Zum Inhalt springen Zur Navigation springen
Omnibus – Doch keine Neudefinition des Personenbezugs?

Omnibus – Doch keine Neudefinition des Personenbezugs?

Artikel von Dr. Datenschutz·25. Februar 2026

Die neue (Negativ-)Definition personenbezogener Daten im Kommissionsvorschlag für den digitalen Omnibus ist offenbar so umstritten, dass sie fallengelassen werden könnte. Die EU-Ratspräsidentschaft Zypern hat den Entwurf zum Omnibus überarbeitet. In einer geleakten Fassung fehlt die neue Definition. Grund genug, unseren Beitrag von gestern fortzusetzen.

Das Leak

Mehrere Zeitungen und Blogs berichten übereinstimmend von der geleakten Fassung des Omnibus. Die Fassung soll am 27. Februar dem Ausschuss der Ständigen Vertreter im Rat (AStV) vorgelegt werden.

Im Gegensatz zur Kommission möchten die EU-Mitgliedstaaten laut Tagesspiegel keine großen Änderungen an der Datenschutz-Grundverordnung (DSGVO) vornehmen. Neben Österreich und Kroatien sollen auch die Niederlande, Finnland, Belgien, Estland und Italien sich gegen die Neudefinition gestellt haben, wie Borncity berichtet.

Den Widerstand der Mitgliedstaaten führt Euractiv nicht zuletzt auf die ablehnende Stellungnahme von EDSA und EDSB zurück.

Die neue (Negativ-)Definition des Omnibus

Sofern eine Einrichtung anhand der ihr vorliegenden Angaben nicht imstande ist, die betroffene Person zu identifizieren, soll es sich für diese Einrichtung nicht um personenbezogene Angaben handeln. Insoweit deckt sich die neue Definition nach Auffassung der Experten mit dem Urteil des EuGH in Sachen SRB. Stein des Anstoßes ist der letzte Halbsatz der neuen Definition:

„…; derartige Angaben werden für diese Einrichtung nicht allein deshalb personenbezogen, weil ein potenzieller späterer Empfänger über Mittel verfügt, die mit hinreichender Wahrscheinlichkeit zur Identifizierung der natürlichen Person, auf die sich die Angaben beziehen, verwendet werden können;“

Nach der gemeinsamen Auffassung von EDSA und EDSB geht der Wortlaut eindeutig über die Rechtsprechung des EuGH hinaus.

Indirekter Personenbezug

Denn im Urteil vertritt der EuGH für den Fall einer „etwaigen späteren Übermittlung an Dritte“ genau das Gegenteil (Randnummer 85):

„Sofern nämlich nicht ausgeschlossen werden kann, dass diese Dritten nach allgemeinem Ermessen in der Lage sind, die pseudonymisierten Daten anhand von Mitteln wie etwa einem Abgleich mit anderen ihnen zur Verfügung stehenden Daten der betroffenen Person zuzuordnen, ist diese Person sowohl in Bezug auf die Übermittlung der Daten als auch in Bezug auf die spätere Verarbeitung dieser Daten durch Dritte als identifizierbar anzusehen. Unter solchen Umständen müssten pseudonymisierte Daten als personenbezogene Daten betrachtet werden.“

Der EuGH spricht im Hinblick auf die übermittelnde Einrichtung, die selbst zur Identifikation der betroffenen Person nicht in der Lage ist, von einem „indirekten“ Personenbezug (Randnummer 84).

Absicht oder Fehler?

Dieser „indirekte“ Personenbezug lässt sich weder mit dem absoluten noch mit dem relativen Ansatz bei der Definition personenbezogener Daten vereinbaren und ist auch nicht gerade unmittelbar verständlich.

Ulrich Baumgartner geht davon aus, dass die Kommission mit dem letzten Halbsatz der neuen Definition bewusst von der EuGH-Rechtsprechung abgewichen ist. Eine „etwaige spätere Übermittlung an Dritte“ sei nicht entscheidungserheblich gewesen, weshalb es sich ohnehin um ein Obiter Dictum handele.

Außerdem könne nicht vor jeder Übermittlung geprüft werden, welche Daten dem jeweiligen Dritten zum Abgleich zur Verfügung stehen. Er habe Karolina Mojzesowicz von der EU-Kommission auf dem IAPP Europe Data Protection Congress letztes Jahr so verstanden, dass die EuGH-Rechtsprechung Datenübermittlungen im Rahmen des Data Act erschweren würde und deshalb korrigiert werden müsse.

Andere Experten halten den letzten Halbsatz der neuen Definition schlicht für verunglückt.

Jedenfalls keine Vereinfachung

Ob es sich um ein Redaktionsversehen oder eine planvolle Korrektur der EuGH-Rechtsprechung handelt, werden wir wohl nie erfahren. Noch schwerer lässt sich absehen, ob durch die Definition sogar Grundlagen der DSGVO erodieren.

Jedenfalls ist die Rechtsprechung zum indirekten Personenbezug genauso kompliziert wie eine Korrektur der Rechtsprechung im Omnibus. Unternehmen, die vor der Entscheidung stehen, ob sie personenbezogene Daten verarbeiten, hätten deutlich erhöhten Beratungsbedarf. Das Ziel der Omnibus-Verordnung – die Vereinfachung – würde sich ins Gegenteil verkehren.

Vielleicht ist es ein weiser Entschluss der Ratspräsidentschaft Zyperns, die Definition personenbezogener Daten in ihren Einzelheiten der Rechtsprechung zu überlassen, einschließlich erforderlicher Korrekturen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.