DSGVO Reform durch den Digital Omnibus: Fortschritt oder Sackgasse?

I. Was ist die Digital-Omnibus-Verordnung?

Durch die Digital-Omnibus-Verordnung möchte die Europäische Union das bestehende Regelwerk im digitalen Bereich optimieren. Kurz gesagt: Probleme und Mängel, die während der Anwendung der Vorschriften erkannt worden sind, sollen gelöst werden.

Die Umsetzung der Vorschriften soll für Unternehmen kostengünstiger werden und gleichzeitig gegenüber anderen Unternehmen einen Wettbewerbsvorteil verschaffen. Die Europäische Kommission hat ihren Vorschlag an den zuständigen Ausschuss des EU-Parlaments weitergeleitet. Wir befinden uns somit noch am Anfang des Gesetzgebungsverfahrens. Dennoch lohnt sich ein Blick in den Vorschlag, denn noch sind keine endgültigen Entscheidungen getroffen.

II. Was ändert sich?

Sowohl Klärungs- als auch Nachbesserungsbedarf gibt es im digitalen Regelwerk jedenfalls ausreichend.

Zu den geänderten Rechtsakten zählen insbesondere:

• Die DSGVO
• Der Data Act
• Die e-privacy-Richtlinie
• Die NIS-2-Richtlinie
• Die Richtlinie für Kritische Infrastrukturen/CER-Richtlinie

Zusätzlich hierzu gibt es für die Änderung der KI-Verordnung die „Digital-Omnibus-Verordnung zur KI“. Der Fokus soll hier auf eine Auswahl der vorgeschlagenen Änderungen in der DSGVO gelegt werden.

III. Anpassung der DSGVO

1. Definition personenbezogener Daten

Bisher definiert die DSGVO personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Art. 4 Nr. 1 DSGVO.

In Zukunft soll die Definition nicht allein anhand des Datums erfolgen. Stattdessen soll es darauf ankommen, ob die konkrete Einrichtung die natürliche Person, auf die sich die Angaben beziehen, in Anbetracht der mit hinreichender Wahrscheinlichkeit von dieser Einrichtung genutzten Mittel identifizieren kann. Ist die Identifizierung unwahrscheinlich, ist für die DSGVO für diese Daten nicht anwendbar. Die Beurteilung des Personenbezugs eines Datums würde hiernach noch stärker vom Einzelfall abhängen.

2. Art. 9 DSGVO

Art. 9 DSGVO befasst sich mit der Verarbeitung sensibler Daten (besonderer Kategorien personenbezogener Daten). Die Verarbeitung dieser sensiblen Daten ist nur erlaubt, wenn einer der in Art. 9 Abs. 2 DSGVO genannten Erlaubnistatbestände erfüllt ist. Dieser abschließende Katalog soll um zwei Erlaubnistatbestände erweitert werden.

Erstens soll die Verarbeitung sensibler Daten erlaubt sein, wenn sie im Zusammenhang mit der Entwicklung und dem Vertrieb eines KI-Systems erfolgt. Hierzu werden allerdings zusätzlich einige Bedingungen aufgestellt. Die Verarbeitung sensibler Daten soll auch hier nach Möglichkeit vermieden werden. Hierzu müssen geeignete organisatorische und technische Maßnahmen ergriffen werden. Fällt auf, dass dennoch ein sensibles Datum verarbeitet worden ist, muss das Datum entfernt werden. Sollte die Entfernung unverhältnismäßigen Aufwand bedeuten, können subsidiär Schutzmaßnahmen ergriffen werden, durch die wirksam verhindert wird, dass die Daten in die Hände Dritter gelangen.

Zweitens soll die Verarbeitung biometrischer Daten zur Bestätigung der Identität einer Person vereinfacht werden.

3. Missbrauch des Auskunftsrechts

Auch Art. 12 Abs. 5 DSGVO soll angepasst werden. Der Verantwortliche soll sich gegen den Missbrauch des Auskunftsrechts zur Wehr setzen können. Sollte die betroffene Person ihr Auskunftsrecht nicht zum Schutz ihrer Daten, sondern zu anderen Zwecken nutzen und es daher missbrauchen, kann der Verantwortliche ein angemessenes Entgelt verlangen oder sich weigern.

IV. Fortschritt oder Sackgasse?

Auf den ersten Blick erscheint die Anpassung der Definition der personenbezogenen Daten wenig hilfreich. Es bedarf einer detaillierten Einzelfallprüfung für jede einzelne Einrichtung; und nicht nur das: Innerhalb der Einrichtung muss für alle konkret verarbeiteten Daten geprüft werden, ob Mittel zur Verfügung stehen, die die Identifizierung der Betroffenen hinreichend wahrscheinlich machen. Die große Frage scheint aber letztlich zu sein, wann etwas hinreichend wahrscheinlich ist.

Hilfe bietet aber Art. 41a DSGVO, der ebenfalls neu eingeführt werden soll. Basierend hierauf kann die EU-Kommission Durchführungsakte erlassen, mit denen Kriterien festgelegt werden können, um das Risiko (die Wahrscheinlichkeit) der Re-Identifikation zu bewerten. Dieser Durchführungsakt kann eine praxisnahe Prüfung ermöglichen, sodass die Einschlägigkeit der DSGVO neu geprüft werden kann.

Die Erweiterung der Erlaubnistatbestände in Art. 9 DSGVO erscheint im Sinne des technischen Fortschritts zu erfolgen. Das dringendere Problem scheint die Kommission aber bisher nicht in Angriff nehmen zu wollen. Der Begriff der besonderen Kategorien personenbezogener Daten wird durch den EuGH ausufernd weit verstanden. Es genügt schon, wenn mittels gedanklicher Kombination oder Ableitung auf ein sensibles Datum geschlossen werden kann. (EuGH, 01.08.2022 – C-184/20) Diese weite Auslegung wird zurecht schon lange kritisiert. Dadurch, dass nach der Rechtsprechung eine Vielzahl an Daten erfasst wird, ist die Belastung für die Verantwortlichen stark. Einige Verarbeitungen werden unnötig erschwert, obwohl durch die konkrete Verarbeitung keine Ableitung des sensiblen Datums droht. Die Reform bietet die Möglichkeit, das Problem zu beheben und Rechtssicherheit zu schaffen. Sollte es doch noch zu einer Behebung dieses Problems kommen, sollte der Blick allerdings nicht allein auf die DSGVO gerichtet werden. In einigen anderen Verordnungen wird bereits auf Art. 9 DSGVO verwiesen. Auch in diesen Fällen muss eine interessengerechte Lösung gefunden werden.

Hinsichtlich des Auskunftsrechts stellt sich die Frage der Darlegungs- und Beweislast. Es ist zwar grundsätzlich zu begrüßen, dass Verantwortliche sich gegen die missbräuchliche Nutzung des Auskunftsrechts zur Wehr setzen können. Allerdings erscheint es fraglich, dass Verantwortliche jedenfalls nach dem aktuellen Entwurf keinen Nachweis für die missbräuchliche Verwendung erbringen müssen. Um Rechtsunsicherheit zu vermeiden. Sollte die Reform „hinreichende Gründe“ für den missbräuchlichen Zweck verlangen. Dieser Maßstab besteht heute schon für den exzessiven Antrag. Hierdurch wird es dem Verantwortlichen ermöglicht, sich gegen missbräuchliche Anträge zu verteidigen, ohne die Verteidigungsmöglichkeit durch Nachweisanforderungen faktisch wirkungslos zu machen.