Die EU-Kommission hat am 19.11.2025 den „digitalen Omnibus“ vorgestellt, um Regelwerke wie die DSGVO zu vereinfachen und fit für das KI-Zeitalter zu machen. Erklärtes Ziel der Kommission ist mehr Wettbewerbsfähigkeit bei gleichbleibend hohen Grundrechts- und Datenschutzstandards. Das Vorhaben hat eine Debatte über mögliche Abstriche beim Datenschutzniveau angestoßen. Insbesondere die geplanten Änderungen an der Definition personenbezogener Daten scheidet die Geister. Dieser Artikel gibt Einblick in aktuelle Stellungnahmen dazu von EDSA, EDSB, Bitkom und noyb.
Der Inhalt im Überblick
Was ändert sich an Art. 4 Nr. 1 DSGVO?
Die Definition personenbezogener Daten würde um den folgenden Abschnitt ergänzt werden:
„Angaben zu einer natürlichen Person sind nicht notwendigerweise personenbezogene Daten für jede andere Person oder Einrichtung, nur weil eine andere Einrichtung diese natürliche Person identifizieren kann. Angaben sind für eine bestimmte Einrichtung nicht personenbezogen, wenn diese Einrichtung die natürliche Person, auf die sich die Angaben beziehen, in Anbetracht der mit hinreichender Wahrscheinlichkeit von dieser Einrichtung genutzten Mittel, nicht identifizieren kann. Derartige Angaben werden für diese Einrichtung nicht allein deshalb personenbezogen, weil ein potenzieller späterer Empfänger über Mittel verfügt, die mit hinreichender Wahrscheinlichkeit zur Identifizierung der natürlichen Person, auf die sich die Angaben beziehen, verwendet werden können.“
EDSA und EDSB ziehen rote Linie
Der Europäische Datenschutzbeauftragte (EDSB) und der Europäische Datenschutzausschuss (EDSA) haben in einer gemeinsamen Stellungnahme erklärt, dass sie die vorgeschlagene Neudefinition personenbezogener Daten entschieden ablehnen.
Nach ihrer Auffassung geht die Kommission weit über ihr eigenes Ziel hinaus, lediglich „gezielte“ oder „technische Änderungen“ an der DSGVO vorzunehmen. Die Definition personenbezogener Daten bilde den Kern des europäischen Datenschutzrechts. Eine Änderung hätte unmittelbare Auswirkungen auf den sachlichen Anwendungsbereich der DSGVO und könnte den effektiven Schutz der Grundrechte schwächen.
Zudem kritisieren EDSA und EDSB, dass die Kommission mit ihrem Vorschlag Erwägungsgrund 26 DSGVO unterlaufe. (Dieser stellt in Satz 2 klar, dass auch pseudonymisierte personenbezogene Daten, die durch zusätzliche Informationen wieder einer natürlichen Person zugeordnet werden können, weiterhin als Informationen über eine identifizierbare natürliche Person anzusehen sind.)
Die EDSA-Vorsitzende Anu Talus sagt dazu:
„Eine Vereinfachung ist für den Bürokratieabbau und die Stärkung der Wettbewerbsfähigkeit der EU von entscheidender Bedeutung, jedoch nicht zulasten der Grundrechte.“
Weiterhin führen EDSA und EDSB aus, die geplante Änderung bilde die Rechtsprechung des EuGH nicht korrekt ab, sondern gehe deutlich darüber hinaus. Dies gelte insbesondere mit Blick auf die Regelungen zum „potenziell späteren Empfänger“ im letzten Satz des Vorschlags.
In diesem Zusammenhang verweisen sie auf das Urteil EDSB gegen SRB, in dem der EuGH seine bisherige Linie bestätigt habe: Daten können personenbezogen sein, wenn sie einem Empfänger zur Verfügung gestellt werden, der mit hinreichender Wahrscheinlichkeit über Mittel verfügt, um eine betroffene Person zu identifizieren. In solchen Fällen bestehe nach ihrer Darstellung sowohl für den Empfänger als auch für die datenübermittelnde Stelle ein Personenbezug.
Abschließend warnen EDSA und EDSB, Verantwortliche könnten künftig gezielt nach Lücken suchen, um die Anwendung der DSGVO zu umgehen. Dies würde nach ihrer Einschätzung zu mehr Rechtsunsicherheit führen, insbesondere durch eine „negative“ Definition des Personenbezugs und den Einsatz unklarer, nicht näher bestimmter Begriffe.
