07. November 2025

Mögliche Anpassungen in der DSGVO im Rahmen der Omnibus-Directive - ein nicht-finaler Entwurf wurde geleakt

🟦 Kapitel II – Änderungen zur DSGVO 

 

📌 Artikel 2 des Vorschlags – Änderungen an der DSGVO:

 

1. Begriffsbestimmungen (Art. 4 DSGVO)

  • Neudefinition von „personenbezogenen Daten“: Informationen gelten nur dann als personenbezogen, wenn die verarbeitende Stelle „vernünftigerweise“ über Mittel zur Identifikation verfügt.

  • Präzisierung des Begriffs „Daten über die Gesundheit“: Nur solche Daten, die direkt Informationen über den Gesundheitszustand offenbaren, fallen darunter.

 

 

2. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

  • Klarstellung: Die Verarbeitung ist nur verboten, wenn Daten „direkt“ sensible Informationen offenbaren.

  • Neue Ausnahmen:

    • Biometrische Daten dürfen verarbeitet werden, wenn sie ausschließlich zur Identitätsbestätigung dienen und unter alleiniger Kontrolle der betroffenen Person stehen.

    • KI-Ausnahme: Erlaubnis zur Verarbeitung besonderer Kategorien für Entwicklung und Betrieb von KI-Systemen, sofern Schutzmaßnahmen zur Vermeidung solcher Datenverarbeitung implementiert werden.

 

 

3. Recht auf Auskunft (Art. 12 DSGVO)

  • Zweckbindung: Die Ausübung von Betroffenenrechten dürfen abgelehnt oder kostenpflichtig gestaltet werden, wenn sie nicht dem Datenschutz dienen.

  • Klarstellung, wann eine Anfrage „exzessiv“ ist.

 

 

4. Informationspflicht (Art. 13 DSGVO)

  • Entfall der Pflicht, wenn vernünftigerweise angenommen werden kann, dass die betroffene Person die Information bereits kennt – außer bei Weitergabe, Drittland-Transfer, automatisierten Entscheidungen oder hohem Risiko.

 

 

5. Automatisierte Entscheidungen (Art. 22 DSGVO)

  • Klarstellung des „Notwendigkeitskriteriums“ im Rahmen von Verträgen: Es ist auch dann erfüllt, wenn kein alternatives Mittel zur Verfügung steht – unabhängig davon, ob der Prozess vollständig automatisiert ist. 

 

 

6. Meldung von Datenschutzverletzungen (Art. 33 DSGVO)

  • Verlängerung der Meldefrist an die Aufsichtsbehörde von 72 auf 96 Stunden.

  • Vereinheitlichung mit Art. 34 (Benachrichtigung der betroffenen Person): Meldung nur bei hohem Risiko.

  • Einführung einer einheitlichen EU-Meldestelle („Single-Entry-Point“) für alle DSGVO-relevanten Vorfälle.

 

 

7. Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

 

  • Einführung von einheitlichen EU-Listen für:

    • Fälle, in denen eine Folgenabschätzung erforderlich ist.

    • Fälle, in denen keine erforderlich ist.

  • EDPB soll standardisierte Vorlagen und Methoden erarbeiten, die durch die Kommission als Durchführungsrechtsakte verbindlich gemacht werden können

Download
deepl-Übersetzung der relevanten vorgeschlagenen Bestimmungen
_DRAFT_NOT_FINAL_GDPR_Data_Act_Digital_O
Adobe Acrobat Dokument 158.7 KB
Download
Tags: Datenschutzverletzung, Datenschutz-Folgenabschätzung, Gesundheitsdaten, DSFA, Art 13, Art 9, Art 35, Data Breach, Art 33, Art 12, exzessiv, Art 4, indirekt personenbezogene Daten, automatisierte Entscheidungen

Kommentar schreiben

Kommentare: 1
  • #1

    Gertschi (Dienstag, 11 November 2025 11:16)

    Hallo, danke für die Übersicht, aber müsste KI-generierter Inhalt nicht gekennzeichnet werden? :-D

    Punkt 5. müsste mE heißen: Klarstellung des „Notwendigkeitskriteriums“ im Rahmen von Verträgen: Es ist unabhängig davon erfüllt, ob die Entscheidung auch ohne ausschließlich automatisierte Mittel getroffen werden könnte.

    LG