Bei der DS-GVO schraubt sie gezielt an wichtigen Details: Der relative Personenbezugsbegriff und der Umgang mit pseudonymisierten Daten werden normiert. Das Verbotsprinzip – Verarbeitung personenbezogener Daten nur mit klarer Rechtsgrundlage – bleibt unangetastet. Auskunftspflichten, etwa bei exzessiven Betroffenenanfragen, werden minimal angepasst. Sehr sinnvoll ist die Erhöhung der Schwelle für die Pflicht zur Meldung von Datenpannen auf hohes Risiko und die Anpassung der Meldefrist auf 96 Stunden. KI-Training wird ausdrücklich als mögliche Verarbeitung im Rahmen berechtigter Unternehmensinteressen erwähnt (Art. 88c). Die Regelungen zu Cookies sollen aus der ePrivacy-RL in die DS-GVO überführt und grundlegend geändert werden.

Auch die bislang nur in Teilen anwendbare KI-VO wird angefasst: Übergangsfristen für Hochrisiko-Systeme und bei Transparenzpflichten werden gestreckt, Zuständigkeiten und Verfahren der Aufsicht klarer geordnet, Überschneidungen mit anderen Rechtsakten reduziert. Die Pflicht zur KI-Kompetenz wird aufgeweicht. Mittelgroße Unternehmen werden – wie kleine Unternehmen – um einige Pflichten entlastet. Das risikobasierte Grundkonzept der KI-Regulierung wird keinesfalls aufgegeben, sondern allenfalls ein bisschen praktikabler gemacht.

Die größten Änderungen gibt es im Datenwirtschaftsrecht. Der Data Act (DA) soll zum zentralen Datengesetz ausgebaut werden. Andere Rechtsakte wie Data Governance Act (DGA), Free-Flow-of-Data-Verordnung (FFDR) und die Open-Data-Richtlinie (ODD) werden im DA aufgehen. Insgesamt werden damit Doppelregelungen und Überschneidungen bereinigt. Für Unternehmen bedeutet das weniger Normenvielfalt auf dem Papier, nicht aber zwangsläufig weniger materielle Pflichten. Im Data Act selbst wird eine weitere Ausnahme für den Fall geschaffen, dass Geschäftsgeheimnisse des Dateninhabers in Gefahr sind.

Dass sich die Kommission überhaupt traut, an die sakrosankt scheinende DS-GVO heranzugehen, ist ebenso bemerkenswert wie die Überarbeitung der noch sehr jungen AI Act und Data Act. Der Digital-Omnibus ist insgesamt kein großer Wurf, sondern ein Technikerpaket: viel Feinarbeit, wenig große Linie. Die (kaum kritisierte) Aufwertung des Data Act ist nachdrücklich zu begrüßen. Die Anpassungen an DS-GVO und AI Act markieren keinen Paradigmenwechsel, auch wenn dies von vielen behauptet wird. Jedenfalls wird mit den vorgeschlagenen Änderungen nicht das Ende des Datenschutzes in Europa eingeläutet. Wer das behauptet, überschätzt die Änderungsentwürfe deutlich.

Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt.