Das europäische Digitalrecht ist seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in stetigem Wandel. Mit dem AI Act, dem Data Act und weiteren Regelwerken wächst die Komplexität. Die Europäische Kommission hat nun jedoch ein umfangreiches Legislativpaket auf den Weg gebracht, das eine spürbare Entlastung für Unternehmen schaffen soll, ohne den Schutz der Grundrechte zu schwächen. Im Fokus stehen dabei der sogenannte „Digital Omnibus“ zur Vereinfachung bestehender Regeln. In diesem Beitrag erfahren Sie, was Sie zur neuen Initiative der EU-Kommission wissen müssen.
Teil 1: Der „Digital Omnibus“: Gezielte Vereinfachung der DSGVO
Der Digital Omnibus zielt darauf ab, die Einhaltung der Vorschriften, insbesondere für kleine und mittlere Unternehmen (KMU), zu erleichtern und bestehende Regelungsdoppelungen zu beseitigen. Im Datenschutzrecht sind hier einige der bemerkenswertesten Änderungen in der Diskussion:
1. Entschärfung und Verlängerung der Meldepflichten bei Datenpannen
Die Pflicht zur Meldung von Datenschutzverletzungen nach Art. 33 DSGVO stellt für Unternehmen oft eine große Herausforderung dar, insbesondere aufgrund der kurzen 72-Stunden-Frist. Die geplanten Änderungen sehen eine signifikante Entlastung vor:
- Anhebung der Meldeschwelle: Künftig soll die Meldepflicht an die Aufsichtsbehörden nur noch greifen, wenn ein „hohes Risiko“ für die Rechte und Freiheiten natürlicher Personen besteht, anstatt des bisherigen „Risikos“.
- Verlängerung der Meldefrist: Die Frist für die Meldung soll von 72 auf 96 Stunden verlängert werden.
- Diese Anpassungen reduzieren den sofortigen Druck auf die Incident-Response-Teams erheblich und ermöglichen es, Ressourcen gezielter auf schwerwiegende Vorfälle zu konzentrieren.
2. Stärkung des berechtigten Interesses für KI-Anwendungen
Der Einsatz Künstlicher Intelligenz (KI) in der Wirtschaft ist rasant gestiegen, doch die datenschutzrechtliche Grundlage war oft unklar, insbesondere bei der Verarbeitung personenbezogener Daten zu Trainingszwecken. Die Kommission schlägt vor, die KI-Entwicklung und den KI-Betrieb explizit als berechtigtes Interesse im Sinne der DSGVO anzuerkennen. Dies schafft dringend benötigte Rechtssicherheit für Unternehmen, die KI-gestützte Verfahren einsetzen und trainieren.
Auch für die Entwicklung und Testung von KI-Systemen sollen neue Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten geschaffen werden.
3. Erleichterung beim Umgang mit Betroffenenrechten
Ein wiederkehrendes Problem in der Praxis sind offensichtlich unbegründete oder exzessive Anfragen von Betroffenen, beispielsweise wiederholte Auskunftsersuchen. Zukünftig soll es Verantwortlichen erlaubt sein, in solchen Fällen entweder eine Gebühr zu verlangen oder die Ausführung der Anfrage zu verweigern. Gleiches soll gelten, wenn die Anfrage zu „Datenschutzzwecken“ gestellt wird.
An der grundsätzlichen Pflicht zur Bearbeitung von Betroffenenanfragen wird sich aber nach dem aktuellen Stand nichts ändern. Was unter diese Pflichten fällt, und wie sie Betroffenenanfragen auf Knopfdruck beantworten können, zeigen wir Ihnen in unseren Blogbeiträgen zum Betroffenenmanagement Was sind Betroffenenrechte? Bedeutung & Überblick – PLANIT // PRIMA
4. Harmonisierung und Single-Entry Point
Der Digital Omnibus beabsichtigt, Doppelstrukturen zu beseitigen und die Prozesse für Unternehmen zu vereinfachen.
Der Europäische Datenschutzausschuss (EDSA) soll EU-weit einheitliche Listen für erforderliche Datenschutz-Folgenabschätzungen (DSFA) erstellen. Dies soll die aktuell zersplitterte Praxis beenden und europaweit mehr Klarheit schaffen.
Für Vorfälle nach der DSGVO, der NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA) soll ein zentrales Meldeportal beim ENISA (Single-Entry Point) eingeführt werden, um Mehrfachmeldungen zu vermeiden („report once, share many“).
