Omnibus-Digitalisierungsreform der EU und seine Auswirkungen auf die Unternehmens-Praxis
Die EU überarbeitet ihre Digitalisierungsregulierung
Die Europäische Kommission verfolgt mit der sogenannten Omnibus-Digitalisierungsreform das Ziel, zentrale Digitalrechtsakte der Union in einem koordinierten Verfahren anzupassen. Betroffen sind insbesondere die Datenschutz-Grundverordnung, die KI-Verordnung, der Data Act sowie der Cyber Resilience Act.
Ausgangspunkt ist die politisch formulierte Zielsetzung, Regulierungslasten zu reduzieren. Das Gesetzespaket soll Doppelstrukturen abbauen, Fristen synchronisieren und bestimmte Pflichten risikoadäquat ausgestalten.
Doch was bedeutet das nun konkret für Unternehmen? Dieser Blogbeitrag soll mit Fokus auf den Datenschutz einen ersten Überblick über die geplanten Änderungen verschaffen und die möglichen Praxisauswirkungen beleuchten.
Die wichtigsten Anpassungen der DSGVO im Überblick
Umsetzung eines adressatenbezogenen Begriffs der „personenbezogenen Daten“:
Es erfolgt eine Umsetzung der EuGH- Rechtsprechung (Rs. C-413/23), indem das Gesetz jetzt ausdrücklich eine relative, adressatenbezogene Betrachtung des Begriffs kodifiziert. Daten sollen für eine verarbeitende Stelle nur dann personenbezogen sein, wenn diese selbst über Mittel verfügt, mit denen eine Identifizierung der betroffenen Person vernünftigerweise zu erwarten ist. Dass andere Stellen eine Identifizierung vornehmen könnten, ist künftig unerheblich.
Auswirkungen auf die Praxis: Unternehmen müssen künftig im Einzelfall bewerten, ob Daten für sie tatsächlich personenbezogen sind oder nicht. Das stellt Verantwortliche vor neue Abwägungsfragen bei Informationspflichten, Betroffenenrechten und Vertragsbeziehungen, da stark auf die eigenen Ermittlungsmöglichkeiten abgestellt wird. Mit dem neu geplanten Art. 41a DSGVO hat sich die die EU-Kommission die Möglichkeit geschaffen, Mittel und Kriterien zur Klärung dieser Frage zur Verfügung zu stellen.
Rechtsgrundlagen: Berechtigtes Interesse für KI und Forschung
Sowohl wissenschaftliche Tätigkeiten – auch mit wirtschaftlichem Hintergrund – als auch die Entwicklung und der Betrieb von KI-Systemen können nun auf ein berechtigtes Interesse des Verantwortlichen gestützt werden. Eine Einwilligung kann damit im Einzelfall entbehrlich sein, insbesondere beim Training von KI-Modellen. Die erforderliche Interessenabwägung für das berechtigte Interesse bleibt bestehen.
Auswirkungen auf die Praxis: Aus Sicht vieler Unternehmen ist es zu begrüßen, dass das berechtigte Interesse als Rechtsgrundlage für die genannten Bereiche von gesetzgeberischer Seite rechtssicher anerkannt wird. Gleichwohl wird es bei der Abwägung der entgegenstehenden Interessen ein wesentlicher Faktor bleiben, dass Betroffene die Auswirkungen auf ihre Rechte beim Einsatz von KI nur schwer beurteilen können.
Ausnahmen bei sensiblen Daten im KI-Kontext
Art. 9 DSGVO soll um eine eng gefasste Regelung ergänzt werden, die eine technisch unvermeidbare, nicht beabsichtigte Mitverarbeitung besonderer Datenarten bei KI-Anwendungen zulässt. Voraussetzung ist, dass diese Daten weder gezielt verwendet noch dauerhaft gespeichert, sondern – soweit möglich – erkannt und entfernt werden.
Auswirkungen auf die Praxis: Unternehmen müssen hier also Prozesse entwickeln, die geeignet sind, sensible Kontexte zu bestimmen und dann – im Rahmen eines verhältnismäßigen Aufwandes – aus dem Verarbeitungssystem zu entfernen. Kritiker sehen hier die Gefahr, dass Argumentationsspielraum für die Verarbeitung vermeintlich unvermeidbarer Datenrückstände geschaffen wird und so eine Legitimation „durch die Hintertür“ aufgestoßen wird.
Begrenzung missbräuchlicher Auskunftsbegehren
Verantwortliche sollen offensichtlich unbegründete oder missbräuchliche Auskunftsersuchen leichter zurückweisen oder mit einem angemessenen Kostenersatz versehen können. Ziel ist es, zweckwidrige Inanspruchnahmen einzudämmen und den administrativen Aufwand auf ein vertretbares Maß zu reduzieren, ohne die Betroffenenrechte als solche infrage zu stellen.
