Brüssel, 11. Februar – Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben eine gemeinsame Stellungnahme zum Vorschlag für eine Verordnung über digitale Omnibusse verabschiedet. Dieser Vorschlag zielt darauf ab, den digitalen Rechtsrahmen der EU zu vereinfachen, den Verwaltungsaufwand zu verringern und die Wettbewerbsfähigkeit europäischer Organisationen zu verbessern.

Der EDSA und der EDSB konzentrieren sich auf die Aspekte der DSGVO, der EU-DSVO, der Datenschutzrichtlinie für elektronische Kommunikation und des Besitzstands im Bereich der Datenverarbeitung. Insbesondere bewerten sie, ob der Vorschlag zu einer echten Vereinfachung führt und die Einhaltung erleichtert, mehr Rechtssicherheit schafft und die Grundrechte des Einzelnen beeinträchtigt.

Änderungen, die Anlass zu erheblichen Bedenken geben

Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können.

Der EDSA und der EDSB fordern die beiden gesetzgebenden Organe nachdrücklich auf, die vorgeschlagenen Änderungen an der Definition personenbezogener Daten nicht anzunehmen, da sie weit über eine gezielte oder technische Änderung der DSGVO hinausgehen. Darüber hinaus spiegeln sie nicht genau wider und gehen eindeutig über die Rechtsprechung des EuGH hinaus, und sie würden dazu führen, dass der Begriff der personenbezogenen Daten erheblich eingeschränkt würde. Der Europäischen Kommission sollte nicht die Befugnis übertragen werden, im Wege eines Durchführungsrechtsakts zu entscheiden, was nach der Pseudonymisierung keine personenbezogenen Daten mehr sind, da sich dies unmittelbar auf den Anwendungsbereich des EU-Datenschutzrechts auswirkt.

„Eine Vereinfachung ist für den Bürokratieabbau und die Stärkung der Wettbewerbsfähigkeit der EU von entscheidender Bedeutung, jedoch nicht zulasten der Grundrechte. Wir begrüßen die Schritte der Kommission zu mehr Harmonisierung, Kohärenz und Rechtssicherheit. Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“

EDSA-Vorsitzender, Anu Talus

„Wir fordern die beiden gesetzgebenden Organe nachdrücklich auf, die vorgeschlagenen Änderungen an der Definition personenbezogener Daten nicht anzunehmen. Diese Änderungen stehen nicht im Einklang mit der Rechtsprechung des Gerichtshofs und würden den Begriff der personenbezogenen Daten erheblich einschränken. Wir müssen sicherstellen, dass alle Änderungen der DSGVO und der EU-DSVO tatsächlich Verpflichtungen klarstellen und Rechtssicherheit schaffen, während gleichzeitig das Vertrauen und ein hohes Maß an Schutz der Rechte und Freiheiten des Einzelnen gewahrt bleiben.“

Europäischer Datenschutzbeauftragter, Wojciech Wiewiórowski

Schritte in die richtige Richtung

Der EDSA und der EDSB befürworten die Anhebung des Risikoschwellenwerts, der dazu führt, dass eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, und die Verlängerung der Frist für die Übermittlung einer solchen Meldung. Dies würde den Verwaltungsaufwand für Organisationen erheblich verringern, ohne den Schutz personenbezogener Daten zu beeinträchtigen. Darüber hinaus sind die vorgeschlagenen gemeinsamen Vorlagen und Listen für Datenschutzverletzungen und Datenschutz-Folgenabschätzungen positiv.

Der EDSA und der EDSB begrüßen auch die vorgeschlagene Einführung einer neuen Ausnahmeregelung für die Verarbeitung besonderer Kategorien von Datenfür die biometrische Authentifizierung, wenn die Überprüfungsmittel unter der alleinigen Kontrolle der Person stehen.

Schließlich unterstützen sie die Harmonisierung des Begriffs „wissenschaftliche Forschung“und andere damit zusammenhängende Änderungen, da sie die Rechtssicherheit erhöhen und zu einer stärkeren Harmonisierung beitragen.

Änderungen, die einer Feinabstimmung bedürfen

Wie in der Stellungnahme 28/2024 des EDSA zu KI-Modellen dargelegt, kann in einigen Fällen ein berechtigtes Interesse als Rechtsgrundlage im Zusammenhang mit der Entwicklung und Einführung von KI-Modellen oder -Systemen herangezogen werden. Daher halten es der EDSA und der EDSB nicht für erforderlich, eine spezifische Bestimmung dazu in die DSGVO aufzunehmen.