5. Abschaffung des Cookie-Banners?
Ein weiterer wesentlicher Punkt im Digital Omnibus ist die geplante Neuregelung zur Handhabung von Cookie-Bannern und anderen Endgeräte-Informationen, die im neuen Art. 88a DSGVO verankert werden soll. Diese Änderung zielt darauf ab, die Komplexität zwischen der DSGVO und der nationalen ePrivacy-Gesetzgebung (in Deutschland das TDDDG) zu reduzieren und die sogenannte „Zustimmungsmüdigkeit“ zu mindern. Konkret sollen klar definierte, risikoarme Verarbeitungszwecke, wie beispielsweise die rein technische Reichweitenmessung für eigene Zwecke oder Sicherheitsfunktionen, zukünftig von der strengen Einwilligungspflicht ausgenommen werden.
Darüber hinaus zielt die Kommission darauf ab, die Akzeptanz von Browsereinstellungen und „Do-Not-Track“-Signalen zu stärken, um eine nutzerfreundlichere Alternative zu den klickintensiven Cookie-Bannern zu etablieren. Eine der wichtigsten Implikationen des Art. 88a DSGVO ist die Einführung einer „Merkpflicht“ für Verantwortliche: Wird die Verarbeitung von Daten auf dem Endgerät einmal abgelehnt (etwa durch eine Browsereinstellung oder einen Widerspruch), muss dieser Ablehnung explizit über einen bestimmten Zeitraum hinweg Folge geleistet werden. Das soll das ewige Wiedererscheinen der Banner verhindern. Dies würde es Unternehmen ermöglichen, bei diesen spezifischen Anwendungen auf den aufwendigen Consent-Mechanismus zu verzichten und somit einen pragmatischeren Weg in der digitalen Kommunikation zu beschreiten, erfordert aber eine technische Aufrüstung zur zuverlässigen Erkennung und Einhaltung dieser Nutzersignale.
Teil 2: Anpassungen am AI Act: Mehr Praxistauglichkeit
Die KI-Verordnung (AI Act) ist bereits in Kraft getreten, aber die Kommission hat erkannt, dass Nachbesserungen nötig sind, um die Anwendung praxistauglicher zu gestalten. Die Modifikationen des sogenannten Digital Omnibus on AI konzentrieren sich auf den Hochrisiko-Bereich:
1. Fristverlängerung und Entlastung für Hochrisiko-Systeme
Die Umsetzung der komplexen Anforderungen für Hochrisiko-KI-Systeme soll durch verlängerte Fristen erleichtert werden, bis einheitliche Standards finalisiert sind. Unternehmen sollen hierdurch mehr Zeit erhalten, um die hohen Anforderungen an Genauigkeit, Robustheit und Transparenz umzusetzen.
2. Entlastung für kleine und mittlere Unternehmen (KMU)
Die Vorschläge beinhalten gezielte Entlastungen für KMU, um die Akzeptanz und Innovation zu fördern:
- Vereinfachte Dokumentation: Erleichterungen bei den umfangreichen Dokumentationspflichten.
- Erleichterter Zugang zu Sandboxen: Verbesserter Zugang zu sogenannten regulatorischen Sandboxes.
- Längere Umsetzungsfristen: Verlängerte Fristen zur Implementierung.
Fazit und Ausblick
Die geplanten gesetzlichen Änderungen senden die bisher deutlichsten Signale aus Brüssel: Die EU leitet einen Wechsel von reiner Regulierung hin zu mehr pragmatischer Vereinfachung und Harmonisierung ein. Während der Digitale Omnibus konkrete Entlastungen bei Meldepflichten und Betroffenenrechten bringt, schaffen die Anpassungen am AI Act die Grundlage für eine effizientere und sicherere digitale Geschäftswelt.
Das europäische Gesetzgebungsverfahren steht jedoch noch am Anfang. Ob sich die EU-Kommission mit ihren Vorschlägen auch gegen EU-Rat und Parlament durchsetzen kann, bleibt abzuwarten. Bis dahin gilt: Eine saubere Datenschutz- und KI-Dokumentation ist verpflichtend und hilft auch beim Umstieg auf neue rechtliche Grundlagen.
| Mit PLANIT // PRIMA ist Ihre Dokumentation immer auf dem aktuellen Stand. Jetzt Beratungsgespräch vereinbaren! |
