Diese Website verwendet Cookies zu Analysezwecken und um die Benutzerfreundlichkeit zu erhöhen.
Sie können der Verwendung von Cookies zustimmen oder diese individuell konfigurieren.
Mehr zu unseren Datenschutzrichtlininen finden Sie auf der Seite Datenschutz.
Cookies in dieser Kategorie sind für die einwandfreie Funktion der Website erforderlich und können deshalb nicht deaktiviert werden.
Cookies in dieser Kategorie dienen der Analyse des Nutzerverhaltens und helfen uns die Benutzerfreundlichkeit der Website zu verbessern.
Service zur Analyse des Nutzungsverhaltens.
Die EU-Kommission hat am 19. November 2025 den „Digital Omnibus“ vorgestellt, einen Entwurf für eine Verordnung zur Anpassung der europäischen Digitalgesetzgebung (Data Act, DSGVO, ePrivacy, AI Act). Die geplanten Änderungen für die DSGVO sollen insbesondere datengetriebene Innovationen wie das Training von KI-Modellen mit personenbezogenen Daten in der Praxis umsetzbarer machen. Nachfolgend fassen wir die wesentlichen Elemente des Entwurfs für die DSGVO zusammen.
Der Entwurf konkretisiert die bereits seit Langem andauernde Diskussion darüber, wann Informationen für einen bestimmten Akteur als personenbezogen im Sinne der DSGVO gelten und damit deren Anwendungsbereich eröffnen. Künftig soll entscheidend sein, ob der Verantwortliche eine Person mit den ihm zur Verfügung stehenden Mitteln tatsächlich identifizieren kann.
Die Kommission soll weiters die Befugnis erhalten, Kriterien zu erlassen, anhand derer beurteilt werden kann, wann pseudonymisierte personenbezogene Daten für bestimmte Akteure nicht länger als personenbezogen gelten und dadurch nicht mehr unter den Anwendungsbereich der DSGVO fallen.
Der Entwurf stellt klar, dass die Bedingungen des Art 6 Abs 4 DSGVO zur Zweckkompatibilität bei der Weiterverarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke unberücksichtigt bleiben können.
Der Entwurf schafft zwei neue Ausnahmetatbestände im Art 9 DSGVO, die grundsätzlich die Verarbeitung besonderer Kategorien personenbezogener Daten für Entwicklung, Training, Testen oder Betrieb eines KI-Systems sowie die Verarbeitung biometrischer Daten für die Identitätsbestätigung unter strengen und spezifischen Voraussetzungen ermöglichen.
In klar definierten, nicht datenintensiven Konstellationen soll auf die Erfüllung bestimmter Informationspflichten verzichtet werden können, wenn davon auszugehen ist, dass Betroffene entsprechende, relevante Informationen bereits kennen. Konkret können für Forschungsvorhaben Informationspflichten entfallen, wenn deren Erfüllung faktisch unmöglich oder unverhältnismäßig wäre.
Nach dem Entwurf sollen automatisierte Entscheidungen, einschließlich Profiling gemäß Art 22 DSGVO, die für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind, unabhängig davon zulässig sein, ob die Entscheidung auch ohne ausschließlich automatisierte Mittel getroffen werden könnte. Demnach sollten automatisierte Entscheidungen auch dann zulässig sein, wenn eine menschliche Alternative möglich wäre.
Die Meldefrist an Aufsichtsbehörden soll von 72 auf 96 Stunden verlängert werden.
Die bisher auf nationaler Ebene geregelten Bestimmungen darüber, wann eine DSFA verpflichtend durchzuführen ist oder entfallen kann, sollen nunmehr einheitlich auf europäischer Ebene vorgegeben werden
Nachdem die Kommission nun offenbar davon ausgeht, dass eine ePrivacy-Verordnung nicht mehr umgesetzt wird, soll das ePrivacy-Regime nun teilweise durch den Digital Omnibus geregelt werden. So finden sich unter anderem Vorgaben zu einer Ein-Klick-Ablehnmöglichkeit sowie zu standardisierten, maschinenlesbaren Mechanismen für Einwilligungen und Ablehnungen. Letzteres könnte zur Folge haben, dass durch entsprechende Browser- oder App-Einstellungen die Auswahl am Cookie-Banner beim Besuch einer Website künftig nicht mehr erforderlich sein könnte.
Der Entwurf stellt ausdrücklich klar, dass Verantwortliche personenbezogene Daten zur Entwicklung und zum Betrieb von KI-Systemen oder KI-Modellen auf das berechtigte Interesse gemäß Art 6 Abs 1 lit f DSGVO stützen können, sofern keine spezialgesetzliche Einwilligungspflicht besteht und die Interessen oder Grundrechte der betroffenen Personen nicht überwiegen.
Der Digital Omnibus bringt mehr Änderungen in der DSGVO als erwartet und schafft für die Wirtschaft wichtige Erleichterungen. Durch neue Ausnahmen und Rechtsgrundlagen sowie klarere Begriffe wird die Verarbeitung personenbezogener Daten für KI-Modelle erstmals systematisch in der DSGVO adressiert. Kritiker sehen darin allerdings eine mögliche Aufweichung des bisherigen hohen Datenschutzniveaus.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.