{"id":643031,"date":"2025-12-13T06:57:55","date_gmt":"2025-12-13T06:57:55","guid":{"rendered":"https:\/\/www.europesays.com\/de\/643031\/"},"modified":"2025-12-13T06:57:55","modified_gmt":"2025-12-13T06:57:55","slug":"der-iapp-europe-dpc-2025","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/643031\/","title":{"rendered":"Der IAPP Europe DPC 2025"},"content":{"rendered":"<p>W\u00e4hrend der <a href=\"https:\/\/iapp.org\/conference\/iapp-europe-data-protection-congress\/\" target=\"_blank\" rel=\"noopener\">IAPP Europe Data Protection Congress<\/a> in Br\u00fcssel lief, ver\u00f6ffentlichte die EU-Kommission den digitalen Omnibus. Der Verordnungsentwurf beherrschte den Kongress am 19. und 20. November.<\/p>\n<p>\u00c4nderungen an der DSGVO waren lange undenkbar<\/p>\n<p>Auf dem Kongress im vergangenen Jahr war der \u201eBrussels Effect\u201c noch in aller Munde. Der EU war es mit der Datenschutz-Grundverordnung gelungen, einen Standard f\u00fcr diverse Datenschutzgesetze auf der ganzen Welt zu setzen. Wegen dieser Vorbildfunktion, aber auch wegen des langwierigen Gesetzgebungsverfahrens schienen substantielle \u00c4nderungen der DSGVO \u00e4u\u00dferst unwahrscheinlich.<\/p>\n<p>Seit ein paar Wochen gilt das alles nicht mehr. Die EU-Kommission hat in ihren Entwurf f\u00fcr die Omnibus-Verordnung nicht nur \u00c4nderungen an Kernregelungen der DSGVO aufgenommen, sondern auch an weiteren digitalen Rechtsakten wie dem Data Act. Die KI-Verordnung soll ebenfalls angepasst werden \u2013 bevor sie vollst\u00e4ndig wirksam geworden ist.<\/p>\n<p>Druck der politischen Weltlage<\/p>\n<p>Die weltweite Vorbildfunktion der DSGVO k\u00f6nnte darunter leiden, wenn deren Standards pl\u00f6tzlich ins Wanken geraten. Aber die Staatengemeinschaft verabschiedet sich in letzter Zeit von vielen alten Gewissheiten. Warum sollten ausgerechnet Datenschutz-Standards unangetastet bleiben?<\/p>\n<p>Der Washingtoner Datenschutzexperte Travis LeBlanc sah die Omnibusgesetzgebung durchaus in einer Entwicklung, die sich deutlich seit der Rede des US-Vizepr\u00e4sidenten Vance auf dem <a href=\"https:\/\/live.handelsblatt.com\/die-7-wichtigsten-erkenntnisse-des-ai-action-summit\/\" target=\"_blank\" rel=\"noopener\">AI Action Summit<\/a> im Februar abzeichnete. Vance kritisierte in Paris ausdr\u00fccklich die DSGVO als \u00dcberregulierung.<\/p>\n<p>Von dieser Entwicklung ist auch Travis LeBlanc ganz pers\u00f6nlich betroffen. Er war Mitglied des <a href=\"https:\/\/www.pclob.gov\/Board\/Index\" target=\"_blank\" rel=\"noopener\">U.S. Privacy and Civil Liberties Oversight Board<\/a>, das die Einhaltung der Vorgaben des EU-U.S. Data Privacy Framework in den USA \u00fcberwacht. Er wurde mit zwei anderen demokratischen Board-Mitgliedern <a href=\"https:\/\/www.theguardian.com\/commentisfree\/2025\/feb\/06\/trump-oversight-board-firing-security\" target=\"_blank\" rel=\"noopener\">von der Trump-Regierung abgesetzt<\/a>.<\/p>\n<p>Der Europaabgeordnete Michael McNamara sprach ganz offen aus, dass der Omnibus auf \u201eLobbying from across the Atlantic\u201c beruht. Nach Meinung der niederl\u00e4ndischen Politikerin und Aktivistin Sophie Helena in \u2019t Veld gibt Europa mit dem Omnibus seine digitale Souver\u00e4nit\u00e4t auf.<\/p>\n<p>Welche Regelungen enth\u00e4lt der Omnibus zum Datenschutz?<\/p>\n<p>In der Einleitung der Omnibus-Verordnung ist nat\u00fcrlich keine Rede von \u00e4u\u00dferem Druck. Die EU-Kommission stellt den Verordnungsentwurf unter das Motto \u2018A simpler and faster Europe\u2019 und beruft sich unter anderem auf den <a href=\"https:\/\/commission.europa.eu\/topics\/competitiveness\/draghi-report_en\" target=\"_blank\" rel=\"noopener\">Draghi-Report<\/a>. Der \u201c<a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/library\/digital-omnibus-regulation-proposal\" target=\"_blank\" rel=\"noopener\">Proposal for Regulation on simplification of the digital legislation<\/a>\u201d umfasst 150 Seiten, ab Seite 54 geht es um die \u00c4nderungen der DSGVO.