Zum Inhalt springen Zur Navigation springen
27. Datenschutzkongress Berlin: „TikTok“ für Datenschutzexperten

27. Datenschutzkongress Berlin: „TikTok“ für Datenschutzexperten

Artikel von Dr. Nils Christian Haag·21. Mai 2026

Am 19. und 20. Mai 2026 fand der 27. Datenschutzkongress des Handelsblatts in Berlin statt. Augenzwinkernd wird die Veranstaltung auch das „TikTok der Datenschutzkonferenzen“ genannt, weil an zwei vollgepackten Tagen eine Vielzahl von Kurzvorträgen durchgezogen werden. Wie jedes Jahr war die Veranstaltung wieder hochkarätig besetzt mit Referierenden aus Politik, Forschung, Beratung, Konzern und Aufsichtsbehörden. Zentrale Themen 2026 waren AI-Governance und Reformbedarf auf Gesetzgeberseite.

Reformen im Datenschutz und Omnibus-Gesetze

Der wachsende Wunsch von Politik und Unternehmen nach mehr Möglichkeiten zur Datennutzung und weniger strengen Datenschutzvorschriften war unübersehbar. Erste Verbesserungen sollen die Omnibusgesetze der EU bringen, zum Teil wurden aber auch weitreichendere Reformen gewünscht.

Diskussionen zur Reformierung des Datenschutzrechts

Im Panel mit Dr. Marit Hansen (Landesbeauftragte für Datenschutz Schleswig-Holstein, ULD), Dr. Axel Kessler (Chief Privacy Officer Siemens), Frederick Richter (Stiftung Datenschutz), Dr. Winfried Veil (Bundesministerium für Digitales und Staatsmodernisierung) und Prof. Dr. Christiane Wendehorst (Universität Wien) wurde im Lichte des SRB-Urteils des EuGH kontrovers diskutiert, ob mehr Datenverarbeitungen aus dem Anwendungsbereich des Datenschutzrechts fallen sollten.

Für Winfried Veil wäre dies nicht genug, er plädierte für eine umfassende Reform – nicht nur des Datenschutzrechts, sondern des gesamten Datenrechts – und sprach vom Erfordernis einer „justinianischen Wende“ (auch Kaiser Justinian hatte 528 n. Chr. schon mit Überregulierung zu kämpfen). Ebenso forderte Axel Voss, Mitglied des Europäischen Parlaments (CDU/EVP) radikale Veränderungen im Datenschutzrecht: Vom Datenschutz zum Privatsphärenschutz, keine unterschiedlichen Auslegungen in den Mitgliedstaaten mehr, Entlastung kleiner Unternehmen und Abkehr von den Prinzipien des Art. 5 DSGVO. Wie schon in der Vergangenheit plädierte er für „free flow of data“. Befürwortet wurde von ihm zudem eine Aufwertung des betrieblichen Datenschutzbeauftragten im Gegenzug für eine Entlastung bei den Dokumentationspflichten.

Insgesamt ließ sich aber heraushören, dass radikale DSGVO-Reformen in der EU aktuell nicht mehrheitsfähig sein dürften. Realistisch sind kleinere Schritte, wie sie in den aktuellen Omnibus-Gesetzen vorgesehen sind.

Stand des Digitalen Omnibus-Pakets (VII)

Dr. Axel von dem Bussche von Tayler Wessing berichtete vom Stand des Digitalen Omnibus-Pakets (VII) der EU. Verabschiedet ist bislang nur der AI-Teil, nicht aber der Teil zum Data Act und zur DSGVO, der zurzeit Folgendes vorsehen würde:

  • Personenbezug: Klarstellung zum relativen Personenbezug wird wohl kommen, aber nicht so radikal wie im ersten Entwurf.
  • KI-Nutzung: Regelungen zur KI-Nutzung allenfalls klarstellend, keine echten neuen Rechtsgrundlagen.
  • Art. 9 DSGVO: Besondere Kategorien personenbezogener Daten sollen für die Verhinderung von Diskriminierung verarbeitet werden dürfen.
  • Cookies & Einwilligung: Wegfall von § 25 TDDDG und Regelung für eine One-Klick-Einwilligung in der DSGVO sowie White-Listing datenschutzfreundlicher Dienste.
  • Verfahrenserleichterungen: Einschränkung missbräuchlicher Auskunftsersuchen, Eindampfung der Informationspflichten und Anpassung der Meldepflichten (nur bei hohem Risiko, 96 Stunden Zeit, zentrale Meldestelle).

EuGH SRB-Urteil zum Personenbezug

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), stellte das SRB-Urteil des EuGH vom 4. September 2025 (C-413/23 P) zum relativen Personenbezug vor. Der Omnibus-Entwurf greift dieses Urteil auf, ist dabei nach Auffassung von Frau Kamp aber durch Satz 3 zu weitgehend und wird deshalb so nicht Gesetz werden. Die mit Spannung erwarteten EDSA-Guidelines zur Anonymisierung sollen im Sommer 2026 kommen.

Anschließend ging Prof. Dr. Alexander Roßnagel, Landesbeauftragter für Datenschutz und Informationsfreiheit Hessen (HBDI), ausführlich auf die Anforderungen an Anonymisierung ein: Die EuGH-Rechtsprechung sei mittlerweile gefestigt, das SRB-Urteil folgerichtig. Der relative Personenbezug galt insofern schon immer und wurde nun nur dahingehend konkretisiert, wie die Zuordenbarkeit durch Dritte zu berücksichtigen ist. Da der Personenbezug keine losgelöste Eigenschaft eines Datums sei, sondern immer von anderen Faktoren abhänge, können heute anonyme Daten durch neue Kontexte – etwa durch KI-basierte Re-Identifizierung – wieder personenbezogen werden.

