Digital Omnibus: Datenschützer gehen auf die Barrikaden

Die europäische Datenschutzlandschaft steht vor einem Wendepunkt. Während die EU-Kommission mit ihrem „Digital Omnibus” die Regulierung vereinfachen will, läuten die Aufsichtsbehörden die Alarmglocken – und ein wegweisendes Gerichtsurteil stellt die Verantwortlichkeiten von Online-Plattformen auf den Kopf.

Für Unternehmen bedeutet das: Zwei parallele Entwicklungen zwingen jetzt zum Handeln. Am 2. Dezember hat der Europäische Gerichtshof (EuGH) die Spielregeln für Marktplätze und nutzergenerierte Inhalte grundlegend neu definiert. Nur drei Tage später schossen der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) gegen die geplante Regulierungsreform der Kommission. Die Botschaft: Vereinfachung ja, Aufweichung nein.

Viele Unternehmen unterschätzen heute, dass ein Plattformbetreiber als gemeinsamer Verantwortlicher gelten kann – und damit klassische Auftragsverarbeitungsverträge nicht mehr schützen. Wer jetzt nicht seine Verträge und Haftungsregelungen anpasst, riskiert Bußgelder und teure Auskunftsforderungen. Das kostenlose E-Book erklärt, wann ein AVV nicht mehr ausreicht, welche Klauseln Sie ergänzen müssen und liefert praxiserprobte Vertragsvorlagen sowie Checklisten zur schnellen Nachbesserung. Jetzt kostenloses E-Book zur Auftragsverarbeitung herunterladen

Was steckt hinter dem Widerstand? Die EU-Kommission hatte Ende November ihren „Digital Omnibus” vorgestellt – ein Gesetzespaket, das DSGVO, Data Act und KI-Verordnung harmonisieren und den Verwaltungsaufwand senken soll. Klingt verlockend für compliance-geplagte Unternehmen. Doch die Datenschutzwächter fürchten, dass der Preis zu hoch ist.

In einer gemeinsamen Stellungnahme vom 5. Dezember warnte der EDSA, die vorgeschlagene Änderung der Definition von „personenbezogenen Daten” gehe „weiter als die jüngste EuGH-Rechtsprechung” und könne Grundrechte untergraben. Der Knackpunkt: Die neue Formulierung würde die Identifizierbarkeit an „Mittel, die vernünftigerweise zur Identifizierung eingesetzt werden könnten” knüpfen. Mehr Daten könnten damit als anonym oder nicht personenbezogen eingestuft werden.

Das klingt nach Entlastung, doch Vorsicht: Die Aufsichtsbehörden – also genau jene Stellen, die Audits durchführen – signalisieren eiserne Ablehnung. „Der Vorschlag scheint über eine gezielte Änderung der DSGVO hinauszugehen”, heißt es in der Erklärung. Eine förmliche gemeinsame Stellungnahme werde folgen. Unternehmen, die auf diese Lockerungen spekulieren, bewegen sich auf dünnem Eis.

Marktplätze werden zu Verantwortlichen: Das Russmedia-Urteil

Während der Omnibus-Streit die Zukunft betrifft, schafft ein EuGH-Urteil von dieser Woche bereits heute neue Pflichten. Am 2. Dezember fällte das Gericht sein Urteil im Fall X gegen Russmedia Digital (Rechtssache C-492/23) – mit weitreichenden Folgen für das Konzept der Auftragsverarbeitung.

Die zentrale Aussage: Betreiber von Online-Marktplätzen können als (gemeinsame) Verantwortliche im Sinne der DSGVO gelten, wenn sie personenbezogene Daten in nutzergenerierten Anzeigen zu eigenen kommerziellen Zwecken verarbeiten. Entscheidend ist: Die Plattformen können sich nicht auf Ausnahmen aus der E-Commerce-Richtlinie oder dem Digital Services Act (DSA) berufen, um der DSGVO-Haftung zu entgehen.

