Datenschutzkonferenz macht Reformvorschläge für die Datenschutz-Grundverordnung

Veröffentlicht am:

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12.12.2025

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer 110. Konferenz in Berlin die Vorschläge der EU-Kommission zur Anpassung der Digitalgesetzgebung diskutiert und zwei eigene Vorschläge für gezielte Anpassungen der europäischen Datenschutz-Grundverordnung (DSGVO) beschlossen. Zudem verabschiedete die DSK einen standardisierten Prüfprozess für die Digitalisierung von Verwaltungsleistungen und eine Orientierungshilfe zur vereinfachten Abstimmung mit den Datenschutzbehörden für die Gesundheitsforschung.

Vorschläge der EU-Kommission

Die DSK führte eine intensive Diskussion über die Vorschläge der EU-Kommission zur Anpassung der DSGVO, der KI-Verordnung und weiterer Digitalrechtsakte (Digital Omnibus). Die EU-Kommission hat teils weitreichende Änderungen vorgeschlagen, die Auswirkungen auf den Schutz der Privatsphäre und personenbezogener Daten haben würden.

„Die vorgeschlagenen Regelungen sind an vielen Stellen nicht bis zu Ende gedacht und führen damit zu neuen Rechtsunsicherheiten,“ sagt Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit und amtierende DSK-Vorsitzende. „Einfache gesetzliche Anpassungen, die eine Entlastung von kleinen und mittleren Unternehmen bewirken würden, lässt die Kommission hingegen liegen. Das selbst gesetzte Ziel des Bürokratieabbaus erfüllt die EU-Kommission damit nicht. So könnten etwa die Hersteller von Produkten stärker in die Pflicht genommen werden, ihre Produkte datenschutzkonform auszugestalten, sodass kleine und mittlere Unternehmen bei der Auswahl und dem Einsatz solcher Produkte nicht mehr die datenschutzrechtliche Hauptlast tragen.“

Die DSK hält zudem den Zeitdruck unter dem das Omnibusverfahren durchgeführt wird, für unangemessen. Es handelt sich bei dem Vorschlag der EU-Kommission nämlich nicht nur um vorwiegend redaktionelle und kleinere Anpassungen, sondern unter anderem um solche fundamentalen Anpassungsvorschläge wie die Änderung der Definition von personenbezogenen Daten. Dies muss sorgfältig durchdacht und vor dem Hintergrund der Erfahrungen auch aus der Datenschutzaufsicht diskutiert werden. „Gemeinsam mit den europäischen Datenschutzbehörden werden wir den Vorschlag der Kommission in den kommenden Wochen detailliert analysieren und eine Stellungnahme abgeben“, sagt Meike Kamp.

Hersteller und Anbieter von IT-Diensten in die Pflicht nehmen

Die DSK hält es für erforderlich, die Reform der DSGVO zu nutzen und die datenschutzrechtliche Verantwortung fortzuentwickeln. Künftig sollen Hersteller und Anbieter von IT-Diensten verpflichtet werden, die Grundsätze des Datenschutzes bereits bei der Gestaltung ihrer Produkte stärker zu berücksichtigen. „Mit der Herstellerhaftung wird die datenschutzrechtliche Verantwortung dorthin verlagert, wo die Entscheidungen über die Gestaltung von IT-Produkten getroffen werden,“ sagt Meike Kamp. „Das stärkt besonders die Position von kleinen und mittleren Unternehmen, die derzeit oft nicht in der Lage sind, datenschutzkonforme Prozesse in den genutzten Produkten durchzusetzen, aber bislang allein die rechtliche Verantwortung tragen.“ Auch die Auftragsverarbeiter sollen verpflichtet werden, ihre Dienste von vornherein datenschutzkonform auszugestalten.

