Der Vortrag untersucht die Kommissionsvorschläge zur Änderung der Definition des personenbezogenen Datums. Angesichts ihrer fundamentalen Bedeutung für die Geltung datenschutzrechtlicher Anforderungen und für das Verhältnis zwischen der DSGVO und zahlreichen anderen Digitalrechtsakten steht die Frage im Mittelpunkt, ob die Änderungsvorschläge, wie die Kommission darlegt, lediglich die bisherige Rechtsprechung des EuGH nachzeichnen oder ob sie diese modifizieren. Ein Überblick über erste Stellungnahmen und Bewertungen im Rahmen des laufenden Rechtssetzungsverfahrens rundet die Untersuchung ab.

Der Vorschlag für eine Digital-Omnibus-Verordnung der Europäischen Kommission vom 19. November 2025 verfolgt das Ziel, den digitalen Rechtsrahmen der Union einfacher, kosteneffizienter und rechtsklarer zu gestalten, ohne die hohen Schutzstandards der Union zu gefährden. Um dieses Ziel zu erreichen, schlägt die Kommission unter anderem Änderungen in einem Kernbereich der Datenschutz-Grundverordnung vor: den Betroffenenrechten des Kapitels III. Der Vortrag analysiert die Defizite der derzeitigen Ausgestaltung dieser Rechte und untersucht, ob die vorgeschlagenen Änderungen geeignet sind, die selbst gesetzten Ziele zu erreichen und den bestehenden praktischen Problemen wirksam abzuhelfen. Dabei werden die Vorschläge im Lichte der Rechtsprechung des EuGH sowie der Gewährleistungen aus Art. 7 und 8 der Grundrechtecharta betrachtet. Abschließend werden – ausgehend von den Zielen des Digitalen Omnibus – alternative Lösungsansätze vorgestellt.

Die DS-GVO legt den Verantwortlichen Pflichten auf. Auch für diese sieht der Digitale Omnibus Änderungen vor. Dabei geht es um die Änderungsvorschläge u.a. zur Forschung, zur Zweckänderung, zur Verwendung von biometrischen Daten und zur Datenschutzfolgeabschätzung. Darüber hinaus wurden aber auch in der jüngeren Vergangenheit Änderungen im Kontext mit dem Verzeichnis der Verarbeitungstätigkeiten diskutiert. Welche absehbaren Änderungen stehen bevor, welche Auswirkungen bringen sie und wie sind sie zu bewerten.

Unternehmen unterliegen bei Datenschutz- und Sicherheitsvorfällen Meldepflichten nach DSGVO, NIS-2, CRA und DORA. Diese Meldepflichten sind unterschiedlich ausgestaltet. Dies stellt Unternehmen in der Praxis vor Herausforderungen. Der Digitale Omnibus sieht auch für Meldepflichten bei Datenschutz- und Sicherheitsvorfällen Regelungen zur Vereinheitlichung, insbesondere eine zentrale Meldestelle vor. Doch sind die geplanten Änderungen ausreichend, um die bestehenden Herausforderungen zu beseitigen? Der Vortrag skizziert die derzeitige Rechtslage und die geplanten Änderungen nach dem Digitalen Omnibus. Er bewertet geplanten Änderungen und ihre Auswirkungen und skizziert, welche weiteren Änderungen der Unionsgesetzgeber umsetzen könnte.

Der Vortrag analysiert die datenschutzrechtlichen Implikationen der KI-Regulierung im Digitalen Omnibus, insbesondere die Definition personenbezogener Daten, Ausnahmen für Artikel-9-Daten, die rechtliche Fiktion(?) eines berechtigten Interesses, „überobligatorische” Maßnahmen und die Betroffenenrechte. Dabei werden die Vorschläge im Kontext der Stellungnahmen von NGOs wie noyb und Verbraucherschutzverbänden kritisch bewertet. Abschließend wird erörtert, wie sich in der Praxis ein Ausgleich zwischen Innovationsförderung und Grundrechtsschutz erreichen lässt.

Die DS-GVO wendet sich an Verantwortliche (Stellen). Diese haben die Einhaltung der datenschutzrechtlichen Vorschriften sicherzustellen. Doch was ist mit EDV-Verfahren und Systemen, welche vielfältig auf dem Markt angeboten werden? Müssen diese nicht auch bei ihrer Nutzung Datenschutzkonform sein? Oder ist es die Aufgabe eines Verantwortlichen diese datenschutzkonform umzugestalten? Gleiches gilt bei der Nutzung von Auftragsdatenverarbeiten, wie Cloud-Diensten. Wäre es nicht besser, wenn ein EDV-Programm von vorn herein die Vorgaben der DS-GVO einhalten und z.B. tatsächlich über eine Löschroutine verfügen würde.