Sign in Subscribe
GRC

Stellungnahme von EDSA und EDSB zum Digital Omnibus

Stellungnahme von EDSA und EDSB zum Digital Omnibus
Photo by Gen Pol / Unsplash

Am 10. Februar 2026 haben der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) ihre Gemeinsame Stellungnahme 2/2026 zum sogenannten „Digital Omnibus"-Vorschlag der Europäischen Kommission veröffentlicht. Das Dokument ist umfangreich, die Auswirkungen auf die datenschutzrechtliche Praxis potenziell erheblich. Wir fassen die zentralen Punkte zusammen und ordnen sie für die tägliche Arbeit von Datenschutzbeauftragten ein.

Worum geht es beim Digital Omnibus?

Die Europäische Kommission hat am 19. November 2025 einen Verordnungsvorschlag vorgelegt, der eine Vielzahl europäischer Digitalrechtsakte gleichzeitig ändern soll. Darunter die DSGVO, die ePrivacy-Richtlinie, den Data Act, die Data Governance Act, die NIS-2-Richtlinie und die EUDPR. Ziel ist es, den regulatorischen Rahmen zu vereinfachen, Compliance-Aufwand zu reduzieren, die Rechte Einzelner zu stärken und die europäische Wettbewerbsfähigkeit zu fördern.

EDPB und EDPS begrüßen diese Zielsetzung grundsätzlich und verweisen auf das Helsinki Statement des EDPB vom Juli 2025, in dem der Ausschuss selbst Initiativen zur Erleichterung der DSGVO-Compliance angekündigt hatte. Gleichzeitig äußern sie in mehreren Bereichen teils erhebliche Bedenken.

Scharfe Kritik an der Definition personenbezogener Daten

Der wohl brisanteste Punkt der Stellungnahme betrifft die vorgeschlagene Änderung der Definition personenbezogener Daten in Art. 4 Abs. 1 DSGVO. Der Vorschlag würde einen neuen Absatz einfügen, wonach Informationen über eine natürliche Person nicht für jede andere Stelle personenbezogen sind, sofern diese Stelle die betreffende Person nicht mit den ihr vernünftigerweise zur Verfügung stehenden Mitteln identifizieren kann.

EDPB und EDPS lehnen diese Änderung entschieden ab. Ihre Kritik lässt sich auf mehrere Kernargumente verdichten:

  • Die Kommission behauptet, lediglich die EuGH-Rechtsprechung (insbesondere das Urteil EDPS gegen SRB, C-413/23 P) zu kodifizieren. Tatsächlich geht der Vorschlag aber deutlich über diese Rechtsprechung hinaus. Der EuGH hat bestätigt, dass Daten, die einem Empfänger mit Identifizierungsmitteln übermittelt werden, sowohl für den Empfänger als auch indirekt für den Übermittelnden als personenbezogen gelten. Der Vorschlag der Kommission scheint diesen Grundsatz einzuschränken.
  • Darüber hinaus warnen EDPB und EDPS, dass eine Verengung des Begriffs personenbezogener Daten das Grundrecht auf Datenschutz aus Art. 8 der Grundrechtecharta unmittelbar beeinträchtigen würde. Verantwortliche könnten versucht sein, durch formale Maßnahmen – etwa das künstliche Auslagern bestimmter Verarbeitungsschritte – den Anwendungsbereich der DSGVO zu umgehen.
  • Auch der vorgeschlagene Art. 41a DSGVO, der die Kommission ermächtigen würde, per Durchführungsrechtsakt Kriterien festzulegen, wann pseudonymisierte Daten nicht mehr als personenbezogen gelten, wird klar abgelehnt. Dies würde de facto den materiellen Anwendungsbereich des EU-Datenschutzrechts durch einen Durchführungsrechtsakt verändern – eine Kompetenz, die nach Auffassung von EDPB und EDPS den Aufsichtsbehörden unter Kontrolle der Gerichte vorbehalten bleiben muss.

