Im aktuellen Newsletter von Dr. Datenschutz gibt es eine Liste der in Omnibus-Verordnung geplanten Ädnerungen, die ich der Vollständigkeit halber zu meinem Beitrag von gestern nachschieben möchte. Das Thema ist halt heiß!
Die EU-Kommission stellt den Verordnungsentwurf unter das Motto ‘A simpler and faster Europe’ und beruft sich unter anderem auf den Draghi-Report. Der “Proposal for Regulation on simplification of the digital legislation” umfasst 150 Seiten, ab Seite 54 geht es um die Änderungen der DSGVO.
Dazu gehören im Detail die Folgenden:
- Die Definition personenbezogener Daten in Art. 4 Nr. 1 DSGVO soll ergänzt werden. Pseudonymisierte Daten können für den Verantwortlichen personenbezogen sein, für den Empfänger jedoch anonym bleiben, sofern eine Re-Identifizierung ausgeschlossen ist. Nach einem neuen Art. 41a DSGVO soll die EU-Kommission technische Standards vorgeben, welche die Wiederherstellung des Personenbezugs so weit wie möglich ausschließen.
- Die Informationspflichten aus Art. 13 DSGVO werden unter bestimmten Bedingungen erleichtert.
- In Art. 22 DSGVO wird klargestellt, dass automatisierte Entscheidungen zulässig sind, wenn sie auf Vertrag, Gesetz oder Einwilligung beruhen – auch dann, wenn eine menschliche Entscheidung möglich wäre.
- Die Auskunft nach Art. 15 DSGVO kann verwehrt werden, wenn eine betroffene Person „die durch diese Verordnung gewährten Rechte für andere Zwecke als den Schutz ihrer Daten missbraucht”.
- Datenschutzverletzungen müssen nur noch bei einem hohen Risiko für die betroffenen Personen gemeldet werden. Die Meldefrist verlängert sich von 72 auf 96 Stunden. Außerdem muss bei Vorfällen nach NIS2, DSGVO und DORA nur eine einheitliche Meldung erfolgen.
- Der EDSA erstellt verbindliche Vorlagen für die Datenschutz-Folgenabschätzung.
- Die Rechtsgrundlage für das Setzen von Cookies soll nicht mehr in der Cookie-Richtlinie, sondern in Art. 88a DSGVO geregelt werden. Demnach kämen neben der Einwilligung auch berechtigte Interessen als Rechtsgrundlage in Betracht.
- Browser, Apps, Betriebssysteme oder Einwilligungsmanager sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen. Website-Anbieter sollen durch Art. 88b DSGVO verpflichtet werden, diese Signale zu akzeptieren und maximal alle sechs Monate erneut nachzufragen, ob man nicht doch Tracking-Cookies akzeptieren möchte.
- Berechtigte Interessen werden in Art. 88c DSGVO ausdrücklich als Rechtsgrundlage für das Training von KI-Modellen und den Betrieb von KI-Systemen anerkannt.
Quelle: Dr. Datenschutz Newsletter vom 26.11.2025
Ich finde da sind ein paar ganz gute Sachen dabei. Der Befreihungsschlag für unsere Wirtschaft wird das aber nicht. Den kann man im Datenschutz auch nicht erwarten.
