EU-Rat lehnt Änderungen an der DSGVO-Definition für „personenbezogene Daten“ in durchgesickertem Entwurf des Digital Omnibus ab
In einer bedeutenden Kehrtwende für die europäische Digitalpolitik deutet ein durchgesickerter Kompromiss-Text des Rates der Europäischen Union darauf hin, dass die Mitgliedstaaten darauf hinarbeiten, vorgeschlagene Änderungen an der Definition von „personenbezogenen Daten“ im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu blockieren. Das Dokument vom 20. Februar 2026, das von der zyprischen Ratspräsidentschaft in Umlauf gebracht wurde, signalisiert eine klare Präferenz für die Beibehaltung des Status quo gegenüber den weitreichenderen – und umstrittenen – Überarbeitungen der Europäischen Kommission.
Der Entwurf, der kurz vor hochrangigen diplomatischen Treffen in Brüssel auftauchte, markiert einen entscheidenden Punkt für den sogenannten „Digital Omnibus“. Dieses Legislativpaket sollte das digitale Regelwerk der EU straffen und für die Ära fortgeschrittener künstlicher Intelligenz und allgegenwärtigen Edge-Computings anpassen. Die Entscheidung, die überarbeitete Definition personenbezogener Daten zu streichen, deutet jedoch darauf hin, dass die Mitgliedstaaten davor zurückscheuen, die „Büchse der Pandora“ grundlegender Datenschutzdefinitionen erneut zu öffnen.
Die Stabilität des Status Quo
Seit fast einem Jahrzehnt dient die Definition personenbezogener Daten als Fundament des europäischen Datenschutzrechts. Nach der aktuellen DSGVO sind personenbezogene Daten definiert als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der ursprüngliche Vorschlag der Europäischen Kommission für den Digital Omnibus sah vor, dies zu präzisieren und den Anwendungsbereich potenziell auf nuanciertere Kategorien von Metadaten und Verhaltens-Identifikatoren auszuweiten, die zunehmend von KI-Systemen generiert werden.
Die Entscheidung des Rates, diese Überarbeitungen zu streichen, spiegelt einen „Safety First“-Ansatz wider. Indem sie am bestehenden Text festhalten, vermeiden die Mitgliedstaaten die massive rechtliche Unsicherheit, die eine neue Definition auslösen würde. Für Unternehmen hätte eine Änderung der Definition bedeutet, jede Datenbank, jedes Einwilligungsformular und jede bestehende Datenverarbeitungsvereinbarung neu bewerten zu müssen. Der Rat scheint der regulatorischen Stabilität Vorrang vor dem Wunsch der Kommission nach technischer Präzision eingeräumt zu haben.
Warum die Definition wichtig ist
Um zu verstehen, warum dieser Schritt so bedeutend ist, kann man sich die Definition personenbezogener Daten als den „jurisdiktionellen Anker“ der DSGVO vorstellen. Wenn eine Information unter diese Definition fällt, findet das gesamte Gewicht des EU-Datenschutzrechts Anwendung. Fällt sie nicht darunter, können die Daten mit weitaus weniger Einschränkungen verschoben, verkauft oder analysiert werden.
Kritiker der vorgeschlagenen Ausweitung argumentierten, dass eine breitere Definition unbeabsichtigt auch „anonymisierte“ Daten erfasst hätte, die derzeit für die medizinische Forschung und Infrastrukturplanung genutzt werden. Auf der anderen Seite befürchten Datenschützer, dass die EU durch die Beibehaltung der alten Definition die Risiken der „Re-Identifizierung“ durch modernes maschinelles Lernen nicht adressiert, bei dem scheinbar anonyme Datenpunkte zusammengefügt werden können, um eine Person zu enttarnen.
Der Spagat der zyprischen Präsidentschaft
Zypern, das derzeit die rotierende Ratspräsidentschaft innehat, steht vor der undankbaren Aufgabe, einen Mittelweg zwischen siebenundzwanzig Mitgliedstaaten mit unterschiedlichen digitalen Prioritäten zu finden. Der durchgesickerte Kompromiss-Text deutet darauf hin, dass sich das zyprische Team eher auf „verfahrenstechnische Harmonie“ als auf eine „definitorische Generalüberholung“ konzentriert.
