EU plant GDPR-Reform: Datenschutz auf dem Prüfstand

Die Europäische Kommission will mit ihrem „Digital Omnibus”-Paket die digitale Regulierung vereinfachen. Doch der Vorstoß löst heftige Kontroversen aus – denn er rüttelt an den Grundfesten der Datenschutz-Grundverordnung (DSGVO).

Was als Bürokratieabbau angekündigt wurde, entpuppt sich als tiefgreifender Eingriff in europäische Datenschutzstandards. Das am Donnerstag intensiv diskutierte Gesetzespaket könnte nicht nur die Definition personenbezogener Daten neu fassen, sondern auch die Meldepflichten bei Datenpannen drastisch lockern. Unternehmen würden entlastet – doch zu welchem Preis?

Ende November legte die Kommission ihre Pläne vor. Das Ziel: Die komplexe Gemengelage aus DSGVO, KI-Verordnung, Data Act und Digital Services Act (DSA) soll entschlackt werden. Jährlich 4,6 Milliarden Euro an Compliance-Kosten ließen sich einsparen, verspricht Brüssel.

Der Kern der Reform jedoch überrascht. Statt behutsamer Anpassungen schlägt die Kommission direkte Änderungen an der DSGVO vor – jenem Regelwerk, das seit 2018 als Goldstandard des Datenschutzes gilt. Die entscheidende Neuerung: Daten gelten künftig nur dann als „personenbezogen”, wenn das verarbeitende Unternehmen realistisch in der Lage ist, die betroffene Person zu identifizieren.

Passend zum Thema KI-Regulierung: Die geplanten Änderungen beim Digital Omnibus berühren direkt Anforderungen an KI‑Systeme und deren Trainingsdaten. Unser kostenloses E‑Book zur EU‑KI‑Verordnung erklärt übersichtlich, welche Pflichten, Risikoklassen, Kennzeichnungspflichten und Übergangsfristen Unternehmen jetzt beachten müssen — inkl. praktischer Checkliste für Entwickler und Compliance-Teams. Ideal für Datenschutzbeauftragte, Entwickler und Entscheidungsträger. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Diese subjektive Sichtweise – angelehnt an ein jüngeres Urteil des Europäischen Gerichtshofs – könnte weitreichende Folgen haben. Rechtsexperten warnen: Dieselben Daten könnten bei einem Konzern als personenbezogen gelten, bei einem Dienstleister in der Lieferkette jedoch nicht. Die Rechtsklarheit, für die die DSGVO einst gelobt wurde, gerät ins Wanken.

Datenpannen: Weniger Transparenz, mehr Spielraum

Besonders brisant sind die geplanten Änderungen bei Datenschutzverletzungen. Bisher müssen Unternehmen binnen 72 Stunden fast jede Panne den Aufsichtsbehörden melden – es sei denn, das Risiko für Betroffene ist verschwindend gering.

Das Digital Omnibus hebt die Schwelle deutlich an. Künftig wären nur noch Verstöße meldepflichtig, die ein „hohes Risiko” für Bürgerrechte darstellen – derselbe Maßstab, der heute für die Benachrichtigung der Betroffenen selbst gilt. Zudem verlängert sich die Frist auf 96 Stunden.

„Die Behörden ersticken in Bagatellmeldungen”, argumentiert die Kommission. Cybersecurity-Experten kontern: Kleinere Attacken, die häufig Vorboten großer Kampagnen sind, könnten künftig unter dem Radar bleiben. Ein Compliance-Analyst fasst zusammen: „Wir riskieren, den Überblick über die Bedrohungslage zu verlieren.”

KI-Training ohne Einwilligung?

Der dritte Streitpunkt betrifft künstliche Intelligenz. Um Europas KI-Sektor zu stärken, will Brüssel eine neue Rechtsgrundlage schaffen: die Verarbeitung personenbezogener Daten zum Trainieren von KI-Modellen auf Basis „berechtigter Interessen”.

Konkret bedeutet das: Unternehmen könnten persönliche – und unter bestimmten Bedingungen sogar sensible – Daten für KI-Entwicklung nutzen, ohne explizite Zustimmung der Nutzer einzuholen. „Angemessene Schutzmaßnahmen” wie Pseudonymisierung sollen ausreichen.

Datenschutzorganisationen wie noyb und die Electronic Frontier Foundation reagierten scharf. In einer heute veröffentlichten Stellungnahme warnen sie vor einem „Schlupfloch”, durch das riesige Datenmengen in kommerzielle KI-Modelle fließen könnten – ohne dass EU-Bürger davon wüssten oder dem zugestimmt hätten.

Wirtschaft jubelt, Experten hadern

Die Industrie begrüßt die Vereinfachung grundsätzlich. Seit Jahren beklagt sie den „Compliance-Dschungel” aus sich überschneidenden Vorschriften. Besonders die vorgeschlagene Verschiebung der KI-Verordnung bis Ende 2027 oder sogar 2028 kommt gut an.

Doch selbst in Unternehmen herrscht Skepsis. Ein Data-Governance-Stratege bringt es auf den Punkt: „Wenn dieselben Daten für einen Anbieter personenbezogen sind, für einen anderen nicht, wird das Vertragsmanagement zum Albtraum.”

Die Cybersecurity-Branche zeigt sich gespalten. Weniger Meldepflichten bedeuten weniger Aufwand – aber auch weniger Einblick in Angriffsmuster und Schwachstellen.

Ein langer Weg liegt vor uns

Das Digital Omnibus ist vorerst nur ein Vorschlag. Nun beginnt der zähe Weg durch Europaparlament und Rat der EU. Angesichts des massiven Widerstands von Datenschützern dürfte 2026 von harten Verhandlungen geprägt sein.

Der Europäische Datenschutzausschuss und nationale Aufsichtsbehörden werden sich in den kommenden Wochen positionieren. Experten erwarten erhebliche Änderungen am Entwurf.

Für Datenschutzbeauftragte und Compliance-Verantwortliche heißt es vorerst: abwarten und beobachten. Die versprochene Vereinfachung mag kommen – zunächst jedoch wartet eine Phase regulatorischer Unsicherheit. Europa muss entscheiden, wie es die Balance zwischen digitaler Innovation und Grundrechten künftig justieren will.

PS: Wenn Unternehmen künftig KI-Modelle mit personenbezogenen Daten trainieren wollen, sind korrekte Risikoeinschätzung und lückenlose Dokumentation entscheidend. Dieses Gratis‑E‑Book fasst die EU‑KI‑Verordnung kompakt zusammen, zeigt konkrete Schritt‑für‑Schritt-Maßnahmen zur Compliance und worauf Aufsichtsbehörden besonders achten. Holen Sie sich die praktischen Handlungsempfehlungen für Entwickler, Compliance- und Datenschutz-Teams. Gratis E‑Book zur KI‑Verordnung anfordern

Hinweis: Dieser Artikel basiert auf dem Stand vom 4. Dezember 2025. Das Digital-Omnibus-Paket durchläuft derzeit das EU-Gesetzgebungsverfahren; die finalen Regelungen können vom aktuellen Entwurf abweichen.