Sign in Subscribe
GRC

Was COM(2026) 503 final für Datenschutzbeauftragte bedeutet

Was COM(2026) 503 final für Datenschutzbeauftragte bedeutet

Am 3. Juni 2026 hat die Europäische Kommission ihr Tech-Souveränitäts-Paket vorgelegt. Kernstück ist die Mitteilung COM(2026) 503 final zur europäischen technologischen Souveränität, der erstmals eine eigenständige EU Open Source Strategy beigefügt ist. Eine Woche später ordnete Dr. Sachiko Muto, Vorsitzende von OpenForum Europe und Senior Researcher an den Research Institutes of Sweden (RISE), das Paket auf dem diesjährigen Nextcloud Summit ein. Ihr Vortrag adressierte die Open-Source-Community, doch die Argumente treffen unmittelbar den Arbeitsbereich von Datenschutzbeauftragten.

Warum dieses Paket eine Datenschutzfrage ist

COM(2026) 503 benennt eine Abhängigkeit, die in Datenschutzkreisen seit Jahren diskutiert wird, nun aber von der Kommission selbst als strategisches Risiko formuliert wird: Die EU bezieht über 80 Prozent ihrer digitalen Produkte, Dienste, Infrastruktur und IP von Anbietern ausserhalb der Union. Beim Cloud-Markt liegen rund 70 Prozent in der Hand dreier US-Hyperscaler.

Entscheidend für die datenschutzrechtliche Bewertung ist eine Passage, in der die Mitteilung die Abhängigkeit ausdrücklich nicht nur ökonomisch, sondern grundrechtlich rahmt. Die Kommission verweist auf den Zugriff fremder Jurisdiktionen auf Daten und auf staatliche Überwachung als reale Risiken für die öffentliche Ordnung. Damit greift das Dokument genau jene Problematik auf, die der EuGH in Schrems II (C-311/18) hinter den Anforderungen an Drittlandübermittlungen nach Kapitel V DSGVO verortet hat: der Konflikt zwischen europäischem Schutzniveau und extraterritorialem Behördenzugriff, etwa nach US CLOUD Act oder FISA 702.

Was bisher überwiegend als Argument von Datenschutzaufsichten und im Transfer Impact Assessment auftauchte, ist nun erklärte Begründung der europäischen Industriepolitik.

Für die Praxis heisst das: Die Wahl der Verarbeitungsumgebung ist kein reines Beschaffungs- oder IT-Thema mehr, sondern berührt die Rechtmässigkeit der Verarbeitung selbst. Wer eine Übermittlung in ein Drittland auf Standardvertragsklauseln nach Art. 46 DSGVO stützt, muss nach der Rechtsprechung weiterhin prüfen, ob das Empfängerland ein im Wesentlichen gleichwertiges Schutzniveau bietet und ob die Garantien dem behördlichen Zugriff standhalten. Das Tech-Souveränitäts-Paket liefert dafür keine neue Rechtsgrundlage, aber zusätzliche, von der Kommission selbst gelieferte Begründungssubstanz für die Risikobewertung.

Open Source als Transparenz- und Rechenschaftsinstrument

Die beigefügte Open Source Strategy verfolgt ein Ziel, das über Marktanteile hinausgeht: prüfbare, transparente und auditierbare Software für kritische Systeme. Die Kommission begründet das auch sicherheitstechnisch, weil offen einsehbarer Quellcode unabhängige Inspektion, Audit und Schwachstellenanalyse ermöglicht.

Für Datenschutzbeauftragte ist diese Eigenschaft an mehreren Stellen der DSGVO anschlussfähig:

  • Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Die Pflicht, Datenschutzkonformität nachweisen zu können, lässt sich bei quelloffenen Systemen substanzieller erfüllen als bei einer Blackbox, deren Verarbeitungslogik der Verantwortliche nicht einsehen kann.
  • Datenschutz durch Technikgestaltung (Art. 25 DSGVO): Einsehbarer Code erlaubt die tatsächliche Überprüfung von Datenminimierung, Voreinstellungen und Zweckbindung, statt sich auf Herstellerzusagen zu verlassen.
  • Sicherheit der Verarbeitung (Art. 32 DSGVO): Auditierbarkeit und unabhängige Schwachstellenprüfung sind ein nachvollziehbarer Baustein der nach dem Stand der Technik geschuldeten Massnahmen.

Open Source ist dabei kein Selbstläufer. Auch quelloffene Software wird betrieben, konfiguriert und gehostet, und genau diese Betriebsschicht entscheidet über Drittlandbezug und Auftragsverarbeitung nach Art. 28 DSGVO. Die Mitteilung adressiert das, indem sie Open Source und souveränen Betrieb gemeinsam denkt, unter anderem über den parallel vorgelegten Cloud and AI Development Act (CADA, COM(2026) 502 final).

Mutos zentrale Warnung, übersetzt in die Datenschutzpraxis

Mutos Vortrag war kein Jubel über das EU-Paket, sondern eine nüchterne Erfahrungsbilanz aus rund zwanzig Jahren Open-Source-Politik. Ihre Kernaussage: Hochrangige Bekenntnisse zu Open Source gab es seit der Malmö-Erklärung 2009 und der Tallinner Ministererklärung 2017 wiederholt, gefolgt von wenig Umsetzung. In einer von der dänischen Regierung beauftragten RISE-Studie über sechzehn Länder zeigte sich ein Muster: Die exakte Formulierung im Gesetz entscheidet selten, weil sich eine Ausnahmeklausel nach dem Muster „Open Source, sofern möglich" praktisch immer auslegen lässt.

Wirkung entsteht durch Leitlinien, gute Praxisbeispiele und institutionelle Kapazität wie beispielsweise ein Open Source Office.