Empfehlung von EDPB und EDPS: Die Änderungen an der Definition personenbezogener Daten sollten nicht verabschiedet werden. Art. 41a DSGVO sollte ersatzlos gestrichen werden.

Wissenschaftliche Forschung: Grundsätzlich begrüßt

Die Einführung einer harmonisierten Definition von „wissenschaftlicher Forschung" im Kontext der DSGVO wird positiv bewertet. Die vorgeschlagene Definition verlangt unter anderem, dass Forschung zu bestehendem wissenschaftlichen Wissen beiträgt, dem Wohl der Gesellschaft dient und ethischen Standards entspricht.

EDPB und EDPS empfehlen allerdings Nachschärfungen: Wissenschaftliche Forschung sollte methodisch und systematisch betrieben werden, autonom und unabhängig sein sowie zu überprüfbaren und transparenten Ergebnissen führen. Der Hinweis, dass Forschung auch kommerzielle Interessen verfolgen darf, sollte in die Erwägungsgründe verschoben werden, um Missverständnisse zu vermeiden, nicht jede innovationsunterstützende Tätigkeit ist automatisch wissenschaftliche Forschung.

Begrüßt wird auch die Klarstellung, dass die Weiterverarbeitung für Forschungszwecke gemäß Art. 5 Abs. 1 lit. b DSGVO als mit den ursprünglichen Zwecken vereinbar gilt, ohne dass die Voraussetzungen des Art. 6 Abs. 4 DSGVO gesondert geprüft werden müssen.

Neue Ausnahme für Verifikation für biometrische Daten

Eine neue Ausnahmeregelung soll die Verarbeitung biometrischer Daten zur Identitätsbestätigung (Eins-zu-eins-Vergleich) erlauben, sofern die biometrischen Daten oder die Verifikationsmittel unter der alleinigen Kontrolle der betroffenen Person stehen, etwa auf einem Ausweis oder einer Smartcard. EDPB und EDPS begrüßen diesen Ansatz, betonen aber, dass die Verarbeitung biometrischer Daten stets dem Erforderlichkeits- und Verhältnismäßigkeitsgrundsatz unterliegen muss und alternative, weniger eingriffsintensive Methoden vorrangig einzusetzen sind.

Berechtigtes Interesse und besondere Datenkategorien bei der Entwicklung von KI-Systemen

Der Vorschlag sieht in einem neuen Art. 88c DSGVO vor, dass das berechtigte Interesse als Rechtsgrundlage für die Entwicklung und den Betrieb von KI-Systemen herangezogen werden kann. EDPB und EDPS halten eine solche Regelung für grundsätzlich nicht erforderlich, da der EDPB dies in seiner Stellungnahme 28/2024 zu KI-Modellen bereits auf Grundlage des geltenden Rechts bestätigt hat.

Sollte der Gesetzgeber an der Regelung festhalten, empfehlen EDPB und EDPS unter anderem: eine klare Verpflichtung zum dreistufigen Test des berechtigten Interesses, die Verankerung des bedingungslosen Widerspruchsrechts in Art. 21 DSGVO (statt in einer neuen Vorschrift), eine Präzisierung der „erhöhten Transparenz" als Schutzmaßnahme sowie eine Definition des Begriffs „Betrieb" eines KI-Systems, der bisher weder in der DSGVO noch im AI Act definiert ist.

Für die beiläufige und residuale Verarbeitung besonderer Datenkategorien im KI-Kontext wird eine neue Ausnahme in Art. 9 Abs. 2 lit. k DSGVO vorgeschlagen. EDPB und EDPS erkennen das praktische Problem an, dass beim Training bestimmter KI-Modelle eine solche Verarbeitung nicht immer vermeidbar ist, fordern aber zahlreiche Nachbesserungen: Der Begriff „beiläufig und residual" sollte in den verfügenden Teil aufgenommen werden, die Löschung dieser Daten sollte als Vorbedingung gelten (es sei denn, sie ist unmöglich oder unverhältnismäßig aufwändig), und Schutzmaßnahmen müssen über den gesamten Lebenszyklus der KI-Entwicklung gelten.