Der EDSA und der EDSB begrüßen das Ziel des Vorschlags, eine spezifische Ausnahme vom Verbot der Verarbeitung sensibler Daten unter Auflagen einzuführen, die die zufällige und verbleibende Verarbeitung solcher Daten im Zusammenhang mit der Entwicklung und dem Betrieb von KI-Systemen oder -Modellen umfasst. Sie empfehlen jedoch mehrere Verbesserungen, wie die Klärung des Anwendungsbereichs der Ausnahmeregelung und die Gewährleistung von Schutzmaßnahmen während des gesamten Lebenszyklus.

Der EDSA und der EDSB stimmen dem Ziel der Kommission zu, den für die Verarbeitung Verantwortlichen bei Rechtsmissbrauch durch betroffene Personen Rechtsklarheit zu verschaffen. Sie sind jedoch der Ansicht, dass die Ausübung des Rechts auf Zugang zu anderen Zwecken als dem Schutz personenbezogener Daten kein Element sein sollte, das definiert, was ein Missbrauch ist. In Bezug auf die neue Ausnahmeregelung für Transparenz unterstützen der EDSA und der EDSB die Vereinfachung der Informationsanforderungen und die Verringerung des Verwaltungsaufwands, insbesondere für KMU, schlagen jedoch Klarstellungen vor, um Rechtssicherheit zu gewährleisten und sicherzustellen, dass Einzelpersonen bei Bedarf weiterhin relevante Informationen über ihre Daten erhalten können.

Schließlich sollten die Änderungen an der Bestimmung über die automatisierte individuelle Entscheidungsfindung präzisiert werden, damit diese Änderungen aussagekräftig und rechtlich fundiert sind.

Änderungen der Datenschutzrichtlinie für elektronische Kommunikation

Der EDSA und der EDSB unterstützen nachdrücklich das Ziel, eine Regulierungslösung bereitzustellen, um der Ermüdung der Einwilligung und der Verbreitung von Cookie-Bannern entgegenzuwirken. Dies betrifft beispielsweise die vorgeschlagenen Anforderungen an die Verwendung automatisierter und maschinenlesbarer Hinweise auf die Wahlmöglichkeiten von Einzelpersonen bei der Verarbeitung ihrer Daten. Der Einsatz technischer Mittel kann die Einhaltung der Vorschriften durch die für die Verarbeitung Verantwortlichen vereinfachen und Einzelpersonen dabei unterstützen, ihre Online-Entscheidungen wirksam zu gestalten.

Der EDSA und der EDSB begrüßen auch die begrenzten zusätzlichen Ausnahmen vom allgemeinen Verbot, personenbezogene Daten in den Endgeräten zu speichern oder Zugang zu ihnen zu erhalten, und fordern die beiden gesetzgebenden Organe ferner auf, Anreize für kontextbezogene Werbung anstelle von verhaltensorientierter Werbung zu schaffen, indem sie eine spezifische Ausnahme hinzufügen, die von einigen Garantien umgeben ist.

Der EDSA und der EDSB begrüßen, dass die Datenschutzbehörden mit der Aufsicht über solche Angelegenheiten betraut werden.

Gleichzeitig weisen der EDSA und der EDSB auf die rechtlichen und technischen Schwierigkeiten hin, die sich aus der Koexistenz zweier unterschiedlicher Regelungen für personenbezogene und nicht personenbezogene Daten ergeben. Sie enthalten auch zusätzliche Empfehlungen zur Verbesserung der Rechtssicherheit, zur Minimierung des Risikos und zur Förderung verantwortungsvoller Innovationen.

Änderungen am Daten-Acquis

Der EDSA und der EDSB unterstützen die Vereinfachung des Besitzstands im Bereich der Daten durch die Integration des Daten-Governance-Gesetzes und der Vorschriften der Richtlinie über offene Daten über die Weiterverwendung von Daten und Dokumenten im Besitz öffentlicher Stellen in das Datengesetz.

In Bezug auf den Zugang, der von öffentlichen Stellen zur Weiterverwendung gewährt wird, empfehlen sie, die Klarheit des derzeitigen Rechtsrahmens zu wahren, nämlich dass er öffentliche Stellen nicht verpflichtet, die Weiterverwendung zuzulassen, und auch keine Rechtsgrundlage für die Gewährung des Zugangs bietet.

In Bezug auf öffentliche Notfälle empfehlen der EDSA und der EDSB zu bekräftigen, dass personenbezogene Daten nur in pseudonymisierter Form an öffentliche Stellen weitergegeben werden dürfen, wenn anonyme Daten nicht ausreichen, um auf den öffentlichen Notfall zu reagieren.