Diese Diagnose lässt sich direkt auf die Datenschutzarbeit übertragen. Die relevante Pflicht zur Risikobewertung von Drittlandtransfers existiert bereits, unabhängig davon, wie der CADA oder die angekündigte Überarbeitung der Vergaberichtlinie am Ende formuliert sein werden. Datenschutzbeauftragte sollten nicht auf eine künftige souveränitätsfreundliche Beschaffungsnorm warten, sondern die vorhandenen Instrumente nutzen: Transfer Impact Assessment, Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei hohem Risiko und eine belastbare Auftragsverarbeiter-Auswahl nach Art. 28 DSGVO. Der politische Reifegrad des Themas erleichtert die interne Argumentation, ersetzt aber die Bewertung im Einzelfall nicht.

Bemerkenswert ist Mutos Hinweis, dass die öffentliche Konsultation zur Strategie 1.656 Eingaben erhielt und dies messbar Wirkung hatte. Für die Berufsgruppe der Datenschutzbeauftragten ist das ein Argument, sich in die nun folgenden Gesetzgebungsverfahren einzubringen, statt das Ergebnis abzuwarten.

Was in den nächsten zwölf Monaten zu beobachten ist

Die Mitteilung selbst ist nicht bindend. Verbindlichkeit entsteht erst über die begleitenden Rechtsakte, deren Verhandlung Muto auf etwa zwölf Monate veranschlagt:

  • Cloud and AI Development Act (CADA): Der Vorschlag verpflichtet öffentliche Stellen zu Souveränitätsrisikobewertungen und zur Wahl europäischer souveräner Alternativen, wo erforderlich. Hier ist auf die Abgrenzung zwischen „europäischem Mehrwert" und bloss formaler EU-Ansässigkeit zu achten, ebenso auf die konkrete Ausgestaltung von Cloud-Zusicherungsstufen.
  • Überarbeitung der Vergaberichtlinie: Erst eine starke Open-Source- und Souveränitätspräferenz im Vergaberecht erzeugt nach Mutos Einschätzung die Durchsetzungskraft, die der Mitteilung allein fehlt. Für öffentliche Auftraggeber und ihre Datenschutzbeauftragten würde das die Begründungslast bei der Anbieterwahl verschieben.
  • Digital Omnibus und DSGVO-Anpassungen: Im selben Kontext verweist die Mitteilung auf gezielte Änderungen der DSGVO, die mehr Rechtssicherheit für die Nutzung personenbezogener Daten beim KI-Training schaffen sollen. Dieser Punkt verdient eigene Aufmerksamkeit, weil er die Souveränitätsdebatte mit dem materiellen Datenschutzrecht verschränkt und nicht zwangsläufig im Interesse der betroffenen Personen liegen muss.

Einordnung für den Datenschutz

Das Tech-Souveränitäts-Paket verschiebt keinen einzigen Paragrafen der DSGVO, verändert aber den Kontext, in dem Datenschutzbeauftragte argumentieren. Die Kommission anerkennt damit erstmals industriepolitisch, was im Datenschutz seit Schrems II Bewertungsmassstab ist: dass Abhängigkeit von aussereuropäischen Anbietern ein Grundrechtsrisiko trägt. Open Source ist in diesem Rahmen kein Bekenntnis, sondern ein praktisches Instrument für Transparenz, Auditierbarkeit und Rechenschaft.

Mutos Schlussfolgerung gilt auch für unsere Berufsgruppe: Entscheidend ist nicht der finale Wortlaut, sondern die kontinuierliche fachliche Einmischung. Wer auf die perfekte Norm wartet, übersieht, dass die Pflichten heute schon bestehen und die Werkzeuge bereitliegen.

Quellen: Mitteilung der Europäischen Kommission, COM(2026) 503 final, „on European Tech Sovereignty, accompanied by an EU Open Source Strategy", Brüssel, 3.6.2026; Cloud and AI Development Act, COM(2026) 502 final; Vortrag Dr. Sachiko Muto (OpenForum Europe / RISE), Juni 2026; EuGH, Urteil vom 16.7.2020, C-311/18 (Schrems II).

Transparenzhinweis: Dieser Beitrag wurde mit Unterstützung generativer KI (Claude Opus 4.8, Anthropic) erstellt und vor Veröffentlichung redaktionell geprüft.

Read next

KI-Modelle und EU-Recht: Was die Aithos-LARA-Studie für Verantwortliche bedeutet

KI-Modelle und EU-Recht: Was die Aithos-LARA-Studie für Verantwortliche bedeutet

Das beste getestete KI-Modell hielt sich nur in 54 Prozent der Fälle an EU-Recht. Das schlechteste schaffte gerade einmal 7 Prozent. Kein einziges der zwölf untersuchten Frontier-Modelle erreichte ein vertretbares Compliance-Niveau. Diese Befunde stammen aus der ersten öffentlichen Auswertung von LARA, einem Testframework der niederländischen Aithos Research Foundation, das KI-Agenten
Michael Mrak
AI Officer und DPOs: Warum Datenschutzbeauftragte die natürliche Wahl für KI-Governance sind

AI Officer und DPOs: Warum Datenschutzbeauftragte die natürliche Wahl für KI-Governance sind

Künstliche Intelligenz ist innerhalb weniger Jahre vom Nischenthema zum Alltagswerkzeug geworden. Damit verschiebt sich auch die Frage, wer im Unternehmen für den verantwortungsvollen Einsatz dieser Technologie zuständig ist. Vladan Rámiš und František Nonnemann vom tschechischen Partnerverein Spolek pro ochranu osobních údajů (Association for Personal Data Protection) haben dazu einen Beitrag
Michael Mrak