Der Datenschutz in der Europäischen Union basiert seit 2018 primär auf der Datenschutz-Grundverordnung (DSGVO). Diese Verordnung hat das Datenschutzrecht in der EU größtenteils harmonisiert und einen hohen Schutzstandard für natürliche Personen geschaffen. In den einzelnen Mitgliedstaaten der EU wird die DSGVO aufgrund ihrer Öffnungsklauseln durch flankierende nationale Datenschutzgesetze ergänzt.

2026 stehen wesentliche Reformen und Debatten an, die den Datenschutz sowohl materiell als auch verfahrensrechtlich weiterentwickeln sollen. Im Zentrum steht dabei ein umfassender „Digital Omnibus“-Vorschlag der Europäischen Kommission, mit dem insbesondere die DSGVO in einigen zentralen Punkten angepasst werden soll.

Redefinition des Begriffs „personenbezogene Daten“

Eines der umstrittensten Elemente des Vorschlags ist eine Anpassung der Definition von „personenbezogene Daten“ gemäß Artikel 4 DSGVO. Nach bisheriger Rechtslage gelten Daten als personenbezogen, wenn sie eine natürliche Person identifizieren oder zumindest identifizierbar machen. Wo die Grenze zu anonymen Daten verläuft, bei denen eine Zuordnung zu einer natürlichen Person ausgeschlossen ist, hängt dabei vom Einzelfall ab, wobei nach gängiger Entscheidungspraxis die Identifizierbarkeit sehr früh gegeben ist.

Nach den Reformgedanken sollen Daten nur noch dann als personenbezogen gelten, wenn eine natürliche Person vernünftigerweise identifizierbar ist. Maßgeblich sollen dabei die jeweils im konkreten Fall zur Verfügung stehenden Mittel sein und nur wenn dem Akteur mit diesen im Einzelfall eine Identifizierung tatsächlich möglich ist, sollen personenbezogene Daten gegeben sein. Eine kürzlich ergangene Entscheidung des EuGH stützt diese Ansicht. Zusätzlich soll die Kommission befugt werden, Kriterien für die Beurteilung festzulegen, unter welchen Voraussetzungen bloß pseudonymisierte personenbezogene Daten für bestimmte Akteure nicht mehr als personenbezogen gelten.

Mit diesem Reformplan wird die bereits seit langer Zeit geführte Debatte aufgegriffen, ob es für die Beurteilung, ob ein Akteur einen Personenbezug herstellen kann, nur auf dessen konkretes Wissen und (insbesondere technische) konkrete Möglichkeiten ankommt, oder auf das generell zur Verfügung stehende Wissen und die allgemein verfügbaren Mittel.

Kritiker halten dies für eine substanzielle Schwächung des Schutzbereichs der DSGVO, da pseudonymisierten Daten in vielen Fällen der Schutz der DSGVO entzogen werden. Dies insbesondere, weil die Schwelle von technischen und organisatorischen Maßnahmen beeinflusst werden kann und es daher schwierig ist, die Schwelle rechtssicher festzulegen.

Automatisierte Entscheidungsfindung und Profiling

Nach dem Vorschlag sollen für die Vertragserfüllung notwendige automatisierte Entscheidungen, einschließlich Profiling selbst dann zulässig sein, wenn auch ein Mensch diese Entscheidung hätte treffen können, dies aber etwa in keinem Verhältnis zum dafür notwendigen monetären oder zeitlichen Aufwand stünde. Dies stellt jedoch weniger eine echte Neuerung als vielmehr eine Klarstellung dar, da es bei der Interpretation des hier maßgeblichen Artikel 22 DSGVO in der Vergangenheit zu Missverständnissen kam. So sind nur einzelne Literaturstimmen der Ansicht, dass nach geltendem Recht eine automatisierte Entscheidungsfindung einschließlich Profiling für die Vertragserfüllung dann unzulässig ist, sofern eine menschliche Alternative (wenn auch unter Einsatz unverhältnismäßiger Ressourcen) möglich wäre.