Bitkom – Blick auf die Praxis
Bitkom, der Branchenverband der deutschen Informations- und Telekommunikationswirtschaft, begrüßt die stärkere Ausrichtung auf realistische Identifizierbarkeit und tatsächliche Risiken statt lediglich hypothetischer Re-Identifizierungsmöglichkeiten. Dadurch könnten nach Ansicht von Bitkom unnötige Compliance-Belastungen verringert werden, wovon letztlich Forschung, KI-Entwicklung und Produktentwicklung profitieren würden.
Bitkom schlägt vor, zusätzlich die Rollen von Verantwortlichen und Auftragsverarbeitern klarer zu regeln: Wenn Daten für den Empfänger faktisch nicht personenbezogen sind, sollte auch keine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO erforderlich sein. In einer Umfrage von Bitkom heißt es:
„63 % der deutschen Unternehmen sprechen sich für eine vereinfachte Nutzung pseudonymisierter Daten aus.“
Zudem sollten die Kriterien für „Mittel, deren Einsatz vernünftigerweise wahrscheinlich ist“ einheitlich, risikobasiert und praxisnah angewandt werden (etwa unter Berücksichtigung von Zeit, Kosten, Technik, Zugriffsrechten und Schutzmaßnahmen) und durch Beispiele veranschaulicht werden.
Weitere praktische Klarstellungen zu Pseudonymisierung und Anonymisierung sowie optionale, zertifizierbare Standards könnten nach Bitkom mehr Rechtssicherheit schaffen. Insbesondere sollte klargestellt werden, dass wirksam anonymisierte Daten eindeutig außerhalb des Anwendungsbereichs der DSGVO liegen und dass die Anonymisierung von Daten kein eigenständiger, kontinuierlicher Verarbeitungsvorgang ist.
noyb – oder auch: „Schrödingers Daten“
Aus Sicht von noyb – der gemeinnützigen Datenschutzorganisation, die unter anderem von Max Schrems gegründet wurde – hätte eine Änderung von Art. 4 Abs. 1 Nr. 1 DSGVO als Kerndefinition des Datenschutzes massive Konsequenzen, etwa für die Zusammenarbeit von Verantwortlichen und Auftragsverarbeitern, internationale Datentransfers und die Verbindlichkeit von Sicherheitsanforderungen nach Art. 32 DSGVO.
Der Vorschlag der Kommission kranke nach Auffassung von noyb daran, dass er sich ausschließlich auf die Rolle des Verantwortlichen und dessen Wissen stütze. Dabei werde außer Acht gelassen, dass Geschäftspartner, Betroffene und Aufsichtsbehörden im Regelfall keinen Zugang zu denselben Informationen haben. Sie könnten daher nicht mit Sicherheit feststellen, ob Daten tatsächlich ausreichend mit einer Person verknüpft sind. Noyb bezeichnet dies als „Schrödingers Daten“.
„Es ist wie ein Waffengesetz, das nur dann für Waffen gilt, wenn der Besitzer bestätigt, dass er in der Lage ist, mit einer Waffe umzugehen, und die Absicht hat, jemanden zu erschießen. Es ist offensichtlich, wie absurd solche subjektiven Definitionen sind.“
— Max Schrems
Ein weiteres Problem sieht noyb darin, dass – wenn Daten nach Auffassung einer verarbeitenden Stelle nicht unter die DSGVO fallen –, auch das Recht auf Auskunft nach Art. 15 DSGVO in Frage gestellt werden könnte. Es stelle sich dann die grundlegende Frage, wie die Einordnung der Daten überhaupt überprüft werden soll.
Letztlich stelle die neue Definition personenbezogener Daten nach Ansicht von noyb auch einen Widerspruch zu Art. 8 der EU-Grundrechtecharta dar und würde mit hoher Wahrscheinlichkeit vom EuGH für nichtig erklärt werden.
Aus den genannten Gründen und um Schlupflöcher bei der ohnehin bereits angeschlagenen Durchsetzbarkeit der DSGVO zu vermeiden, sei der Vorschlag der Kommission abzulehnen.
Art. 4 Nr. 1 DSGVO am Scheideweg
Die Diskussion um die Neudefinition personenbezogener Daten verdeutlicht den Spannungsbogen zwischen Digitalisierung und effektivem Grundrechtsschutz. Während Wirtschaft und Praxis mehr Klarheit und risikobasierte Regeln fordern, warnen Aufsichtsbehörden und Zivilgesellschaft, dass eine zu enge, subjektive Definition den Anwendungsbereich der DSGVO verkleinern und Datenschutzrechte faktisch aushöhlen könnte. Die Zukunft wird zeigen, ob die Ideen der Kommission trotz der teils erheblichen Bedenken innerhalb der Datenschutz-Community Bestand haben werden.