In Bezug auf Datenvermittlungsdienste und datenaltruistische Organisationen betonen der EDSA und der EDSB, wie wichtig ein vertrauenswürdiger und verantwortungsvoller Datenaustausch ist. Sie empfehlen die Beibehaltung spezifischer Schutzvorkehrungen, um Transparenz und Aufsicht zu fördern.

Der EDSA und der EDSB empfehlen, die Bestimmungen über die Durchsetzung weiter zu straffen (z. B. durch die Ermöglichung eines regulierungsübergreifenden Austauschs von Informationen über die Durchsetzung, auch mit Datenschutzbehörden, und durch die Klärung der Rolle der Datenschutzbehörden bei der Durchsetzung des Datengesetzes).

Der EDSA und der EDSB begrüßen die Bestätigung der Rolle des Europäischen Dateninnovationsrats (EDIB) bei der Unterstützung der kohärenten Anwendung des Datengesetzes durch den Vorschlag. In Bezug auf die Ausarbeitung von Leitlinien empfehlen sie, die Kommission zu ermächtigen, Leitlinien zu allen Themen im Zusammenhang mit dem Datengesetz herauszugeben, und die Rolle des EDIB bei der Unterstützung der Kommission in diesem Prozess zu präzisieren. Dies würde es der Kommission ermöglichen, gemeinsame Leitlinien mit dem EDSA auszuarbeiten, und es dem EDIB ermöglichen, die Kommission bei der Ausarbeitung solcher Leitlinien zu beraten und zu unterstützen.

Link zur Pressemeldung:

Ein angebliches Instagram-Datenleck sorgt für Unruhe. Aufgrund eines Fehlers war es Angreifern möglich, Passwort-Reset-Mails für andere Nutzer anzufordern. Malwarebytes warnte unterdessen Kunden, dass Cyberkriminelle Daten von 17,5 Millionen Konten gestohlen hätten.

Die veröffentlichten Daten umfassen 17.017.213 Instagram-Kontoprofile mit Telefonnummern, Benutzernamen, Namen, physischen Adressen, E-Mail-Adressen und Instagram-IDs – nicht bei jedem Profil sind alle Felder gefüllt. Passwörter sind nicht enthalten.

Laut Sicherheitsforschern stammen die Daten aus einem API-Scraping-Vorfall von 2022. Meta bestreitet jedoch, dass es 2022 oder 2024 entsprechende Vorfälle gab. Verfügbare Informationen deuten auf eine Zusammenstellung aus verschiedenen Quellen hin, die über mehrere Jahre gesammelt wurden. Es handelt sich demnach wahrscheinlich nicht um einen neuen Vorfall bei Instagram.

Nutzer sollten dennoch unerwartete Passwort-Reset-Mails oder SMS-Codes ignorieren und die Kontosicherheit prüfen. Die Daten könnten für Phishing- und Smishing-Angriffe missbraucht werden.

Was jetzt zu tun ist:
• Zwei-Faktor-Authentifizierung für Instagram aktivieren
• Unerwartete Passwort-Reset-Anfragen ignorieren und Kontosicherheit prüfen

Die Rolle der Datenschutzbeauftragten (DSB) stärken – nicht abschaffen

Der Beschluss des Bundeskanzlers und der Regierungschefs der Länder vom 4. Dezember 2025 sieht vor, die nationale Pflicht zur Benennung betrieblicher Datenschutzbeauftragter im nicht-öffentlichen Bereich aufzuheben und sich künftig allein auf Art. 37 DSGVO zu stützen. Damit würde Deutschland eine zentrale Errungenschaft praxistauglicher Datenschutz-Compliance zurückbauen. Jedoch sind keinerlei Vorteile für die Unternehmen und vor allem KMU damit verbunden – im Gegenteil: die Pflichten nach dem Datenschutzrecht bleiben unverändert, aber die Zuständigkeit geht allein auf die Geschäftsführung über. Im Zweifel benötigt die Geschäftsführung sodann Rechtsberatung, was ein erhebliches Mehr an Kosten bedeutet.

Die Abschaffung stärkt nicht den Mittelstand, sie entlastet ihn nicht einmal. Sie verlagert allein die Kosten als Aufwand auf die Geschäftsführung und schafft Arbeit für rechtsanwaltliche Beratung.

Das ist ein Schritt in die falsche Richtung.

