Der europäische Gesetzgeber plant mit dem Digital Omnibus wichtige Änderungen der DSGVO. Nachfolgend finden Sie einen kurzen Überblick zu dem aktuellen Vorschlag der zentralen Neuerungen:
- Definition personenbezogener Daten
Die Definition soll präzisiert werden: Ein Datum soll künftig nur dann als personenbezogen gelten, wenn die jeweilige Stelle tatsächlich über die Mittel zur Identifizierung einer Person verfügt. Ist dies vernünftigerweise nicht zu erwarten, würde es sich nicht um personenbezogene Daten handeln, auch wenn eine andere Stelle eine Identifizierung vornehmen könnte.
- Verarbeitung von Endgerätedaten & Online-Tracking
Die aktuellen Anforderungen für die Speicherung und den Zugriff auf Endgerätedaten aus §25 TDDDG soll in die DSGVO verschoben werden.
Dabei ist für die Speicherung und den Zugriff auf Endgerätedaten, etwa durch Cookies, eine Einwilligung nötig. Ausnahmen sollen bestehen für technisch notwendige Zwecke, wie die Kommunikationsübertragung, ausdrücklich gewünschte Dienste, interne Reichweitenanalysen und die Aufrechterhaltung der Sicherheit.
Erhält der Nutzer eine Einwilligungsanfrage, soll eine Ablehnung künftig mit nur einem Klick möglich sein. Bei Ablehnung darf die Abfrage mindestens 6 Monate lang nicht erneut gestellt werden; nach Zustimmung entfällt die wiederholte Abfrage innerhalb der Gültigkeit der Einwilligung.
- Maschinenlesbare Einwilligungssignale und PIMS
Websites und Apps könnten künftig dazu verpflichtet werden, dass Einwilligungen, Ablehnungen und Widersprüche auch in maschinenlesbarer, automatisierter Form erteilt werden können. Dies eröffnet die Möglichkeit zur Verwendung datenschutzfreundlicher Einwilligungsmanagement-Systeme (PIMS).
- Berechtigtes Interesse für KI-Systeme
Die Verarbeitung personenbezogener Daten zum Betrieb und zur Entwicklung von KI-Systemen könnte künftig auf Basis berechtigter Interessen möglich sein. Für Unternehmen würden jedoch zusätzliche technische und organisatorische Maßnahmen wie Datenminimierung, Transparenz und ein bedingungsloses Widerspruchsrecht bestehen bleiben.
- Meldepflicht bei Datenschutzverletzungen
Die Meldepflicht gegenüber Aufsichtsbehörden soll künftig nur noch bei Datenschutzverletzungen mit hohem Risiko für die Betroffenen bestehen. Zudem ist eine Verlängerung der Meldefrist auf 96 Stunden vorgesehen und eine Vereinheitlichung der Meldungen über zentrale Anlaufstellen geplant.
Handlungsempfehlung und Zeitrahmen
Der Gesetzgebungsprozess befindet sich aktuell noch im Konsultationsverfahren, da bis zum 11. März 2026 laufen wird. Die Verabschiedung durch die Kommission ist laut Angaben der Kommission für das erste Quartal 2027 geplant. Es ist unklar, ob und in welcher Form die geplanten Änderungen verabschiedet werden. Wir empfehlen, die weiteren Entwicklungen sorgfältig zu beobachten und sich auf mögliche Anpassungen der unternehmensinternen Prozesse einzustellen. Wir halten Sie zu weiteren Entwicklungen auf dem Laufenden.