<\/p>\n<p><strong>Dazu geh\u00f6ren im Detail die Folgenden:<\/strong><\/p>\n<ul>\n<li>Die <strong>Definition personenbezogener Daten<\/strong> in Art. 4 Nr. 1 DSGVO soll erg\u00e4nzt werden. Pseudonymisierte Daten k\u00f6nnen f\u00fcr den Verantwortlichen personenbezogen sein, f\u00fcr den Empf\u00e4nger jedoch anonym bleiben, sofern eine Re-Identifizierung ausgeschlossen ist. Nach einem neuen Art. 41a DSGVO soll die EU-Kommission technische Standards vorgeben, welche die Wiederherstellung des Personenbezugs so weit wie m\u00f6glich ausschlie\u00dfen.<\/li>\n<li>Die <strong>Informationspflichten<\/strong> aus Art. 13 DSGVO werden unter bestimmten Bedingungen erleichtert.<\/li>\n<li>In Art. 22 DSGVO wird klargestellt, dass automatisierte Entscheidungen zul\u00e4ssig sind, wenn sie auf Vertrag, Gesetz oder Einwilligung beruhen \u2013 auch dann, wenn eine menschliche Entscheidung m\u00f6glich w\u00e4re.<\/li>\n<li>Die <strong>Auskunft<\/strong> nach Art. 15 DSGVO kann verwehrt werden, wenn eine betroffene Person \u201edie durch diese Verordnung gew\u00e4hrten Rechte f\u00fcr andere Zwecke als den Schutz ihrer Daten missbraucht\u201d.<\/li>\n<li><strong>Datenschutzverletzungen<\/strong> m\u00fcssen nur noch bei einem hohen Risiko f\u00fcr die betroffenen Personen gemeldet werden. Die Meldefrist verl\u00e4ngert sich von 72 auf 96 Stunden. Au\u00dferdem muss bei Vorf\u00e4llen nach NIS2, DSGVO und DORA nur eine einheitliche Meldung erfolgen.<\/li>\n<li>Der EDSA erstellt verbindliche Vorlagen f\u00fcr die <strong>Datenschutz-Folgenabsch\u00e4tzung<\/strong>.<\/li>\n<li>Die Rechtsgrundlage f\u00fcr das Setzen von <strong>Cookies<\/strong> soll nicht mehr in der Cookie-Richtlinie, sondern in Art. 88a DSGVO geregelt werden. Demnach k\u00e4men neben der Einwilligung auch berechtigte Interessen als Rechtsgrundlage in Betracht.<\/li>\n<li>Browser, Apps, Betriebssysteme oder Einwilligungsmanager sollen <strong>Signale an Websites<\/strong> senden, die individuelle Entscheidungen der Nutzenden \u00fcbermitteln, ob diese Cookies annehmen oder ablehnen wollen. Website-Anbieter sollen durch Art. 88b DSGVO verpflichtet werden, diese Signale zu akzeptieren und maximal alle sechs Monate erneut nachzufragen, ob man nicht doch Tracking-Cookies akzeptieren m\u00f6chte.<\/li>\n<li><strong>Berechtigte Interessen<\/strong> werden in Art. 88c DSGVO ausdr\u00fccklich als Rechtsgrundlage f\u00fcr das <strong>Training von KI-Modellen<\/strong> und den Betrieb von KI-Systemen anerkannt.<\/li>\n<\/ul>\n<p>Sieht so Vereinfachung aus?<\/p>\n<p>Der Verordnungsentwurf enth\u00e4lt \u201eSimplification\u201c schon im Namen und weitere 29-mal im Text. Die Meldung von Datenschutzverletzungen w\u00fcrde zum Beispiel augenscheinlich einfacher. Auch die Erg\u00e4nzungen zu pseudonymisierten Daten scheinen einfach nur das Urteil des EuGH in Sachen SRB (<a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=303863&amp;pageIndex=0&amp;doclang=de&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=16786370\" target=\"_blank\" rel=\"noopener\">Rechtssache C\u2011413\/23\u00a0P<\/a>) wiederzugeben.<\/p>\n<p>Doch ist das Urteil selbst \u00e4u\u00dferst kompliziert. Ob bei pseudonymisierten Daten aus Sicht des Empf\u00e4ngers der Personenbezug fehlt, muss in zahlreichen Gutachten im Einzelfall gekl\u00e4rt werden. Handelt es sich um eine Auftragsverarbeitung, gibt es bei fehlendem Personenbezug f\u00fcr den Empf\u00e4nger keinen Grund, einen entsprechenden Vertrag abzuschlie\u00dfen. Aus seiner Sicht ist die DSGVO \u00fcberhaupt nicht anwendbar.<\/p>\n<p>Karolina Mojzesowicz, seit \u00fcber zehn Jahren bei der EU-Kommission f\u00fcr Datenschutz zust\u00e4ndig, war sich sicher, dass ein solcher Vertrag trotzdem abgeschlossen werden muss. Leider lie\u00df sich das weder aus dem EuGH-Urteil noch aus dem Entwurf f\u00fcr die Omnibus-Verordnung herleiten. Wenn einer ausgewiesenen Expertin der EU-Kommission schon die Argumente ausgehen, d\u00fcrfte sich die Rechtslage wohl kaum vereinfachen.