Betroffenenrechte

Einschränkung des Auskunftsrechts: Die Klarstellung des Missbrauchsbegriffs in Art. 12 Abs. 5 DSGVO wird begrüßt, allerdings darf der Missbrauch nicht daran geknüpft werden, dass ein Auskunftsersuchen zu anderen Zwecken als dem Datenschutz gestellt wird. Der EuGH hat bestätigt, dass Betroffene ihr Auskunftsrecht auch für andere als rein datenschutzrechtliche Ziele ausüben dürfen. Stattdessen sollte der Missbrauch an eine missbräuchliche Absicht (etwa eine offensichtliche Schädigungsabsicht) geknüpft werden.

Transparenz-Ausnahme: Die neue Ausnahme von der Informationspflicht bei „nicht datenintensiven Tätigkeiten" und „klaren, umgrenzten Beziehungen" wird im Grundsatz befürwortet, die Begriffe sind aber zu unbestimmt. Wichtig: Auch bei Anwendung der Ausnahme muss der Verantwortliche auf Anfrage des Betroffenen die vollständigen Informationen nach Art. 13 DSGVO bereitstellen.

Automatisierte Entscheidungsfindung: Der EuGH hat Art. 22 Abs. 1 DSGVO als grundsätzliches Verbot ausgelegt, das nicht individuell geltend gemacht werden muss. EDPB und EDPS bestehen darauf, dass dieser Verbotscharakter mit Ausnahmen beibehalten wird. Die vorgeschlagene Formulierung könnte den Eindruck erwecken, automatisierte Entscheidungen seien im Vertragskontext grundsätzlich erlaubt – das wäre eine Fehlinterpretation.

Höherer Schwellenwert und längere Fristen bei Datenschutzverletzungen

EDPB und EDPS unterstützen die Anhebung der Meldeschwelle: Künftig sollen nur noch Datenschutzverletzungen meldepflichtig sein, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bergen (bisher: einfaches Risiko). Zudem wird die Meldefrist von 72 auf 96 Stunden verlängert, was insbesondere KMU entlasten dürfte.

Begrüßt werden auch das einheitliche EDPB-Meldeformular und die Liste von Umständen, unter denen ein hohes Risiko anzunehmen ist. Allerdings fordern EDPB und EDPS, dass der EDPB diese Dokumente selbst verabschieden sollte – nicht die Kommission per Durchführungsrechtsakt mit der Befugnis zur einseitigen Änderung.

Das geplante Single-Entry-Point (SEP) für Meldungen wird ausdrücklich begrüßt, da es den Verwaltungsaufwand bei sicherheitsrelevanten Vorfällen deutlich reduzieren kann.

Harmonisierung auf EU-Ebene bei der Datenschutz-Folgenabschätzung

Die Einführung EU-weiter DSFA-Listen (Black- und Whitelists) durch den EDPB wird unterstützt. Auch hier fordern EDPB und EDPS, dass die Verabschiedung beim EDPB verbleiben muss und nicht der Kommission überlassen werden darf. Darüber hinaus wird die Entwicklung einer gemeinsamen DSFA-Methodik und eines einheitlichen Templates begrüßt.

Die Stellungnahme befürwortet nachdrücklich den Ansatz, die sogenannte Cookie-Müdigkeit durch regulatorische Lösungen zu bekämpfen. Die Übertragung des Schutzes personenbezogener Daten auf Endgeräten in die DSGVO (neuer Art. 88a) wird grundsätzlich begrüßt, birgt aber Risiken: Da der Schutz künftig je nach Datenart auf zwei verschiedene Rechtsgrundlagen (DSGVO für personenbezogene Daten, ePrivacy-Richtlinie für nicht-personenbezogene Daten) verteilt wäre, könnte dies zu erheblicher Rechtsunsicherheit führen.

