KI-Anwendungen, Meldepflichten, Cookies: Dies sind drei der datenschutzrechtlichen Themenfelder des "Digital Omnibus" der EU-Kommission. Die Vorschläge heben die DSGVO aber nicht aus den Angeln. Eine Analyse von Niko Härting.
Die Europäische Kommission hat in der vergangene Woche Entwürfe für einen "Digitalen Omnibus" und einen "Digitalen Omnibus AI" (artificial intelligence, künstliche Intelligenz) vorgelegt – also Vorschläge zu mehreren Gesetzesänderungen in zwei Paketen, um bestehende Regelungen zum Datenschutz zu vereinheitlichen.
Ein Teil des "Digitalen Omnibusses" sind Änderungen und Ergänzungen der Datenschutz-Grundverordnung (DSGVO), die für viel Aufregung sorgen. Ein nüchterner Blick zeigt jedoch, dass die DSGVO durch die Vorschläge der Kommission keineswegs aus den Angeln gehoben wird. Die Vorschläge sind weder revolutionär noch gar umstürzlerisch. Dies gilt jedenfalls für die Vorschläge zur Künstlichen Intelligenz, zu den Meldepflichten und den Cookie- Bannern.
Neuer Erlaubnistatbestand in die DSGVO
Zu Künstlicher Intelligenz ist den Brüsseler Entwurfsverfassern nicht viel eingefallen. Dies könnte daran liegen, dass sich die beiden für den Entwurf zuständigen Generaldirektionen (DG JUST und DG Connect) nicht einigen konnten.
2016 hatte man es nicht für nötig befunden, spezielle Regelungen für Künstliche Intelligenz (damals noch "Big Data" genannt) in die DSGVO aufzunehmen. Dies hat sich jedoch schon bald als Versäumnis erwiesen, da man bei einer strengen Lesart der DSGVO keine rechtssichere Begründung zur Nutzung von Personendaten beim Training und beim Betrieb von KI-Anwendungen finden wird. Wenn sich auch nur das Wort "Brille" in einem Datensatz befindet, der zu Trainingszwecken benutzt wird, ist man schnell mit dem Problem konfrontiert, dass sich dieses Wort auf eine konkrete Person – die Brillenträgerin – beziehen könnte. Dann aber handelt es sich um ein Gesundheitsdatum, das man nach Art.9 DSGVO ohne Einwilligung der Brillenträgerin nicht rechtssicher nutzen kann. Ende Gelände für jedes KI-Training.
Art. 9 DSGVO soll jetzt um einen Erlaubnistatbestand ergänzt werden, der sich ausdrücklich auf das Training und den Betrieb von KI-Anwendungen bezieht. Dies allerdings mit massiven Einschränkungen in einem neuen Art. 9 Abs. 5 DSGVO. So ist eine Verpflichtung geplant, technische und organisatorische Maßnahmen vorzunehmen, die eine Einbeziehung von besonders geschützten Daten in das Training und den Betrieb von KI-Anwendungen verhindern. Entdeckt man, dass dennoch geschützte Daten erfasst worden sind, soll eine Entfernung dieser Daten Pflicht sein. Von dieser Pflicht soll es nur dann eine Ausnahme geben, wenn die Entfernung einen unverhältnismäßigen Aufwand erfordert und weitere Schutzmaßnahmen ergriffen werden.
Ausnahmen und Ausnahmen von diesen Ausnahmen
Das verworrene Geflecht von Ausnahmen und Ausnahmen von diesen Ausnahmen in Art. 9 Abs. 5 DSGVO wird in der Beratung dazu führen, als "sichersten Weg" zu empfehlen, beim Training und beim Betrieb von KI-Anwendungen vollständig auf besonders geschützte Personendaten zu verzichten. In der gelebten Datenschutzpraxis würde sich somit nichts ändern. Erst recht würde sich nichts ändern durch den vorgeschlagenen neuen Art. 88c DSGVO. Der soll vorsehen, dass das Training und der Betrieb von KI-Anwendungen eine Datenverarbeitung als "berechtigtes Interesse" gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO rechtfertigen können. Denn dies ist bereits nach geltendem Recht der Fall, aber mit der Unsicherheit versehen, dass es in jedem Einzelfall einer umfassenden Interessenabwägung bedarf. Die fällt nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) im Zweifel immer zulasten des Datenverarbeiters aus (EuGH Urt. v. 09.01.2025, Az. C-394/23).
