Ein Omnibus für die Datenautobahn…
Rubrik: Recht allgemein
Ausgabe: Jän. 2026
In jüngster Zeit wurden gemeinschaftsrechtliche Normen auf den Weg gebracht, um in der Europäischen Union den Datenschutz zu vereinheitlichen. So regelt etwa die Verordnung „Data-Act“ seit September 2025, wie Daten genutzt und geteilt werden und gibt Usern mehr Kontrolle über jene Daten, welche bei der Nutzung von Geräten erzeugt werden. Mit der Verordnung „AI Act“ preschte die Europäische Union vor und schuf die erste Rechtsgrundlage mit konkreten Vorschriften für die Nutzung von künstlicher Intelligenz weltweit. Seit 2018 normiert die Datenschutz-Grundverordnung (DSGVO) den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
Die Praxis hat Auslegungsspielräume bei der Anwendung dieser Rechtsvorschriften gezeigt. Am 19. November 2025 stellte die Europäische Kommission den Verordnungsentwurf „Digital Omnibus“ vor. Sie beabsichtigt mit dem Verordnungsentwurf „Digitaler Omnibus“ verbesserte Rahmenbedingungen, mehr Rechtssicherheit für die datenverarbeitenden Stellen und technische Vereinfachungen für die Künstliche Intelligenz durch Änderungen des Data Acts, des AI Acts und der DSGVO. Der „Digitale Omnibus“ soll die Anwendung dieser Normen erleichtern und präzisieren und Rechtssicherheit bringen, indem die Vorgaben für den Schutz und die Verarbeitung von Daten modernisiert und vereinfacht werden.
Definition von „personenbezogenen Daten“
Die Europäische Kommission hat das Urteil des Europäischen Gerichtshofs in der Rechtssache C-413/23 P als Anlass genommen, die Transparenzpflicht im Umgang mit pseudonymisierten Daten zu stärken: ob Daten personenbezogen sind, ist im Zeitpunkt der Datenerhebung zu prüfen. Dabei ist zu beachten, dass sich die Eigenschaft „personenbezogen“ für den Empfänger anders ansehen lässt, als etwa für den Sender der Daten. Pseudonymisierte Daten sollen künftig nicht mehr als personenbezogen gelten, wenn eine Identifizierung für den Verantwortlichen faktisch auszuschließen ist.
Definition von „berechtigtem Interesse“
Die DSGVO erhält durch den „Digitalen Omnibus“ erstmals die Klarstellung, dass eine Weiterverarbeitung personenbezogener Daten für wissenschaftliche Zwecke ein berechtigtes Interesse darstellt.
Einsatz von Systemen künstlicher Intelligenz
Darüber hinaus wird mit dem „Digitalen Omnibus“ eine neue Rechtsgrundlage für die Verarbeitung von besonderen Kategorien personenbezogener Daten für die Entwicklung von KI-Systemen geschaffen (Erweiterung des Katalogs in Art. 9 Abs. 2 DSGVO).
Bisher untersagt Art. 9 DSGVO die Verarbeitung personenbezogener Daten, aus denen etwa die rassische, ethnische Herkunft, politische Meinungen, die Religionszugehörigkeit, weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Auch die Verarbeitung von genetischen und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Der Verordnungsentwurf „Digitaler Omnibus“ beabsichtigt mit der Erlaubnis der Verarbeitung sensibler personenbezogener Daten im Zusammenhang mit der Entwicklung und dem Betrieb künstlicher Intelligenz (KI-System) eine tiefgreifende Änderung. Was als „KI-System“ anzusehen ist, wird im AI Act geregelt. Daher verweist der Verordnungsentwurf „Digitaler Omnibus“ für die Auslegung des Begriffs „KI-System“ ausdrücklich auf die Definition im AI Act, wonach als „KI-System“ Anwendungen künstlicher Intelligenz von ihrem Entwicklungsstart über das Training bis hin zur laufenden Verwendung und den nachfolgenden Updates zu verstehen sind.
Zugunsten der Entwicklung und des Betriebs von KI-Systemen soll die Verwendung personenbezogener Daten und biometrischer Daten erlaubt werden. Es soll aber weiterhin möglich sein, dass gemeinschaftsrechtliche oder nationalstaatliche Vorschriften für bestimmte Datenverarbeitungen eine ausdrückliche Einwilligung vorsehen.
Änderungen im Umgang mit Datenschutzverletzungen
Der Verordnungsentwurf „Digitaler Omnibus“ verfolgt das Ziel, die Datenschutzverantwortlichen bei der Meldepflicht zu entlasten. Er beabsichtigt, dass eine Meldung einer Datenschutzverletzung – nunmehr binnen 96 Stunden statt bisher 72 Stunden – nur noch vorzunehmen ist, wenn der Vorfall voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden ist. Um den Datenschutzverantwortlichen für eine solche Einschätzung ein Tool in die Hand zu geben, soll der Europäische Datenschutzausschuss (EDPB) hierfür einheitliche Vorlagen für Meldungen und Datenschutz-Folgenabschätzungen (DPIA) entwickeln.
Vereinfachung im Umgang mit Cybersicherheit
Besonders kleinere und mittlere Unternehmen sollen entlastet werden: geht es nach dem Verordnungsentwurf „Digitaler Omnibus“, soll es zu einer Vereinfachung der Melde- und Informationspflichten für Sicherheitsvorfälle kommen. Bisher ist es so, dass nach einem Cyberangriff mehrere Meldepflichten zu erfüllen sind. Das bringt für Unternehmen einen hohen Zeitaufwand mit sich. Künftig soll nach dem Prinzip „einmal melden, mehrfach teilen“ bloß eine Meldung über eine einzige Schnittstelle erfolgen.
Bedeutung für den Umgang mit Cookies
Das bisherige Datenschutzrecht zielt darauf ab, vorhandene Daten zu schützen und hat den Status quo, nämlich die Nutzungsmöglichkeiten von IT und Social Media und die technischen Möglichkeiten, welche sich mit der Künstlichen Intelligenz ergeben, nicht ausreichend im Blick. Heutzutage agieren die User nicht bloß als Personen, die im weltweiten Netz Daten hinterlassen, sondern durch ihr Nutzerverhalten auch welche kreieren. Dabei hat sich in der Praxis gezeigt, dass die User in Cookies einwilligen, ohne die Hinweise genau zu lesen. Für den Einsatz von Cookies beabsichtigt der „Digitale Omnibus“, dass essentielle Cookies künftig ohne aktive Einwilligung gesetzt werden dürfen, wenn ein berechtigtes Interesse vorliegt und eine Opt-Out-Option gegeben ist. Für alle nicht-technischen Cookies soll es weiterhin der Zustimmung der User bedürfen. Für solche Nutzungsdaten, die für die Statistik erfasst werden oder welche anonymisiert erfasst werden, soll eine Einwilligungspflicht hingegen gänzlich entfallen.
Ausblick
Während die einen die Vereinfachung für die Wirtschaft begrüßen, sehen andere darin weniger Vorteile für kleinere und mittlere Betriebe, aber große Vorteile für Tech-Konzerne, die sich mit Digitalisierung und Künstlicher Intelligenz befassen. Wieder andere sehen den „Digitalen Omnibus“ als Rückschritt im Datenschutz durch weniger Kontrolle über Daten. Es bleibt abzuwarten, welche Punkte aus diesem Verordnungsentwurf tatsächlich umgesetzt werden.