Einsatz von KI braucht klare gesetzliche Regelung

Bei der Verarbeitung personenbezogener Daten durch KI-Systeme sieht die DSK Bedarf für DSGVO-Reformen, die über die Vorschläge der EU-Kommission hinausgehen. Die DSK fordert, spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systemen gesetzlich festzulegen. „Rechtssicherheit und Innovation gehen Hand in Hand“, sagt Meike Kamp. „Anpassungen in der DSGVO zum Einsatz von KI sollten eindeutig und ausbalanciert sein.“

Zudem fordert die DSK den europäischen Gesetzgeber auf, die Rechte von betroffenen Personen beim KI-Einsatz stärker zu berücksichtigen. Für Einzelfälle, in denen Betroffenenrechte technisch nur mit unverhältnismäßigem Aufwand umgesetzt werden können, sollen funktionsäquivalente bzw. kompensatorische Schutzmaßnahmen vorgesehen werden. Wer personenbezogene Daten in einem KI-System verarbeitet, muss die betroffenen Personen darüber ausdrücklich informieren. Zudem sollen betroffene Personen das Recht erhalten, von Verantwortlichen Auskunft über den Einsatz eines KI-Systems zur Verarbeitung ihrer Daten zu erhalten. Beides sollte in der DSGVO festgelegt werden.

Bereits im November hatte die DSK einen Zehn-Punkte-Plan zur Verbesserung des gesetzlichen Datenschutzes von Kindern verabschiedet. Darin fordert die DSK unter anderem ein Verbot von personalisierter Werbung und kindgerechte Voreinstellungen in Sozialen Netzwerken.

Weitere Beschlüsse

Mit einem neuen, standardisierten Prüfprozess schafft die Datenschutzkonferenz eine gemeinsame Grundlage, um den Datenschutz bei länderübergreifenden Online-Diensten von Behörden einheitlich und transparent umzusetzen. Das Dokument gibt Behörden klare Empfehlungen, wie sie Datenschutzanforderungen dokumentieren, prüfen und nachweisen können – von der Entwicklung bis zum Betrieb ihrer digitalen Angebote. Das Verfahren hilft, das Einer-für-alle-Prinzip des Onlinezugangsgesetzes auch im Datenschutz praktisch umzusetzen.

Viele Werbe-E-Mails und Newsletter enthalten Tracking Pixel – unsichtbare Grafiken, mit denen genau verfolgt werden kann, wer wann und auf welchem Gerät eine E-Mail geöffnet hat. Dafür ist nach geltendem Recht eine Einwilligung der empfangenden Person notwendig, die jedoch in der Praxis oftmals nicht eingeholt wird. Aufgrund zahlreicher Beschwerden wird die DSK sich dem Thema im nächsten Jahr mit einer Veröffentlichung widmen, um auf die Rechtslage hinzuweisen und der gängigen Praxis entgegenzutreten.

Zudem beschloss die DSK eine Orientierungshilfe zur vereinfachten Abstimmung mit den Datenschutzbehörden für die Gesundheitsforschung. Das Gesundheitsdatennutzungsgesetz sieht für länderübergreifende Forschungsvorhaben im Gesundheitswesen eine federführende Datenschutzaufsicht vor. Die Orientierungshilfe legt ein einheitliches Verständnis dieser neuen Zuständigkeitsregelungen fest und klärt unter anderem, wann sie zur Anwendung kommen und wie Forschende sie beantragen können.

Die DSK befasste sich auch mit den Vorschlägen aus der Föderalen Modernisierungsagenda von Bund und Ländern. Meike Kamp: „Eine Abschaffung der betrieblichen Datenschutzbeauftragten halten wir für den falschen Weg. Sie sind wichtige Ansprechpartner für alle Datenschutzfragen innerhalb der Unternehmen, sorgen für eine kompetente Beratung und damit auch Entlastung der Geschäftsführungen.“

Auf der Tagesordnung standen ferner zwei Dokumente des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. Die DSK befürwortete das Muster einer Einwilligungs- und Schweigepflichtentbindungserklärung für die Verarbeitung von Gesundheitsdaten in der Lebensversicherung und in der Krankenversicherung. Außerdem sprach sich die DSK für eine Genehmigung des Entwurfs der Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft aus. Die Genehmigung wird durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit erfolgen.

Mehr Informationen

  • Die Beschlüsse stehen auf der DSK-Website zur Verfügung.

Über die Datenschutzkonferenz:
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Presse-Kontakt:
Vorsitz der Datenschutzkonferenz 2025
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Telefon: +49 30 13889-900
E-Mail: presse@datenschutz-berlin.de
https://datenschutz-berlin.de/dsk2025
https://www.datenschutzkonferenz-online.de