Brüssel bastelt am sogenannten Digital-Omnibus-Gesetz, einer Art Frühjahrsputz für EU-Regelwerke. Zwischen kleinen Korrekturen und Klarstellungen verstecken sich aber durchaus explosive Ideen - insbesondere die deutschen Wünsche zur Datenschutzgrundverordnung (DSGVO).
Das Bundesinnenministerium (BMI) schlägt vor, den Erwägungsgrund 40 zu überarbeiten: Die verschiedenen Rechtsgrundlagen für Datenverarbeitung - etwa Einwilligung oder berechtigtes Interesse - sollen ausdrücklich gleichrangig nebeneinanderstehen. Klingt nach Detailarbeit, könnte aber die Gewichtung im Datenschutz grundlegend verschieben. Denn in der Praxis gilt derzeit: Wer Daten nutzen will, fragt lieber nach Zustimmung, statt sich aufs „berechtigte Interesse“ zu berufen. Genau das will Berlin ändern - offenbar mit voller Absicht.
Daneben hat das BMI eine erstaunlich pragmatische Idee zur Data-Breach-Meldepflicht: Die bisher strikte 72-Stunden-Frist soll künftig „drei Arbeitstage“ betragen. Übersetzt: Sonntagsruhe auch für Datenschutzbeauftragte. Eine charmante deutsche Lösung - der Samstag bleibt Werktag, also bitte nicht zu früh freuen. Dazu soll die EU-Kommission Aufsichtsbehörden zu einem einheitlichen technischen Meldeweg verpflichten, um Bürokratie und Doppelmeldungen mit der NIS2-Richtlinie zu vermeiden.
Ebenfalls im Gepäck: ein Vorschlag, die Definitionen von Anonymisierung und Pseudonymisierung endlich zu präzisieren. Hintergrund ist der ewige Streit darüber, wann Daten wirklich „anonym“ sind. Der Europäische Gerichtshof hatte schon angedeutet, dass eine „relative Anonymisierung“ genügen könnte - also anonym genug, solange keine externen Zusatzdaten im Spiel sind. Die Bundesregierung will das nun klarstellen, um Unternehmen mehr Rechtssicherheit zu geben.
Darüber hinaus denkt das BMI über eine Art Datenschutz-Garantie in Lieferketten nach - inspiriert von der KI-Verordnung und dem Cyber Resilience Act. Hersteller und Zulieferer sollen künftig bestätigen müssen, dass sie DSGVO-konform arbeiten.
Was nach juristischem Feinschliff klingt, könnte den Datenschutz in Europa still, aber wirksam neu austarieren.
Kommentare (0)