Neue Weichenstellungen im Datenschutz: DSGVO-Änderungen durch den digitalen Omnibus

von RA Clemens Handl und juristischer Mitarbeiterin Annika Clarissa Grassmayr

 1. Einleitung

Seit ihrem Inkrafttreten im Jahr 2018 bildet die Datenschutz-Grundverordnung (DSGVO) gemeinsam mit dem österreichischen Datenschutzgesetz (DSG) das zentrale Fundament für den Umgang mit personenbezogenen Daten. Sie hat den europäischen Datenschutz weitgehend harmonisiert, gleichzeitig jedoch in der praktischen Anwendung zahlreiche Auslegungsspielräume offengelassen. Diese betreffen insbesondere die Frage, wann Daten tatsächlich als personenbezogen gelten, wie weit berechtigte Interessen reichen, welche Anforderungen an Transparenz und Informationspflichten zu stellen sind und wie moderne Technologien, wie etwa KI-Systeme, neue Tracking-Methoden oder komplexe Datenmodelle, in das bestehende Rechtsgefüge einzuordnen sind.

Auch die Rechtsanwendung war in den vergangenen Jahren nicht immer einheitlich: Nationale Aufsichtsbehörden und Gerichte kamen teils zu unterschiedlichen Bewertungen, etwa bei Einwilligungen, beim Profiling oder bei der Abwägung zwischen Datenminimierung und wirtschaftlichen Bedürfnissen. Gleichzeitig hat sich die technologische Entwicklung deutlich schneller bewegt als der ursprüngliche Normtext – ein Umstand, der in vielen Bereichen zu Unsicherheiten führte, etwa im Umgang mit pseudonymisierten Daten, bei KI-gestützten Entscheidungsprozessen oder bei neuen Formen datenbasierter Innovation.

Vor diesem Hintergrund verfolgt der Digitale Omnibus der EU-Kommission das Ziel, die DSGVO präziser, klarer und moderner zu gestalten. Er ist ein Reformpaket der Europäischen Union, mit dem mehrere bestehende Digital- und Datenschutzgesetze (darunter auch Regelungen im Umfeld der DSGVO) gebündelt angepasst werden. Er stammt von der EU-Kommission und reagiert auf die Erfahrungen der vergangenen Jahre, in denen sich viele Vorschriften als komplex, überschneidend oder nicht praktikabel erwiesen haben. Ziel des Digitalen Omnibus ist es, die Regeln zu vereinfachen, besser aufeinander abzustimmen und zugleich einen modernen, europaweit einheitlichen Rahmen für Datenschutz, Datenverarbeitung und digitale Geschäftsmodelle zu schaffen, der Rechtssicherheit bietet und Innovation ermöglicht, ohne den Schutz persönlicher Daten zu schwächen. Damit schafft der Vorschlag einen Rahmen, der bestehende Prinzipien fortführt, sie aber zugleich konsistenter und praxistauglicher macht – und bereitet den Boden für die im Folgenden dargestellten konkreten Anpassungen.

2. Geplante Änderung

Der Digitale Omnibus der EU-Kommission zielt darauf ab, die DSGVO an neue digitale, technologische und wirtschaftliche Gegebenheiten anzupassen und Unklarheiten in der praktischen Anwendung zu beseitigen.

2.1. Änderung der Definition personenbezogener Daten

Ein zentraler Bestandteil des Vorschlags ist die Präzisierung der Definition personenbezogener Daten (Artikel 4 DSGVO). Aufbauend auf der Rechtsprechung im Fall EDPS gegen SRB soll ausdrücklich festgelegt werden, dass Daten für einen Verantwortlichen nicht als personenbezogen gelten, wenn er eine betroffene Person mit den ihm vernünftigerweise zur Verfügung stehenden Mitteln nicht identifizieren kann. Damit soll klargestellt werden, dass pseudonymisierte Daten für ihren jeweiligen Inhaber nicht als personenbezogen gelten, auch wenn ein anderer Akteur theoretisch eine Re-Identifizierung vornehmen könnte. Diese Klarstellung soll Rechtsunsicherheiten beseitigen und den Umgang mit pseudonymisierten Daten im Forschungskontext oder in datengetriebenen Geschäftsmodellen erleichtern.

Zudem wird erstmals eine Definition wissenschaftlicher Forschung in die DSGVO aufgenommen. Sie stellt klar, dass die Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken grundsätzlich mit dem ursprünglichen Zweck vereinbar ist. Wissenschaftliche Forschung wird darüber hinaus als berechtigtes Interesse anerkannt, wodurch Forschungsprojekte eine stabilere Rechtsgrundlage erhalten und langfristige Datennutzungen planbarer werden.

