EU-Rat kippt geplante Änderung der Personendaten-Definition aus dem DSGVO-Omnibus

Der Rat der EU-Mitgliedstaaten hat in einem Kompromisstext vom 20. Februar beschlossen, die von der EU-Kommission vorgeschlagene Neudefinition personenbezogener Daten aus dem sogenannten Digital Omnibus zu streichen. Das berichtet Euractiv auf Basis eines geleakten Dokuments. Der vollständige Artikel ist hier zu finden: Euractiv

Worum geht es? Die Kommission wollte im Rahmen des Digital Omnibus-Pakets die DSGVO an mehreren Stellen ändern – unter anderem die Definition personenbezogener Daten. Der Kernpunkt: Daten sollten künftig nur dann als personenbezogen gelten, wenn der jeweilige Datenverarbeiter selbst in der Lage ist, die dahinterstehende Person zu re-identifizieren. Ob ein Dritter, der die Daten erhält, das könnte, wäre dabei irrelevant gewesen. Das hätte in der Praxis bedeutet, dass Unternehmen pseudonymisierte Daten leichter aus dem Anwendungsbereich der DSGVO herauslösen – und damit Datenschutzpflichten umgehen könnten. Der Europäische Datenschutzausschuss (EDPB) hatte diese Änderung scharf kritisiert und in einer offiziellen Stellungnahme gewarnt, sie würde Datenschutzstandards aushöhlen.

Der Rat folgt nun dieser Linie und streicht den Vorschlag ersatzlos. Stattdessen wird die Arbeit des EDPB an aktualisierten Leitlinien zur Pseudonymisierung im Text stärker hervorgehoben.

Die Streichung ist eine Niederlage für die Kommission und ein Signal, dass der politische Rückhalt für eine Aufweichung der Personendaten-Definition fehlt. Für Unternehmen ändert sich vorerst nichts an der bestehenden Rechtslage – pseudonymisierte Daten bleiben in der Grauzone und müssen weiterhin sorgfältig bewertet werden. Die kommenden EDPB-Leitlinien zur Pseudonymisierung werden hier voraussichtlich mehr Klarheit schaffen und sollten aufmerksam verfolgt werden.

Related Posts

Clawdbot: KI-Automation mit hohem Risiko

Stellen Sie sich vor: Eine KI, die nicht nur Fragen beantwortet, sondern tatsächlich Aufgaben auf Ihrem Computer ausführt. Die Ihren Browser steuert, Dateien verwaltet, Code schreibt und testet – alles per Chat-Befehl von Ihrem Smartphone aus. Klingt wie Science-Fiction? Willkommen bei Clawdbot, dem Open-Source-Projekt, das derzeit die Tech-Welt elektrisiert und nebenbei einen regelrechten Run auf Mac Minis ausgelöst hat.

Read More

Konformität mit NIS2-Richtlinie und Cyber Resilience Act

NIS2 und Cyber Resilience Act Die NIS2-Richtlinie (EU 2022/2555) und der Cyber Resilience Act (CRA) bilden neue EU-Vorgaben zur Cybersicherheit. NIS2 zielt auf Betreiber wesentlicher Dienste und kritischer Infrastrukturen ab, während der CRA ein Mindestmaß an IT-Sicherheit für Produkte mit digitalen Elementen vorschreibt. Beide Regelwerke gehen über freiwillige Standards wie ISO/IEC 27001 hinaus und schaffen verbindliche Pflichten. EU-Mitgliedstaaten mussten NIS2 bis Oktober 2024 in nationales Recht umsetzen – Deutschland arbeitet an einem NIS2-Umsetzungsgesetz, das voraussichtlich Ende 2025 in Kraft tritt. Der CRA ist hingegen eine EU-Verordnung, die am 10. Dezember 2024 in Kraft getreten ist und ab dem 11. Dezember 2027 vollumfänglich gilt. Im Folgenden werden die zentralen Anforderungen beider Regelungen erläutert – insbesondere was über eine ISO 27001-Zertifizierung hinaus zu beachten ist – sowie die Auswirkungen auf Lieferanten (z.B. Dienstleister) und Software/Cloud-Anbieter.

Read More

EU: DSGVO-Reform und weniger strenge KI-Regeln

Die EU-Kommission hat ihr großes Vereinfachungspaket für Digitalgesetze präsentiert. Unter dem Namen „Digital Omnibus“ sollen sowohl die DSGVO als auch die ePrivacy-Regeln und das KI-Gesetz überarbeitet und verschlankt werden. Die Kommission verspricht weniger Bürokratie und mehr Innovationsspielraum – Datenschützer sprechen dagegen von einem Rückschritt, vor allem wegen gelockerter Cookie-Regeln.

Read More