EU-Datenschutzreform, Streit

EU-Datenschutzreform: Streit um Definition personenbezogener Daten

23.01.2026 - 18:13:12

Deutsche Datenschutzaufsicht kritisiert geplante EU-Verordnung zur Neudefinition personenbezogener Daten. Sie warnt vor Rechtsunsicherheit und fordert stattdessen eine Herstellerhaftung für Privacy by Design.

EU-Datenschutzreform: Streit um Definition personenbezogener Daten - Foto: über boerse-global.de
EU-Datenschutzreform: Streit um Definition personenbezogener Daten - Foto: über boerse-global.de

Eine neue EU-Verordnung droht den Datenschutz auszuhöhlen – deutsche Aufsichtsbehörden schlagen Alarm. Die geplante Neudefinition von personenbezogenen Daten könnte fundamentale Prinzipien der DSGVO untergraben und neue Rechtsunsicherheit schaffen.

Omnibus-Verordnung: Brüssel will DSGVO anpassen

Im Zentrum des Streits steht der sogenannte „Digital-Omnibus“ der EU-Kommission. Das Gesetzespaket soll Bürokratie abbauen und unter anderem klären, wann pseudonymisierte Daten noch als personenbezogen gelten. Ziel ist, die Datennutzung für Forschung und KI zu erleichtern.

Doch deutsche Datenschützer sehen das kritisch. Die Datenschutzkonferenz (DSK) warnt vor neuen Grauzonen. „Die Pläne bringen keine echte Entlastung für Mittelständler“, so Meike Kamp, Berlins Datenschutzbeauftragte. Stattdessen könnten sie ein Grundprinzip der DSGVO aushöhlen.

Anzeige

Passend zum Thema Datennutzung und KI bringt die neue EU‑Regelung erhebliche Pflichten für Kennzeichnung, Risikobewertung und Dokumentation mit sich – viele Unternehmen sind unsicher, wie sie ihre KI‑Projekte rechtssicher aufsetzen. Unser kostenloses E‑Book zur KI‑Verordnung erklärt verständlich, welche Pflichten Anbieter, Entwickler und Anwender jetzt beachten müssen, wie Risikoklassen zu bestimmen sind und welche Fristen gelten. Praktische Checklisten und Vorlagen helfen direkt bei der Umsetzung. KI-Verordnung: Umsetzungsleitfaden herunterladen

EuGH-Urteil etabliert „relativen Personenbezug“

Unabhängig von der politischen Debatte hat die Rechtsprechung bereits Fakten geschaffen. Der Europäische Gerichtshof (EuGH) etablierte Ende 2025 das Konzept des relativen Personenbezugs.

Die Kernaussage: Pseudonymisierte Daten sind für einen Empfänger nicht personenbezogen, wenn er keine Möglichkeit hat, die Person dahinter zu identifizieren. Für den ursprünglichen Datenverantwortlichen, der den „Schlüssel“ besitzt, gelten sie jedoch weiterhin als personenbezogen.

Der Bundesgerichtshof (BGH) bestätigte diesen Ansatz kürzlich. Informationen sind nur dann personenbezogen, wenn eine Person identifiziert werden kann. Dass Daten Auswirkungen auf jemanden haben, reicht allein nicht aus. Unternehmen müssen Datenflüsse nun aus der Perspektive jedes einzelnen Empfängers bewerten.

Deutsche Forderung: Mehr Herstellerhaftung statt Aufweichung

Statt die Definition aufzuweichen, fordern deutsche Aufsichtsbehörden andere Reformen. Ihr Hauptkritikpunkt: Die Verantwortung für datenschutzkonforme Technik liegt fast ausschließlich bei den anwendenden Unternehmen.

Kleine und mittlere Betriebe könnten gegenüber großen IT-Anbietern oft keine datenschutzfreundlichen Anpassungen durchsetzen. Die Lösung? Eine gesetzliche Herstellerhaftung.

Anbieter von Software und IT-Diensten sollten verpflichtet werden, ihre Produkte von vornherein nach dem Prinzip „Privacy by Design“ zu entwickeln. Das würde die Anwender entlasten, ohne das Schutzniveau zu senken.

Zielkonflikt: Innovation versus Grundrechtsschutz

Die Debatte offenbart einen grundlegenden Zwiespalt. Die EU-Kommission will die Digitalwirtschaft fördern und KI-Innovationen erleichtern. Datenschützer und Bürgerrechtler warnen hingegen vor einer Erosion des Grundrechts auf informationelle Selbstbestimmung.

Für Unternehmen bedeutet das vor allem eines: wachsende Unsicherheit. Die Compliance-Anforderungen werden immer komplexer und kontextabhängiger. Besonders für internationale Konzerne und Cloud-Anbieter wird die Frage zentral, ob sie als Verantwortlicher, Auftragsverarbeiter oder bloßer Empfänger agieren.

2026: Entscheidendes Jahr für Europas Datenschutz

Die Diskussion wird in den kommenden Monaten weiter eskalieren. Ein wichtiger Termin ist der Europäische Datenschutztag am 28. Januar, der unter dem Motto „Anonymisierung und Pseudonymisierung – Risiken mindern, Daten nutzen?“ steht.

Zugleich hat Baden-Württembergs Datenschutzbeauftragter den Vorsitz der DSK übernommen, die ihre Positionen in diesem Jahr weiter schärfen wird. Unternehmen sollten die Entwicklungen in Brüssel und die Stellungnahmen der Aufsichtsbehörden genau verfolgen. 2026 wird die Weichen für die Zukunft des Datenschutzes in Europa stellen.

Anzeige

PS: Die EU‑KI‑Verordnung ist bereits in Kraft — und viele Pflichten haben Übergangsfristen, die Unternehmen beachten müssen. Wer KI‑Modelle trainiert, pseudonymisierte Datensätze bereitstellt oder KI-Systeme anbietet, braucht klare Prozesse zur Kennzeichnung, Risikobewertung und Dokumentation. Unser gratis Leitfaden liefert eine sofort einsetzbare Checkliste, Vorlagen für die erforderliche Dokumentation und konkrete Schritte für Compliance‑Teams, damit Sie Fristen einhalten und Bußgelder vermeiden. Jetzt kostenlosen KI‑Umsetzungsleitfaden sichern

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.