2.2. Erweiterung des Art. 9 DSGVO durch neue Erlaubnistatbestände für KI-Systeme

Als besonders weitreichend sind die vorgeschlagenen Änderungen des Art. 9 DSGVO einzuordnen, der bislang die Verarbeitung besonderer Kategorien personenbezogener Daten nur unter sehr engen Voraussetzungen zulässt. Der Entwurf sieht insoweit eine Erweiterung des Ausnahmekatalogs vor, indem zwei neue Erlaubnistatbestände eingeführt werden sollen. Kern dieser Neuerungen ist insbesondere die vorgesehene Zulässigkeit der Verarbeitung sensibler personenbezogener Daten im Zusammenhang mit der Entwicklung und dem Betrieb eines KI-Systems.

Für die Auslegung des Begriffs „KI-System“ verweist der Entwurf ausdrücklich auf die Definition im AI Act. Diese ist bewusst technologieoffen ausgestaltet und erfasst nicht nur einzelne technische Anwendungen, sondern den gesamten Lebenszyklus eines Systems – von der Entwicklung und dem Training über das Testen und die Validierung bis hin zum Einsatz und zur fortlaufenden Optimierung. Vor diesem Hintergrund ist auch der sachliche Anwendungsbereich der neuen Ausnahme entsprechend weit zu verstehen. Er dürfte damit eine Vielzahl von Verarbeitungsvorgängen erfassen, die bislang regelmäßig an den strengen Vorgaben des Art. 9 DSGVO scheiterten oder nur unter erheblichem rechtlichem Unsicherheitsrisiko durchgeführt werden konnten.

Verantwortliche sollen solche Daten jedoch weiterhin möglichst nicht erheben. Fallen sie jedoch in geringem Umfang an, müssen sie nach dem neuen Artikel 9 Absatz 5 nur dann gelöscht werden, wenn dies ohne unverhältnismäßigen Aufwand möglich ist. Zum anderen ist eine Ausnahme für die Verarbeitung biometrischer Daten zur Identitätsbestätigung vorgesehen, sofern die hierfür eingesetzten Mittel vollständig unter der Kontrolle der betroffenen Person stehen. Damit sollen datenschutzfreundliche, nutzerseitige Identitätsverfahren erleichtert werden.

2.3. Präzisierung der Betroffenenrechte

Auch die Rechte der betroffenen Personen werden präzisiert. Artikel 12 stellt klar, dass Auskünfte gemäß den Artikeln 13 bis 15, 22 und 34 weiterhin kostenlos erteilt werden müssen. Gleichzeitig wird genauer definiert, wann Verantwortliche offensichtlich unbegründete oder exzessive Anfragen ablehnen oder eine angemessene Gebühr erheben dürfen – etwa bei wiederholten gleichartigen Anträgen oder wenn Anfragen erkennbar zu Zwecken gestellt werden, die nicht dem Schutz personenbezogener Daten dienen.

Artikel 13 Absatz 4 führt eine neue Ausnahme von Informationspflichten ein. Verantwortliche müssen Betroffene nicht erneut informieren, wenn eine klare, bestehende Beziehung besteht, die Verarbeitung nicht datenintensiv ist und davon ausgegangen werden kann, dass Betroffene die Informationen bereits besitzen. Diese Ausnahme gilt jedoch nicht bei Datenübermittlungen, hohem Risiko oder automatisierten Entscheidungen einschließlich Profiling.

2.4. Zulässigkeit ausschließlich automatisierter Entscheidungen im Rahmen der Vertragserfüllung

Durch Änderungen an Artikel 22 wird weiter klargestellt, dass automatisierte Entscheidungen als für die Vertragserfüllung notwendig gelten können und in diesem Zusammenhang folglich auch ausschließlich automatisiert erfolgen dürfen – selbst dann, wenn auch ein Mensch die Entscheidung hätte treffen können. Damit reagiert der Gesetzgeber auf moderne digitale Geschäftsmodelle, in denen automatisierte Prozesse Standard sind.

2.5. Weitere Änderungen

Auch im Bereich der Datenschutzverletzungen bringt der Omnibus Neuerungen. Zur Entlastung der Verantwortlichen soll die Meldepflicht gegenüber der Aufsichtsbehörde bei Verletzungen des Schutzes personenbezogener Daten an die Voraussetzungen für die Information der betroffenen Personen angepasst werden. Eine Meldung wäre demnach nur noch dann erforderlich, wenn der Vorfall voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden ist. Die Frist zur Meldung an die Aufsichtsbehörde wird von 72 auf 96 Stunden verlängert. Künftig sollen auch alle Meldungen über den neuen Single Entry Point (SEP) laufen, der die Verfahren zentralisieren soll. Bis zu dessen Inbetriebnahme erfolgen Meldungen weiterhin bei den zuständigen nationalen Behörden.

