Digital Omnibus: EU will DSGVO grundlegend reformieren

Die Europäische Kommission will die Datenschutz-Grundverordnung erstmals seit 2018 überarbeiten. Parallel dazu geben neue Durchsetzungsregeln und eine überraschende Wende bei Microsoft 365 dem Compliance-Alltag deutscher Unternehmen eine neue Richtung.

Am Dienstag stellte die Kommission ihren “Digital Omnibus”-Vorschlag vor – ein Regelpaket, das die Meldefrist für Datenpannen von 72 auf 96 Stunden verlängern und die Meldepflicht auf Vorfälle mit “hohem Risiko” beschränken soll. Diese Änderungen könnten die Compliance-Landschaft grundlegend verändern. Zeitgleich verabschiedete der EU-Rat neue Durchsetzungsregeln, während in Deutschland Microsoft 365 erstmals grünes Licht vom Hessischen Datenschutzbeauftragten erhielt.

Was bedeutet das konkret für die Praxis? Die drei parallelen Entwicklungen könnten das tägliche Datenschutz-Management von Grund auf umkrempeln – von der Ausgestaltung der Auftragsverarbeitungsverträge (AVV) bis zur Cloud-Strategie.

Der Kern des Digital Omnibus: Unternehmen bekämen künftig vier statt drei Tage Zeit, um Datenschutzvorfälle zu melden. Noch wichtiger ist die zweite Änderung: Die Meldepflicht würde künftig nur noch bei “hohem Risiko” greifen, nicht mehr bei jedem potenziellen Risiko für Betroffene.

Derzeit verlangt Artikel 33 DSGVO die Meldung binnen 72 Stunden, sobald eine Verletzung “voraussichtlich ein Risiko” für die Rechte der Betroffenen darstellt. Die neue Schwelle läge deutlich höher.

Für die Praxis bedeutet das: Auftragsverarbeitungsverträge müssen neu gedacht werden. Bislang verpflichten die meisten AVV den Auftragsverarbeiter, Vorfälle innerhalb von 24 bis 48 Stunden zu melden – damit der Verantwortliche die 72-Stunden-Frist einhalten kann. Verlängert sich die gesetzliche Frist auf 96 Stunden, dürften Dienstleister auf großzügigere vertragliche Regelungen drängen.

Die Bewertung des “hohen Risikos” bleibt allerdings beim Verantwortlichen – und damit eine der kniffligsten Aufgaben im Incident Management. Zudem plant die Kommission ein zentrales Meldeportal, über das Unternehmen DSGVO-, NIS2- und DORA-Pflichten mit einer einzigen Meldung erfüllen könnten.

KI-Training als “berechtigtes Interesse”

Die zweite Bombe im Digital Omnibus: Die Verarbeitung personenbezogener Daten für KI-Training und -Betrieb soll explizit als “berechtigtes Interesse” nach Artikel 6 Absatz 1 Buchstabe f DSGVO anerkannt werden.

Passend zum Thema KI-Training – die EU-Kommission hat mit dem Digital Omnibus große Änderungen angestoßen, die unmittelbare Auswirkungen auf Kennzeichnungspflichten, Risikoklassifizierung und Dokumentationsaufwand für KI-Projekte haben. Unser kostenloser Umsetzungsleitfaden zur EU-KI-Verordnung erklärt praxisnah, welche Nachweise und Prozesse jetzt erwartet werden, wie Sie Ihr KI-System richtig klassifizieren und welche Fristen Sie unbedingt beachten sollten. Inklusive Checklisten und klaren Praxistipps zur schnellen Umsetzung. EU-KI-Verordnung: Umsetzungsleitfaden gratis herunterladen

Damit reagiert Brüssel auf eine der heftigsten Debatten der Tech-Branche. KI-Entwickler kämpfen seit Jahren mit der Frage, auf welcher Rechtsgrundlage sie Large Language Models mit europäischen Daten trainieren dürfen. Die neueregelung schafft Klarheit – zumindest auf dem Papier.

Doch der Teufel steckt im Detail: Das “berechtigte Interesse” ist kein Freifahrtschein. Verantwortliche müssen weiterhin eine Interessenabwägung durchführen, Schutzmaßnahmen wie Datenminimierung implementieren und das Widerspruchsrecht wahren.

Unternehmen, die KI-Dienste von Drittanbietern nutzen, sollten ihre AVV umgehend prüfen: Sind die Rechtsgrundlagen korrekt dokumentiert? Stellt der Auftragsverarbeiter die technischen Maßnahmen bereit, die für die Interessenabwägung nötig sind?

Die Datenschutz-NGO noyb reagierte am Dienstag scharf: Die Änderungen würden den Schutz “massiv senken” und Unternehmen ermöglichen, die Einwilligung für KI-Training leichter zu umgehen.