Durch die Streichung der strittigen Änderungen an den personenbezogenen Daten versucht die Präsidentschaft wahrscheinlich, den Weg für den Rest des Digital Omnibus freizumachen. Dieses Paket enthält wichtige Aktualisierungen zur grenzüberschreitenden Durchsetzung und zur Zusammenarbeit zwischen den nationalen Datenschutzbehörden (DPAs). Wäre die Definition der personenbezogenen Daten auf dem Tisch geblieben, hätte dies den gesamten Gesetzgebungsprozess über Jahre hinweg blockieren können.
Auswirkungen auf die Tech-Branche
Für den Technologiesektor wird dieser Leak weitgehend als Atempause gewertet. Die Branche argumentiert seit langem, dass die DSGVO bereits komplex genug ist. Eine sich ändernde Definition ihres grundlegendsten Begriffs hätte ein „Compliance-Bewegungsziel“ geschaffen.
| Aspekt | Aktuelle DSGVO-Definition | Vorgeschlagene (jetzt gestrichene) Änderung |
|---|---|---|
| Geltungsbereich | Informationen, die sich auf eine identifizierbare Person beziehen. | Explizite Einbeziehung von KI-Metadaten mit hoher Inferenzkraft. |
| Rechtssicherheit | Hoch (durch jahrelange Rechtsprechung etabliert). | Niedrig (würde neue gerichtliche Auslegungen erfordern). |
| Compliance-Auswirkungen | Stabil; Prozesse sind bereits aufgebaut. | Hoch; würde massive Datenprüfungen erfordern. |
| Innovation | Ausgewogen; klare Grenzen für die Datennutzung. | Potenziell einschränkend für „Big Data“-Analysen. |
Wie geht es weiter?
Der Entwurf wurde Berichten zufolge am 27. Februar von Diplomaten der Mitgliedstaaten diskutiert. Wenn der Rat diese Position beibehält, wird die nächste Stufe die „Trilog“-Verhandlung zwischen dem Rat, dem Europäischen Parlament und der Europäischen Kommission sein. Das Parlament hat sich in der Vergangenheit stärker für die Rechte der betroffenen Personen eingesetzt und könnte dafür kämpfen, einige der umfassenderen Schutzmaßnahmen wieder einzuführen, die die Kommission ursprünglich vorgesehen hatte.
Die geschlossene Front des Rates in dieser Frage sendet jedoch ein starkes Signal: Europas nationale Regierungen sind derzeit nicht in der Stimmung für eine radikale Neugestaltung der Datenschutzgrundlagen. Sie wollen, dass die Regeln besser funktionieren, nicht unbedingt, dass sie weiter gefasst werden.
Praktische Erkenntnisse für Organisationen
Auch wenn die Definition personenbezogener Daten gleich bleiben mag, verändert sich die Durchsetzungslandschaft dennoch. Hierauf sollten sich Organisationen konzentrieren, während der Digital Omnibus voranschreitet:
- Überprüfen Sie Ihr Data Mapping: Auch wenn sich die Definition nicht ändert, entwickelt sich die Auslegung durch Gerichte (wie den EuGH) ständig weiter. Stellen Sie sicher, dass Ihr Dateninventar auf dem neuesten Stand ist.
- Fokus auf verfahrenstechnische Compliance: Der Digital Omnibus wird voraussichtlich strengere Fristen für die Beantwortung von Anfragen der Datenschutzbehörden einführen. Überprüfen Sie Ihre internen Berichtsabläufe.
- Überwachung des Trilogs: Der endgültige Text ist noch nicht in Stein gemeißelt. Behalten Sie die Reaktion des Europäischen Parlaments auf diesen Ratsentwurf in den kommenden Monaten genau im Auge.
- Investition in Anonymisierung: Unabhängig von der rechtlichen Definition ist der beste Weg zur Risikominderung die Sicherstellung, dass Daten durch modernste Techniken, die einer Re-Identifizierung widerstehen, wirklich anonymisiert werden.
Quellen
- European Council: Council of the European Union Overview
- Euractiv: Digital & Media Policy Reports
- Politico Europe: Tech and Data Protection Coverage
- European Commission: GDPR Procedural Rules and Digital Omnibus Documentation
- Official Journal of the European Union: GDPR Text and Definitions
Wir sehen uns auf der anderen Seite.
Unsere Ende-zu-Ende-verschlüsselte E-Mail- und Cloud-Speicherlösung bietet die leistungsfähigsten Mittel für den sicheren Datenaustausch und gewährleistet die Sicherheit und den Schutz Ihrer Daten.
/ Kostenloses Konto erstellen