Was bedeutet das konkret? Viele Plattformen galten bisher als passive Vermittler – oft als Auftragsverarbeiter oder neutrale Hosts behandelt. Diese Zeiten sind vorbei. Das Urteil stuft sie als aktive Verantwortliche ein. Für Unternehmen, die solche Plattformen für Werbung oder Recruiting nutzen, ist die klassische „Verantwortlicher-Auftragsverarbeiter”-Beziehung nicht mehr der Standard.

Stattdessen greift Artikel 26 DSGVO (gemeinsame Verantwortlichkeit), der einen völlig anderen vertraglichen Rahmen erfordert. Die Frage „Wer ist wofür zuständig?” muss neu beantwortet werden – insbesondere bei der Erfüllung von Betroffenenrechten.

Auswirkungen auf Verarbeitungsverträge und Auskunftsrechte

Das Zusammentreffen beider Entwicklungen – Russmedia-Urteil und Omnibus-Widerstand – schafft Ende 2025 ein komplexes Compliance-Umfeld. Die Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichem steht auf dem Prüfstand.

Rechtsexperten raten: Unternehmen, die Drittplattformen für nutzergenerierte Inhalte nutzen, müssen jetzt prüfen, ob ihre Dienstleister sich als „Auftragsverarbeiter” bezeichnen, aber nach dem neuen EuGH-Standard als „Verantwortliche” agieren. Bestimmt eine Plattform „Mittel und Zwecke” der Verarbeitung – etwa durch Indexierung von Anzeigen für eigene Suchalgorithmen oder kommerziellen Gewinn –, reicht ein simpler Auftragsverarbeitungsvertrag (AVV) nicht aus.

„Das Urteil stellt klar, dass ein Plattformbetreiber gemeinsamer Verantwortlicher sein kann, wenn er ausreichende Kontrolle über die Daten ausübt”, analysierte die Kanzlei Taylor Wessing. Diese Verschiebung wirkt sich direkt auf Betroffenenrechte aus. Verlangt ein Nutzer die Löschung seiner Daten aus einer Anzeige, können sowohl das werbende Unternehmen als auch die Hosting-Plattform unmittelbar haftbar sein.

Die Strategie „Nicht unser Problem, wir hosten nur” funktioniert nicht mehr. Das gegenseitige Zuschieben der Verantwortung hat der EuGH einen Riegel vorgeschoben.

Winter der Compliance-Anpassungen

Der Weg ins Jahr 2026 dürfte holprig werden. Die Reibung zwischen legislativer Reform und richterlicher Durchsetzung wird sich wahrscheinlich verschärfen. EDSA und EDSB werden in den kommenden Wochen ihre ausführliche gemeinsame Stellungnahme zum Digital Omnibus vorlegen – möglicherweise muss die Kommission ihre „Vereinfachungs”-Pläne überarbeiten.

Zwei Sofortmaßnahmen sollten Unternehmen jetzt priorisieren:

Plattformverträge durchleuchten: Prüfen Sie Vereinbarungen mit Online-Marktplätzen und Werbeplattformen darauf, ob sie eine gemeinsame Verantwortlichkeit widerspiegeln statt einer Standard-Auftragsverarbeitung – insbesondere bei der Haftung für Betroffenenanfragen.

Definition „personenbezogene Daten” im Blick behalten: Zwar schlägt der Digital Omnibus lockerere Definitionen vor, doch der EDSA-Widerstand zeigt: Wer bereits jetzt auf diese geplanten Erleichterungen setzt, geht ein erhebliches Risiko ein.

Das europäische Digitalrecht entwickelt sich rasant weiter. „Abwarten und Tee trinken” ist keine Option mehr. Das Russmedia-Urteil gilt ab sofort, und die Datenschützer haben unmissverständlich klargemacht: Die Kernprinzipien der DSGVO sind nicht verhandelbar.

PS: Sie prüfen gerade Plattformverträge? Sparen Sie Zeit und rechtliche Unsicherheit mit sofort einsetzbaren Vorlagen. Der Gratis-Leitfaden enthält Musterformulierungen für gemeinsame Verantwortlichkeit, Haftungsregelungen und eine Checkliste für Betroffenenanfragen – ideal, um Vertragslücken schnell zu schließen, bevor es teuer wird. Gratis-Vorlagen für Auftragsverarbeitung sichern