GRC

Deutsche Datenschutzkonferenz kritisiert "Omnibus" Pläne der EU-Kommission

Deutsche Datenschutzkonferenz kritisiert "Omnibus" Pläne der EU-Kommission
Photo by Christian Lue / Unsplash

Das von der EU-Kommission geplante „Digitale Omnibus-Paket“ stößt europaweit auf erhebliche Kritik. Neben zahlreichen zivilgesellschaftlichen Organisationen und politischen Akteur:innen hat sich nun auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden im Dezember 2025 deutlich positioniert und schon im vergangenen Dezember grundlegende Bedenken geäußert. Im Rahmen ihrer jüngsten Beratungen wurden die vorgesehenen Änderungen an zentralen EU-Digitalrechtsakten analysiert und eigene Reformvorschläge eingebracht.

Aus Sicht der deutschen Aufsichtsbehörden sind die vorliegenden Änderungsvorschläge in wesentlichen Punkten nicht ausreichend durchdacht. Statt klarer Entlastungen (insbesondere für kleine und mittlere Unternehmen) drohen neue Auslegungsunsicherheiten im Datenschutzrecht. Das erklärte Ziel eines effektiven Bürokratieabbaus werde damit verfehlt. Besonders kritisch wird bewertet, dass einzelne Vorschläge tief in die Systematik der DSGVO eingreifen würden, etwa durch eine Neujustierung zentraler Begriffsdefinitionen wie jener der personenbezogenen Daten.

Skepsis besteht auch gegenüber dem gewählten Omnibusverfahren selbst. Der damit verbundene Zeitdruck wird als unangemessen eingeschätzt, da Änderungen mit dieser Tragweite einer sorgfältigen fachlichen Diskussion und einer engen Abstimmung mit den Datenschutzaufsichtsbehörden bedürfen.

Als konstruktive Alternative wurden eigene Reformansätze vorgelegt, insbesondere im Spannungsfeld zwischen Datenschutz und dem Einsatz von KI-Systemen. Gefordert werden klare, spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI, die transparent festlegen, unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen und wo klare Grenzen zu ziehen sind. Gleichzeitig wird auf bestehende Regelungslücken hingewiesen, etwa im Hinblick auf Informations- und Auskunftsrechte betroffener Personen beim Einsatz von KI.

Ein weiterer Schwerpunkt liegt auf der Stärkung der Verantwortung von Herstellern und Anbietern digitaler Produkte und Dienste. Datenschutz müsse bereits auf Ebene der Produktgestaltung verbindlich berücksichtigt werden. Die derzeitige einseitige Verlagerung der Verantwortung auf die Anwender:innen, insbesondere KMU, sei in der Praxis nicht zielführend. Eine stärkere Haftung der Hersteller würde hier zu einer realen Entlastung beitragen und Datenschutz strukturell verankern.

Effizientere Regulierung darf nicht zulasten von Rechtssicherheit, Grundrechten und dem Schutzniveau der DSGVO gehen. In den kommenden Wochen wird eine vertiefte fachliche Auseinandersetzung auf europäischer Ebene entscheidend sein, um tragfähige und praxistaugliche Lösungen zu entwickeln.

Read next

Warum digitaler Wandel kein Kraftakt sein muss

Warum digitaler Wandel kein Kraftakt sein muss

Die Dominanz US-amerikanischer Big-Tech-Plattformen ist längst kein rein technologisches Thema mehr. Für Organisationen wirkt sie direkt in Governance-Strukturen, Risikoprofile und Compliance-Verantwortung hinein. Monopolartige Abhängigkeiten, intransparente Datenverarbeitung, extraterritoriale Zugriffsrechte und eingeschränkte Steuerbarkeit digitaler Kernprozesse sind keine Randthemen sondern GRC-relevant. Und dennoch herrscht vielfach der Eindruck vor, man könne daran operativ wenig
Privacyofficers
OGH Urteil: Meta muss vollständige Datenauskunft gewähren

OGH Urteil: Meta muss vollständige Datenauskunft gewähren

Meta ist verpflichtet, betroffenen Nutzern binnen 14 Tagen vollständigen Zugang zu sämtlichen personenbezogenen Daten zu gewähren. Dies umfasst ausdrücklich auch Informationen zu Datenquellen, Empfängern sowie den konkreten Verarbeitungszwecken. Sämtliche Einwände von Meta, die sich auf Geschäftsgeheimnisse oder sonstige Einschränkungen stützten, wurden verworfen. Damit eröffnet die Entscheidung einen bislang einzigartigen Einblick
Michael Mrak