Besonders bemerkenswert ist der Vorschlag von EDPB und EDPS, eine zusätzliche Ausnahme für kontextbezogene Werbung einzuführen. Kontextbezogene Werbung, die lediglich auf dem aktuellen Seitenbesuch basiert und keine Verknüpfung mit dem früheren oder künftigen Verhalten der Nutzer vornimmt, ist datenschutzfreundlicher als verhaltensbasierte Werbung. Die Ausnahme sollte allerdings klar begrenzt sein und geeignete Schutzmaßnahmen enthalten.

Die Regelungen zu automatisierten, maschinenlesbaren Signalen für die Wahlmöglichkeiten der Betroffenen werden stark befürwortet. Webbrowser-Anbieter sollen diese Signale unterstützen müssen, und zwar ohne Ausnahme für KMU, da der Browsermarkt stark konzentriert ist. Zudem sollte die Pflicht auf Betriebssysteme ausgeweitet werden.

Zusammenführung und Vereinfachung

Die Integration der Data Governance Act und der Open Data Directive (Data Aquis) in den Data Act wird begrüßt. EDPB und EDPS betonen allerdings, dass klargestellt werden muss, dass der Data Act keine eigenständige Pflicht öffentlicher Stellen zur Weitergabe personenbezogener Daten begründet und keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellt.

Bei der Bereitstellung von Daten im Falle öffentlicher Notlagen empfehlen EDPB und EDPS, am Grundsatz festzuhalten, dass personenbezogene Daten nur in pseudonymisierter Form und nur dann weitergegeben werden dürfen, wenn anonyme Daten nicht ausreichen.

Für Datenvermittlungsdienste wird empfohlen, an einer Registrierungspflicht festzuhalten, zumindest wenn die Vermittlungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Die Aufweichung von der rechtlichen zur funktionalen Trennung wird grundsätzlich akzeptiert, bedarf aber klarer Kriterien.

Was bedeutet das für die berufliche Praxis?

Für Datenschutzbeauftragte in Österreich und der gesamten EU ergeben sich aus der Stellungnahme mehrere wesentliche Erkenntnisse:

  • Erstens ist die Debatte um die Definition personenbezogener Daten noch lange nicht abgeschlossen. Solange der Gesetzgebungsprozess läuft, sollten Verantwortliche keine voreiligen Schlüsse ziehen und den bisherigen, weiten Anwendungsbereich zugrunde legen.
  • Zweitens werden die geplanten Erleichterungen bei Datenschutzverletzungen und Datenschutz-Folgenabschätzungen (höhere Meldeschwelle, längere Frist, einheitliche Templates) für viele Organisationen eine spürbare Entlastung bringen, sofern sie umgesetzt werden.
  • Drittens bleibt der Umgang mit KI und besonderen Datenkategorien ein Bereich, der sorgfältige Aufmerksamkeit erfordert. Die vorgeschlagenen Ausnahmen sind eng gefasst und mit zahlreichen Schutzmaßnahmen verbunden.
  • Viertens sollten die Entwicklungen im ePrivacy-Bereich aufmerksam verfolgt werden. Der mögliche Wegfall von Cookie-Bannern zugunsten technischer Lösungen wie automatisierter Datenschutzpräferenzen hätte weitreichende praktische Auswirkungen.

Die vollständige Gemeinsame Stellungnahme 2/2026 ist auf den Webseiten von EDPB und EDPS verfügbar. Der Gesetzgebungsprozess zum Digital Omnibus wird sicherlich noch mehrere Monate in Anspruch nehmen, wir werden die Entwicklungen weiter begleiten.

Read next

Europäischer Datenschutztag: Ein Signal in unruhigen Zeiten

Europäischer Datenschutztag: Ein Signal in unruhigen Zeiten

Der Europäische Datenschutztag wird oft als reine Awareness-Initiative wahrgenommen. Diese Sicht greift mittlerweile deutlich zu kurz. Tatsächlich ist der Datenschutztag heute ein politisches und wirtschaftliches Signal, mit dem Europa seinen Anspruch auf digitale Selbstbestimmung und rechtsstaatliche Kontrolle unterstreicht. Im Kern verfolgt der Europäische Datenschutztag ein klares Ziel: Datenschutz als unverrückbares
Michael Mrak