<\/p>\n<p>Erste Einsch\u00e4tzungen zum Omnibus<\/p>\n<p>Zu Beginn des Kongresses wurde die EDSA-Vorsitzende Anu Talus um eine Einsch\u00e4tzung gebeten. Sie \u00e4u\u00dferte sich vorsichtig, da zu diesem Zeitpunkt nur die geleakte Fassung des Verordnungsentwurfs bekannt war: \u201eCore principles must remain untouched. Some proposals raise some concerns.\u201c Am deutlichsten wurde sie mit \u201eexcessive approach.\u201d<\/p>\n<p>Dagegen verwies der belgische Datenschutzexperte Tanguy van Overstraeten auf die vorab kritisierte Einschr\u00e4nkung der besonderen Kategorien personenbezogener Daten. Der geleakte Verordnungsentwurf sah vor, dass Daten, aus denen sensible Merkmale nur mittelbar abgeleitet werden k\u00f6nnen, nicht mehr durch Art. 9 DSGVO gesch\u00fctzt sein sollten. Diese Einschr\u00e4nkung sei in dem ver\u00f6ffentlichten Entwurf nicht mehr enthalten.<\/p>\n<p>Der Europaabgeordnete McNamara meinte, der Zweck der erg\u00e4nzten Definition (pseudonymisierter) Daten sei nicht Vereinfachung, sondern \u201eDeregulierung\u201c. Auch von anderen wird kritisiert, dass die Definition das EuGH-Urteil nicht exakt wiedergebe.<\/p>\n<p>Ein ganzes Urteil l\u00e4sst sich aber kaum in einer gesetzlichen Definition unterbringen. Die notwendige Verk\u00fcrzung muss nicht zwangsl\u00e4ufig zu einer Aush\u00f6hlung des Begriffs personenbezogener Daten f\u00fchren. \u00dcber das Urteil hinaus gehen zun\u00e4chst nur die Vorgaben zum Stand der Technik bei der Re-Identifizierung. Diese Vorgaben dienen dem Schutz personenbezogener Daten.<\/p>\n<p>Die Omnibus-Verordnung w\u00fcrde auch nicht das ma\u00dflose Setzen von Cookies ohne Einwilligung erm\u00f6glichen. Schlie\u00dflich m\u00fcssen berechtigte Interessen genau abgewogen werden, was die Aufsichtsbeh\u00f6rden kontrollieren k\u00f6nnten.<\/p>\n<p>TGV statt Omnibus<\/p>\n<p>Anderen Kritikern geht der Entwurf nicht weit genug. Th\u00e9odore Christakis, Professor an der Universit\u00e4t Grenoble, befand einen Omnibus als zu langsam, weil der an jeder Haltestelle zum Stehen komme. F\u00fcr die weitreichenden Ziele der EU-Kommission, wie etwa digitale Souver\u00e4nit\u00e4t, ben\u00f6tige man einen franz\u00f6sischen Hochgeschwindigkeitszug.<\/p>\n<p>Die Wirtschaftsexpertin Christina Caffara hatte am Tag zuvor noch auf dem <a href=\"https:\/\/bmds.bund.de\/aktuelles\/eu-summit\" target=\"_blank\" rel=\"noopener\">Summit on European Digital Sovereignty<\/a> in Berlin gesprochen. Im Vergleich dazu, wie China und die USA ihre Interessen durchsetzen, hielt sie europ\u00e4ische Initiativen f\u00fcr ziemlich kleinkariert. Daher kam sie zu dem Schluss:<\/p>\n<blockquote>\n<p>\u201eI don\u2019t care about Omnibus.\u201c<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"W\u00e4hrend der IAPP Europe Data Protection Congress in Br\u00fcssel lief, ver\u00f6ffentlichte die EU-Kommission den digitalen Omnibus. Der Verordnungsentwurf&hellip;\n","protected":false},"author":2,"featured_media":643032,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3933],"tags":[331,332,548,663,158,3934,3935,13,151376,14,15,12],"class_list":{"0":"post-643031","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-eu","8":"tag-aktuelle-nachrichten","9":"tag-aktuelle-news","10":"tag-eu","11":"tag-europa","12":"tag-europaeische-union","13":"tag-europe","14":"tag-european-union","15":"tag-headlines","16":"tag-iapp","17":"tag-nachrichten","18":"tag-news","19":"tag-schlagzeilen"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/115710964717469230","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/643031","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=643031"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/643031\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/643032"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=643031"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=643031"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=643031"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}