Auswirkungen auf die Praxis: Was sich nicht ändern wird, ist die Beweislast für einen solchen missbräuchlichen Antrag, welche nach wie vor beim Verantwortlichen liegt. Dagegen wird das Beweismaß dahingehend abgesenkt, dass nunmehr die Darlegung berechtigter Gründe für die Annahme eines exzessiven Charakters genügen soll. Freilich beseitigt diese Regelung nicht die Frage, wann die Schwelle zum Missbrauch im konkreten Einzelfall überschritten ist.
Entlastung bei Informationspflichten
In eindeutig risikoarmen Fällen sollen Informationspflichten entfallen können, wenn davon auszugehen ist, dass die betroffene Person bereits über die maßgeblichen Umstände informiert ist. Ausgenommen bleiben sensible Konstellationen wie automatisierte Entscheidungen oder Datenübermittlungen in Drittstaaten.
Auswirkungen auf die Praxis: Entlastung verspricht diese Regelung vor allem für kleine Betriebe und Vereine, die Verarbeitungen im Rahmen des alltäglichen Lebens vornehmen (beispielhaft genannt werden Handwerksbetriebe und Sportvereine). Unternehmen, die in größerem Umfang am Wirtschaftsleben teilnehmen, werden von der Erleichterung eher nicht profitieren können. Hier bleibt abzuwarten, wie die neu eingeführten Rechtsbegriffe der Ausnahmeregelung auszufüllen sind.
Vereinfachtes Meldeverfahren bei Datenschutzverstößen
Das System zur Anzeige von Datenschutzverletzungen soll gestrafft werden. Meldepflichtig wären nur noch Vorfälle mit voraussichtlich „hohem“ Risiko, die Frist soll 96 statt bisher 72 Stunden betragen, und eine zentrale europäische Meldestelle bei der Agentur der EU für Cybersicherheit (ENISA) soll Mehrfachanzeigen vermeiden. Dies soll sowohl Unternehmen als auch Aufsichtsbehörden organisatorisch entlasten.
Auswirkungen auf die Praxis: Ein Ansatz, der wohl tatsächlich Druck von Unternehmen und Aufsichtsbehörden nehmen wird. Die Erhöhung der Risikoschwelle verspricht eine Reduzierung der Meldungen. Für den Fall einer Meldung bedeutet die Verlängerung der Meldefrist ebenfalls eine Entlastung auch in der Zusammenarbeit mit externen Datenschutzbeauftragten.
Datenschutzfolgenabschätzungen
Es ist vorgesehen, dass der europäische Datenschutzausschuss in Zukunft einheitliche Listen vorlegt, wann eine Datenschutzfolgenabschätzung erforderlich ist und wann nicht. Diese Listen wurden bisher von nationalen Aufsichtsbehörden herausgegeben.
Auswirkungen auf die Praxis: Konkrete Auswirkungen sind nicht abzusehen. Kriterien werden hier unionsweit vereinheitlicht. Die Harmonisierung birgt im Umkehrschluss die Gefahr, dass auf regionale oder sektorspezifische Risikolagen weniger Rücksicht genommen werden kann.
Neustrukturierung der Cookie-Regeln
Die Regelungen zu Cookies und sonstigen Zugriffen auf Endgerätesollen vollständig in die DSGVO integriert werden. Für bestimmte, wenig eingriffsintensive Zwecke wäre eine Verarbeitung auch ohne vorherige Einwilligung möglich. Gleichzeitig sollen technische Voreinstellungen in Browsern oder Betriebssystemen zentrale Präferenzen übermitteln können, um Einwilligungsprozesse zu vereinfachen und die Zahl klassischer Cookie-Banner zu verringern.
Auswirkungen auf die Praxis: Auch dieser Ansatz verspricht Erleichterungen. Es zeichnet sich ab, dass sich die Steuerungshoheit des Einwilligungsmanagements von den Webseitenbetreibern hin zu den Browsern und Betriebssystemen verlagern könnte. Eine Gefahr liegt aber vor allem für Vermarkter und Publisher darin, dass durch voreingestellte und standardisierte Einwilligungseinstellungen weniger Datengrundlage für Tracking vorhanden sein könnte. Hier drohen bewährte Analysemethoden im Bereich der Werbung durch die technischen Vorgaben von Betriebssystemen untergraben zu werden.
Fazit
Die weitere Entwicklung des Omnibus-Verfahrens ist zum aktuellen Zeitpunkt noch abzuwarten. Viele der angedachten Anpassungen werfen weitere Fragen zu Rechtsbegriffen auf, die in Zukunft erst durch die Rechtsprechung ausgefüllt werden müssten. Dennoch enthält das Vorhaben Ansätze – insbesondere im Bereich der Meldepflichten – die das Potential einer echten Erleichterung für Unternehmen in sich tragen.
Wir bei der AGOR.legal behalten alle weiteren Entwicklungen des Verfahrens im Blick und helfen Unternehmen dabei, den Spielraum zukünftiger regulatorischer Erleichterungen rechtssicher in die Praxis umzusetzen
Justyna Rulewicz
RECHTSANWÄLTIN / GESCHÄFTSFÜHRENDE PARTNERIN (CEO)