Zur besseren Harmonisierung innerhalb der EU wird der Europäische Datenschutzausschuss (EDPB) beauftragt, einheitliche Vorlagen für Meldungen und Datenschutz-Folgenabschätzungen (DPIA) zu entwickeln. Zudem sollen die bislang unterschiedlichen nationalen DPIA-Listen abgeschafft und durch eine EU-weite Liste ersetzt werden. Das soll die Anforderungen europaweit standardisieren und die Compliance für Unternehmen vereinfachen.

Mit dem neuen Artikel 88c soll klargestellt werden, dass personenbezogene Daten für die Entwicklung und den Betrieb von KI-Systemen auf Grundlage des berechtigten Interesses verarbeitet werden dürfen – sofern keine strengere Rechtsvorschrift eine Einwilligung verlangt. Verantwortliche müssen hierfür eine Interessenabwägung vornehmen und Transparenz, Datenminimierung sowie ein bedingungsloses Widerspruchsrecht sicherstellen.

Die Vorschläge zu Cookies und Endgerätezugriffen werden im Rahmen der überarbeiteten ePrivacy-Richtlinie geregelt und ergänzen die DSGVO.

Darüber hinaus ist es vorgesehen, einen Europäischen Ausschuss für Dateninnovation (EDIB) einzurichten, der in Fragen der Durchsetzung des Datenrechts und der Politik im Zusammenhang mit der Datenwirtschaft beratend tätig ist. Die Kommission erhält auch erweiterte Befugnisse zum Erlass delegierter Rechtsakte, mit denen bestimmte Regelungsaspekte künftig flexibler und einheitlicher angepasst werden können.

3. Auswirkungen in der Praxis

Die geplanten Änderungen des Digitalen Omnibus bringen vor allem mehr Rechtssicherheit und praktikablere Rahmenbedingungen für datenverarbeitende Stellen. Durch die präzisere Abgrenzung personenbezogener und pseudonymisierter Daten werden Forschung und datengetriebene Geschäftsmodelle entlastet, da pseudonymisierte Daten künftig nicht mehr als personenbezogen gelten, wenn eine Identifizierung für den Verantwortlichen faktisch ausgeschlossen ist. Auch die neue Definition wissenschaftlicher Forschung und deren Anerkennung als berechtigtes Interesse erleichtert die Weiterverarbeitung von Daten.

Im Bereich der künstlichen Intelligenz schaffen die neuen Ausnahmen für sensible Daten und die Einführung des Artikels 88c erstmals klare Rechtsgrundlagen für die Entwicklung und den Betrieb von KI-Systemen. Unternehmen erhalten dadurch mehr Handlungsspielraum, müssen aber transparente Kommunikation, Datenminimierung und ein effektives Widerspruchsrecht sicherstellen. Gleichzeitig entlasten präzisierte Betroffenenrechte die Praxis, etwa durch die Möglichkeit, offensichtlich exzessive Anfragen abzulehnen oder zu bepreisen, sowie durch reduzierte Informationspflichten bei bereits bekannten Verarbeitungen.

Erleichterungen ergeben sich zudem bei automatisierten Entscheidungen, die künftig auch dann als vertraglich notwendig gelten können, wenn theoretisch ein Mensch die Entscheidung treffen könnte. Längere Meldefristen bei Datenschutzverletzungen, ein zentraler Meldepunkt und einheitliche Vorlagen führen zu effizienteren Verfahren, während die EU-weite Vereinheitlichung der DPIA-Anforderungen grenzüberschreitende Compliance vereinfacht. Insgesamt sorgen die Anpassungen für mehr Harmonisierung, modernere Rechtsgrundlagen und geringeren Verwaltungsaufwand, insbesondere in digitalen Geschäftsmodellen, der Forschung und KI-Anwendungen.

4. Schlussfolgerung und Empfehlung

Der Digitale Omnibus eröffnet durch gezielte Deregulierung und erweiterte Handlungsspielräume neue Möglichkeiten im Datenschutzrecht, indem er bestehende Vorgaben modernisiert, an technologische Entwicklungen anpasst und Rechtsunsicherheiten reduziert. Für österreichische Unternehmen ist dies eine Chance, bestehende Prozesse zu modernisieren und Compliance strukturell zu verbessern. Da viele der Änderungen in Bereichen greifen, die ohnehin schon komplex sind, empfiehlt es sich, frühzeitig mit der Analyse zu beginnen.

Bislang ist noch unklar, ob und welche Änderungen bis zur Veröffentlichung noch einfließen werden. Unternehmen sollten sich dennoch mit den anstehenden Neuerungen befassen und deren Auswirkungen auf ihre Strukturen und Prozesse im Auge behalten.