Rat beschließt schnellere Verfahren

Während die Kommission in die Zukunft blickt, schaffte der EU-Rat am Montag vollendete Tatsachen. Die neuen Regeln zur grenzüberschreitenden Zusammenarbeit der Datenschutzbehörden wurden formal verabschiedet und treten 15 Monate nach Veröffentlichung im Amtsblatt in Kraft.

Die wichtigsten Neuerungen:
– Vereinheitlichte Zulässigkeitskriterien für Beschwerden
– 15-Monats-Limit für Untersuchungen (mit 12 Monaten Verlängerungsoption bei komplexen Fällen)
– Erweiterte Verfahrensrechte für Beschwerdeführer und betroffene Unternehmen

Damit reagiert der Rat auf die Kritik, der “One-Stop-Shop”-Mechanismus der DSGVO sei zu langsam und uneinheitlich. Für internationale Konzerne bedeutet das: Grenzüberschreitende Verfahren werden strukturierter und zeitlich begrenzter – die Phase der rechtlichen Unsicherheit bei Aufsichtsverfahren verkürzt sich.

Microsoft 365: Durchbruch in Deutschland

Überraschung aus Wiesbaden: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) erklärte am 15. November, dass Microsoft 365 datenschutzkonform nutzbar sei – vorausgesetzt, bestimmte Konfigurationen werden eingehalten.

Das ist eine Kehrtwende. 2022 hatte die Datenschutzkonferenz (DSK) Microsoft 365 noch kritisch bewertet. Bedenken betrafen vor allem Datentransfers in die USA und unzureichende Garantien als Auftragsverarbeiter.

Nach intensiven Verhandlungen und der Veröffentlichung eines “M365 Compliance Kit” durch Microsoft hat sich die Lage geändert. Der HBDI stellte fest, dass Microsoft seinen Auftragsverarbeitungsvertrag verbessert und die Transparenz bezüglich der Datenflüsse erhöht hat.

Was müssen Unternehmen jetzt tun?

Bestehende AVV und Konfigurationseinstellungen sofort überprüfen. Die Freigabe des HBDI steht unter Vorbehalt: Nur wer die im Bericht genannten Maßnahmen umsetzt, handelt rechtskonform. Unternehmen müssen ihre Compliance-Dokumentation und AVV an die vom Regulator akzeptierten Microsoft-Bedingungen anpassen.

Für Behörden und Unternehmen, die Microsoft 365 bisher gemieden haben, öffnet sich damit ein Weg zurück zur weltweit meistgenutzten Office-Suite.

Drei Baustellen für DPOs

Die Entwicklungen der letzten 72 Stunden markieren einen Wendepunkt im europäischen Datenschutz. Die Kommission erkennt an, dass der strikte “One-Size-Fits-All”-Ansatz der ursprünglichen DSGVO möglicherweise nicht mehr zeitgemäß ist – weder für die KI-Ära noch für die Realität moderner Cyber-Bedrohungen.

“Der Vorschlag trifft einen Wendepunkt in der EU-Tech-Regulierung”, analysierten Rechtsexperten der Kanzlei CMS am Mittwoch. “Die Überschrift lautet Vereinfachung; der Kern sind gezielte technische Änderungen, die das tägliche Compliance-Management neu gestalten werden.”

Doch bis zur Umsetzung ist es noch weit. Der Digital Omnibus ist lediglich ein Legislativvorschlag, der nun durch Parlament und Rat muss – ein Prozess, der Monate oder Jahre dauern kann. Die neuen Durchsetzungsregeln des Rats hingegen sind beschlossene Sache und werden Anfang 2027 anwendbar.

Datenschutzbeauftragte sollten jetzt drei Prioritäten setzen:

1. Digital Omnibus beobachten: Auf die mögliche 96-Stunden-Frist vorbereiten, aber vorerst bei 72 Stunden bleiben.

2. KI-Verträge überprüfen: Klären, ob aktuelle Dienstleister sich auf “berechtigtes Interesse” für KI-Training stützen und ob Verträge nachgebessert werden müssen.

3. Microsoft 365 aktualisieren: Konfigurationen an die Vorgaben des HBDI anpassen, um rechtssichere Cloud-Nutzung zu gewährleisten.

Die nächsten Monate werden zeigen, wie ernst es die EU mit der Modernisierung des Datenschutzes meint. Klar ist: Wer jetzt nicht reagiert, riskiert, den Anschluss zu verlieren.

PS: Seit August 2024 gelten bereits neue Regelungen für KI-Anwendungen, die viele Unternehmen vor kurzfristige Umsetzungsaufgaben stellen. Unser gratis Leitfaden zur EU-KI-Verordnung erklärt Schritt für Schritt, welche Kennzeichnungspflichten, Risikoklassen und Dokumentationsanforderungen relevant sind, welche Übergangsfristen laufen und welche praktischen Vorlagen Ihnen die Umsetzung erleichtern. Ideal für Datenschutzbeauftragte und IT-Verantwortliche, die Compliance schnell herbeiführen wollen. Jetzt KI-Umsetzungsleitfaden herunterladen