Schlimmer noch: Die Vorschläge der Europäischen Kommission würden das Schlupfloch schließen, das das Oberlandesgericht (OLG) Köln unlängst mit einer akrobatischen Begründung für das KI-Training geöffnet hat. In seiner Meta/Llama-Entscheidung (Urt. v. 23.05.2025, Az. 15 UKl 2/25) hatte sich das OLG Köln auf den AI-Act gestützt und diesem entnommen, dass der europäische Gesetzgeber das Training von Sprachmodellen zwar regulieren, aber keineswegs verbieten wollte. Dies steht nach Auffassung des Kölner Gerichts einer strengen Auslegung der Art. 6 und 9 DSGVO auf KI-Anwendungen entgegen. Denn was im AI-Act durchaus gebilligt und gewollt ist, dürfe bei einer Auslegung der DSGVO nicht außer Acht gelassen werden.
Schlösse man jetzt die Lücke zwischen AI Act und der DSGVO nicht durch Brücken, wie jüngst von der Hamburger und der schleswig-holsteinischen Datenschutzbehörde vorgeschlagen, sondern durch die zurückhaltend-ängstlichen Bestimmungen aus dem "Digital Omnibus", wäre dies ein klares Bekenntnis des europäischen Gesetzgeber zu einer skeptischen Haltung, die eher auf Verbote als auf wohlwollende "Brücken" setzt. Anders als vom OLG Köln jüngst wohlwollend angenommen, könnte von einem beredeten Schweigen des Gesetzgebers zum Verhältnis von DSGVO und AI-Act nicht mehr die Rede sein.
Weniger Meldepflichten und längere Frist
Bei den Meldepflichten möchte die Kommission abspecken. Dies ist eine von nur zwei datenschutzrechtlichen Regelungen aus dem "Omnibus", die das Prädikat "grundlegend" verdient.
Art. 33 DSGVO sieht derzeit eine Meldepflicht bei Datenpannen vor, wenn "ein Risiko für die Rechte und Freiheiten natürlicher Personen" besteht. In einem solchen Fall ist der Verantwortliche verpflichtet, allen zuständigen Datenschutzbehörden die Datenpanne innerhalb von 72 Stunden zu melden. In manchen Fällen bedeutet dies, dass nicht nur eine Behörde verständigt werden muss, sondern zahlreiche Datenschutzbehörden in ganz Europa.
Bei den Behörden werden die Meldungen meist nur abgeheftet und archiviert. Für eine Bearbeitung jeder einzelnen Meldung fehlen Kapazitäten. Daher werden die Behörden durchaus dankbar sein, dass die Europäische Kommission Meldepflichten auf Fälle beschränken möchte, in denen ein "hohes Risiko" besteht und die betroffenen Bürgerinnen und Bürger ohnehin nach Art.34 DSGVO über die Panne informiert werden müssen. Dies wird den Aufsichtsbehörden die Fokussierung auf gravierende Datenpannen erleichtern. Hilfreich dürfte dabei auch die von der Kommission vorgeschlagene Verlängerung der Meldefrist auf 96 Stunden sein. Dies wirkt übereilten, unvollständigen und hastig geschriebenen Meldungen entgegen und erleichtert dadurch gleichfalls allen Beteiligten die Arbeit.
Weiterhin wird vorgeschlagen, durch Einrichtung eines "Single-Entry-Point", die Zuständigkeit der Aufsichtsbehörden für Meldungen von Datenschutzvorfällen auf die ENISA (Agentur der Europäischen Union für Cybersicherheit) zu übertragen. Hintergrund ist eine angestrebte Zentralisierung aller Meldestellen im Rahmen von Cybervorfällen. Auch dies ist ein guter und richtiger Schritt vor dem Hintergrund erweiterter Meldepflichten nach der NIS 2-Richtlinie.
