identifizierung unverhältnismäßig aufwendig oder rechtlich verboten, fallen die Daten für dieses spezifische Unternehmen aus dem DSGVO-Anwendungsbereich. Firmen, die pseudonymisierte Daten ohne den „Schlüssel” zur Re-Identifizierung erhalten, könnten künftig von vielen DSGVO-Pflichten befreit sein.

Diese Änderung dürfte den Datenaustausch und die Nutzung anonymisierter Informationen erheblich erleichtern.

Schluss mit der Cookie-Müdigkeit

Das „Digital Omnibus”-Paket will auch die berüchtigte „Einwilligungs-Erschöpfung” bekämpfen. Die Cookie-Regelungen sollen von der ePrivacy-Richtlinie direkt in die DSGVO wandern. Der Reformentwurf sieht Ausnahmen für nicht-invasive Cookies vor – etwa für Reichweitenmessung oder Sicherheitszwecke.

Nutzer müssten dann nicht mehr für jeden technischen Tracker auf „Akzeptieren” klicken. Eine Erleichterung, die längst überfällig erscheint.

Wirtschaft fordert mehr Mut

Die Reaktionen aus der deutschen Wirtschaft fallen verhalten positiv aus. Ralf Wintergerst, Präsident des Digitalverbands Bitkom, kritisierte das Paket als zu zaghaft: „Der digitale Omnibus fährt in die richtige Richtung, bleibt aber nach kurzer Strecke stehen.”

Während Bitkom die zentrale Meldestelle begrüßt, fordert der Verband radikalere Entbürokratisierung, um Europas Wettbewerbsfähigkeit wirklich zu stärken. Strukturelle Hürden wie der hohe Aufwand bei Auskunftsrechten und Auftragsverarbeitung blieben unangetastet.

Fahrplan bis 2026

Der Gesetzgebungsprozess steht erst am Anfang. Der Vorschlag wandert nun ins Europäische Parlament und den Rat. Verhandlungen werden voraussichtlich im ersten Quartal 2026 beginnen.

Während die 96-Stunden-Regel und die zentrale Meldestelle auf breite Zustimmung stoßen dürften, werden die Änderungen bei der Definition personenbezogener Daten und beim KI-Training harte Debatten mit Datenschützern provozieren. Kann Brüssel den Spagat zwischen Innovation und Privatsphäre wirklich meistern?

Unternehmen sollten sich bereits jetzt auf mögliche Änderungen ab 2026 vorbereiten. Eine Reform, die Effizienz und Innovation priorisiert, ohne die Grundprinzipien des Datenschutzes zu opfern – das wäre tatsächlich eine kleine Revolution.

PS: Verarbeiten Sie Gesundheits- oder biometrische Daten für KI-Modelle? Die geplanten Ausnahmen entbinden nicht von Dokumentations- und DSFA-Pflichten. Holen Sie sich den kostenlosen Leitfaden zur EU-KI-Verordnung mit praktischen Checklisten für Kennzeichnung, Risikoklassifizierung und Übergangsfristen – so sind Sie auf die kommenden Regeln vorbereitet. KI-Umsetzungsleitfaden jetzt gratis sichern