Neue Rechtsgrundlage für KI-Verarbeitung

Der Vorschlag bildet die Basis, die Entwicklung und Nutzung von KI-Systemen ausdrücklich als „berechtigtes Interesse“ gemäß Artikel 6 Absatz 1 lit f DSGVO anzuerkennen. Zusätzlich soll eine neue Voraussetzung in Artikel 9 DSGVO geschaffen werden, um die Verarbeitung besonderer Kategorien personenbezogener Daten, zu denen insbesondere Gesundheitsdaten zählen, für KI-Zwecke zu regeln.

Kritiker erblicken hier das Risiko, dass bisher streng geschützte sensible Daten wie etwa Gesundheitsdaten oder biometrische Daten leichter verarbeitet werden können, wenn die technische Umsetzung als ausreichender Schutz angesehen wird. Befürworter sehen darin dagegen die Chance solche Daten in der EU selbst auf Basis einer tauglichen Rechtsgrundlage verarbeiten zu können, um das Feld nicht Dienstleistern in Drittstaaten zu überlassen oder von diesen möglicherweise mit einer Rechtswidrigkeit behaftete Daten zu erhalten.

Anpassungen bei Meldungen von Data Breaches

Der Vorschlag sieht vor, die Frist zur Meldung von Datenverstößen an die Aufsichtsbehörde von 72 auf 96 Stunden zu verlängern und die Meldepflicht nur auf hochriskante Vorfälle zu beschränken.

Zwar verbessert eine Höherstufung der Schwelle die Praktikabilität für Unternehmen und entlastet Behörden, laut Kritikern besteht jedoch die Gefahr, dass Vorfälle mit tatsächlichem Schutzbedürfnis der betroffenen Personen späte oder ungenaue Meldungen erfahren.

Datenschutzfolgenabschätzungen

Der Vorschlag will einheitliche Listen einführen, in denen jene Fälle beschrieben sind, in denen eine Datenschutzfolgenabschätzung notwendig ist, und in denen eine solche entfallen kann. Dazu soll der Europäische Datenschutzausschuss (EDSA) entsprechende Vorschläge sowie eine gemeinsame Vorlage und Methodik zur Durchführung von Datenschutzfolgenabschätzungen erstellen.

Harmonisierung der Durchsetzungsmechanismen

Zur Verbesserung der grenzüberschreitenden Durchsetzung der DSGVO haben der Rat der Europäischen Union und das Europäische Parlament bereits eine vorläufige Einigung erzielt, die Zusammenarbeit zwischen nationalen Datenschutzbehörden zu stärken und verwaltungsrechtliche Verfahren zu vereinfachen.

Eine effektive Zusammenarbeit über Landesgrenzen hinweg kann den Datenschutz in der Praxis stärken, da datenverarbeitende Unternehmen oft in mehreren Mitgliedstaaten tätig sind.

Grundrechtsschutz vs. Wettbewerbsfähigkeit

Ein zentrales Spannungsfeld der Reformdebatte ist die Balance zwischen hohem Datenschutzstandard und wirtschaftlicher Wettbewerbsfähigkeit insbesondere im Bereich datenintensiver Technologien wie KI, Big Data oder Gesundheitsforschung.

Die EU-Kommission betont, dass die Vorschläge nicht zu einer Abschwächung des Datenschutzes führen sollen, sondern zu Klarheit und Effizienz. Kritiker warnen jedoch vor einem „Rollback“ von Schutzstandards, insbesondere wenn Begriffsdefinitionen erweitert oder Rechtsgrundlagen flexibler ausgestaltet werden.

Fazit

Die Datenschutznovelle 2026 steht vor dem Hintergrund tiefgreifender technologischer, rechtlicher und ökonomischer Veränderungen. Die geplanten Reformen der DSGVO zielen auf Vereinfachung, Praktikabilität und Innovation ab – doch sie bergen zugleich das Risiko einer Aushöhlung des bisherigen hohen Datenschutzstandards. Die echte Herausforderung 2026 wird darin bestehen, einen Datenschutzrahmen zu schaffen, der effektiv schützt, rechtssicher ist und gleichzeitig Innovationen nicht ungebührlich behindert. Ob der vorliegende Entwurf diesen Balanceakt schafft, bleibt ebenso abzuwarten wie die Frage, ob der Digitale Omnibus zu den datenschutzrechtlichen Themen tatsächlich in der vorliegenden Form umgesetzt wird.

Zum Arbeitgeberprofil von Jank Weiler Operenyi Rechtsanwälte GmbH | Deloitte Legal