Vernünftiges zu Cookies-Bannern
Ein grundlegender Schritt ist auch der Vorschlag, einheitliche Regelungen für Cookies und andere Tracking Tools in der DSGVO zu schaffen und das Nebeneinander von DSGVO und Art. 5 Abs. 3 E-Privacy-Richtlinie bzw. § 25 TDDDG zu beenden.
Es gibt kaum noch eine nachvollziehbare Erklärung dafür, dass das Setzen von Cookies fast immer eine Einwilligung erfordert, während nach Art. 6 DSGVO eine Datenverarbeitung auch dann ohne Einwilligung rechtmäßig ist, wenn sie der Vertragserfüllung dient oder auf überwiegend berechtigte Interessen gestützt werden kann. Das starre Einwilligungserfordernis beschert uns Beraterinnen und Beratern zwar viel (oft gut bezahlte) Arbeit bei der Gestaltung rechtskonformer Cookie-Banner. Als Nutzerinnen und Nutzer nerven uns diese Banner jedoch täglich, sie sind für die meisten von uns ein lästiges Ärgernis.
Daher ist es zu begrüßen, dass durch einen neuen Art. 88a DSGVO die Möglichkeiten eines Setzens von Cookies und die Verwendung anderer Trackingtools maßvoll erweitert werden soll. Über Einzelheiten wird gewiss zu diskutieren sein, unter anderem darüber, dass Art. 88a DSGVO nur für personenbezogene Daten gelten soll, während es bei anderen Daten bei den strengeren Bestimmungen des Art.5 Abs. 3 E-Privacy-Richtlinie bzw. § 25 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) bleiben würde. Wer Tracking-Tools als Instrument des "Überwachungskapitalismus" nicht vollständig verbieten (und es den werbefinanzierten Online-Medienseiten nicht noch schwerer machen) möchte, wird die Grundrichtung des vorgeschlagenen Art. 88a DSGVO jedenfalls begrüßen.
Vorschläge mit gewisser Tragweite
Auch der von der Kommission vorgeschlagene Art. 88b DSGVO wird vielen besonnenen Datenschützer:innen gefallen. Die Betreiber von Websites sollen zu einem Zusammenwirken mit Anbietern von "Personal Information Management-Systemen (PIMs)" ermutigt werden. Dahinter steckt die Vision eines Marktes von Treuhändern, die durch technische Lösungen anhand der Wünsche und Präferenzen ihrer Kundinnen und Kunden diesen das Management von Einwilligungen abnehmen und ihnen auf diese Weise die lästigen Cookie-Banner ersparen.
KI-Anwendungen, Meldepflichten, Cookies: Dies sind drei der datenschutzrechtlichen Themenfelder des "Digital Omnibus". Sie zeigen, dass die Vorschläge der Europäischen Kommission durchaus eine gewisse Tragweite haben und mehr als Kosmetik oder Augenwischerei sind. Datenschutzrechtliche Bilder werden jedoch nicht gestürmt. Und wer auf eine umfassende Modernisierung und Reform der DSGVO wartet, wird sich weiter gedulden müssen. Die Diskussion um eine wünschenswerte Reform wird jedoch ungeachtet aller "Omnibusse" weitergehen.
Prof. Niko Härting ist Rechtsanwalt und Partner bei Härting Rechtsanwälte in Berlin. Er ist außerdem Honorarprofessor an der Hochschule für Wirtschaft und Recht (HWR Berlin) und Mitglied des DAV-Vorstands. Seine Beratungsschwerpunkte liegen im Internet-, Datenschutz- und Fernabsatzrecht.
Vorschläge der Kommission zum Digitalen Omnibus: . In: Legal Tribune Online, 28.11.2025 , https://www.lto.de/persistent/a_id/58739 (abgerufen am: 07.12.2025 )
Infos zum Zitiervorschlag