Update IT-Sicherheitsrecht

Prof. Dr. Nikolaus Forgó (Institut für Innovation und Digitalisierung im Recht, Universität Wien) gab ein Update zum IT-Sicherheitsrecht, insbesondere zu den nicht unerheblichen und kaum sinnvollen Abweichungen zwischen den deutschen und österreichischen Umsetzungsgesetzen zur NIS-2-Richtlinie. Hier wäre eine stärkere Abstimmung sinnvoll gewesen.

AI und AI-Governance

Sebastian Böhme (Google) stellte Googles AI-Assistenten vor, der bald auch in Europa verfügbar sein soll. Prof. Dr. Dieter Kugelmann (Landesbeauftragter Rheinland-Pfalz) berichtete über die Angebote des LfDI Rheinland-Pfalz für KI-Reallabore nach Art. 57 KI-VO. Dr. Axel Kessler (Siemens) gab Einblicke in die konzerninterne Data-Sharing-Strategie: Der Druck auf die Datennutzbarkeit steigt, „Need to Know“ tritt in den Hintergrund, Siemens wünscht sich von der Politik größere Spielräume. Margo Steiner (VP Global Privacy, Data & AI Regulation, adidas) präsentierte AI Governance bei adidas eine vielversprechende Prüfungsübersicht des MIT.

Aus Unternehmenssicht berichteten weiterhin Jan Wittrodt (Group Head Privacy & Technology Law, Zalando), Dr. Philipp Raether (Chief Privacy & AI Trust Officer, Allianz Group) und Dr. Marein Elena Müller (Konzerndatenschutzbeauftragte, Deutsche Bahn) über AI Governance in ihren Unternehmen. Sebastian Dürdoth (Microsoft) ergänzte mit konkreten technischen und organisatorischen Maßnahmen (TOMs) für den KI-Einsatz und sieht naturgemäß Vorteile in der Cloud-Lösung gegenüber On-Premise-Ansätzen. So könnten etwa mit dem Security Copilot frühzeitig Angriffsmuster kundenübergreifend erkannt werden, was Einzelkunden bei sich allein nicht leisten könnten.

Internationaler Datenschutz

Tom Kemp, Executive Director der California Privacy Protection Agency (CPPA), stellte zugeschaltet aus Kalifornien seine Behörde vor – mit ähnlichen Aufgaben und Zielen wie die Aufsichtsbehörden in der EU, die es so in den USA sonst nicht gibt. Entsprechend schwer ist es in den USA für Betroffene, ihre Rechte nach dem CCPA auszuüben und durchzusetzen. Für Kalifornier:innen werden u. a. das Tool OOPS angeboten, das den auf US-Websites nötigen Opt-Out zur Ablehnung von Tracking-Cookies automatisiert ausübt, sowie das Tool DROPS für Löschungsanfragen.

Michael Will (Präsident des Bayerischen Landesamts für Datenschutzaufsicht, BayLDA) sprach über internationale Datentransfers – mit dem Fazit: Wie in der Schulmedizin gelte „viel hilft viel“. Data Privacy Framework (DPF), Standardvertragsklauseln (SCCs), Transfer Impact Assessments (TIAs) und spezifische TOMs werden auch in zunehmend unruhigen Zeiten auf globaler Ebene zukünftig helfen. Die Auswahl der Auftragsverarbeiter und solcher Anbieter, die digitale Souveränität bieten, wird wenig überraschend zunehmend wichtiger. Ausgang und Zeitpunkt des erwarteten Latombe-Urteils des EuGH zum DPF sind noch vollkommen offen.

Prof. Dr. Thomas Hoeren (Leiter des Instituts für Informations-, Telekommunikations- und Medienrecht der Universität Münster) sprach über digitale Souveränität – oder „MEGA: Make Europe Great Again“. Speicherorte seien dafür irrelevant, es komme nur auf faktische Zugriffsmöglichkeiten an. Entscheidend seien effektive Verschlüsselung, Schlüsselhoheit und Datenminimierung; siehe auch EuGH C-266/22 „CRRC Qingdao Sifang“.

Arbeitnehmerdatenschutz

Schließlich widmete sich Prof. Dr. Gregor Thüsing (Direktor des Instituts für Arbeitsrecht und Recht der sozialen Sicherheit, Universität Bonn) gewohnt unterhaltsam der Neuregelung des Arbeitnehmerdatenschutzes, die seit dem [EuGH-Urteil vom 30. März 2023 (C-34/21)](https://curia.europa.eu/juris/liste.jsf?num=C-34/21) zur Europarechtswidrigkeit von § 26 BDSG überfällig ist. Bisherige Entwürfe wurden zunächst von der FDP (Ampelkoalition) und zuletzt von der CDU (aktuelle Regierung) geblockt. Man arbeite aber weiter an einem Kompromiss, den Handlungswillen schätzte er aber als überschaubar sein. Zudem habe das [EuGH-Urteil zu Workday (C-65/23)](https://curia.europa.eu/juris/liste.jsf?num=C-65/23) hat den Handlungsspielraum der nationalen Gesetzgeber arg begrenzt, wodurch der umfassendere Gesetzentwurf von 2024 nicht mehr durchzubringen wäre.

KI beschäftigt Datenschutz weiter

Auch in diesem Jahr hat der Datenschutzkongress in Berlin den Zeitgeist der Datenschutzszene treffend abgebildet: AI Governance beschäftigt alle, die von KI extrem beschleunigten Veränderungen erhöhen den Druck auf den Gesetzgeber für passende Regelungen und befeuern den Wunsch nach mehr Datenaustausch und -nutzung. Datenschutz muss dabei eine zentrale Rolle spielen und sich den laufenden Veränderungen weiter anpassen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.