Das behauptete Ziel der „Entbürokratisierung durch Abschaffung von DSB“ ist seit Jahren empirisch nicht belegt. Die Gleichsetzung von „weniger Datenschutzbeauftragter“ mit „weniger Pflichten“ ist eine Täuschung! Diese Betrachtung greift fachlich zu kurz und blendet die tatsächlichen Belastungstreiber aus. Die Belastungstreiber sind unklare Vorgaben und eine unklare Rechtslage, fehlende Standardisierungen und komplexe technische Anforderungen zählen – und vor allem: die in der DS-GVO verankerte Bürokratie der mehrfachen Dokumentation, Organisation und Hinweis- und Meldepflichten.

Diese Pflichten belasten die Unternehmen. Der BvD hat dies mehrfach kritisiert und Vorschläge aus der Praxis für eine Praktikabilität des Datenschutzes gemacht.

Diese Pflichten bleiben trotz Abschaffung der DSB-Pflichtbenennung bestehen! Die Quasi-Abschaffung des DSB löst also keine Herausforderung für die Wirtschaft! Die Politik verspricht damit etwas, was sie objektiv und von vornherein nicht halten kann!

Die Konsequenz einer Abschaffung ist klar: Unternehmen müssten sämtliche Aufgaben und gesetzliche Anforderungen selbst erfüllen. Das bedeutet in der Praxis, dass die Unternehmens- und Betriebsleitung alle Pflichten, Risiken und Haftung allein trägt – ohne unabhängige Expertise im Haus und ohne die Möglichkeit, qualifizierte Beratung durch interne oder externe Datenschutzbeauftragte strukturiert einzubinden.

Durch den immensen Kostendruck werden zukünftig viele KMU auf die Benennung verzichten. Die Erwartung, dadurch Bürokratie abzubauen, wird sich jedoch nicht erfüllen:

• Alle Pflichten und Anforderungen bleiben bestehen, nur ohne fachliche Begleitung.
• Das technische und organisatorische Schutzniveau wird sinken, insbesondere weil Art. 32 DSGVO integraler Bestandteil jedes Sicherheitskonzepts ist und die Datenschutzbeauftragten im Mittelstand oft die einzigen Experten in diesem Bereich sind.
• Cybersicherheitsrisiken steigen weiter; ein fehlendes Frühwarnsystem verschärft die Verwundbarkeit

Die betroffenen Personen werden weiterhin Schadensersatzansprüche bei Verstößen geltend machen. Die Aufsichtsbehörden werden weiterhin gegen Verstöße vorgehen müssen. Das Risiko solcher „Schäden“ steigt für die Unternehmen. Eine punktuelle Rechtsberatung zur Verteidigung hiergegen verbessert nicht die Prozesse und behebt auch nicht den Verstoß für die Zukunft!

Die Lösung kann nur darin bestehen, das Datenschutzrecht dadurch handhabbarer zu machen, indem doppelte Dokumentationspflichten, Hinweis- und Meldepflichten und Organisationspflichten auf das Wesentliche reduziert und nicht „durch die Absicherung der Absicherung“ unnötige Aufwände auslösen.

Der BvD und seine Mitglieder stehen für einen praxisnahen und Innovationen unterstützenden Datenschutz. Dies entsteht nicht durch Abschaffung des Datenschutzbeauftragten und Verlagerung der Aufgaben der DS-GVO auf die Geschäftsführung und externe Rechtsberater.

Das politische Ziel der Entbürokratisierung wird durch die Abschaffung des DSB gerade nicht erreicht! Die politischen Entscheidungsträger verschließen hiervor die Augen und treiben die Unternehmen in die Incompliance.

Quelle: https://www.bvdnet.de/wp-content/uploads/2025/12/20251209_Stellungnahme-zur-Streichung-der-DSB-Benennung.pdf

Täglich erreichen das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Meldungen bayrischer Firmen über Cybersicherheitsvorfälle. Von kompromittierten E-Mail-Accounts, gezielten Spear-Phishing-Attacken bis hin zu gravierenden Verschlüsselungs- und Erpressungsszenarien – die Cybercrime-Szene ist auch in Bayern aktiv, vielfältig und gefährlich. Die Ziele der Cyberkriminellen sind dabei recht eindeutig: Sie wollen an das Geld und die Daten der Opfer.

Die wirtschaftlichen Schäden der vergangenen Jahre waren für viele attackierte Unternehmen immens, die datenschutzrechtlichen Folgen insbesondere für die vom Vorfall an sich betroffenen Personen oftmals nicht mehr überschaubar. Daher bleibt für das BayLDA die Maxime, das bestehende Präventionsprogramm weiter auszubauen und auf zentrale Schutzmaßnahmen hinzuweisen. Prävention ist schließlich die beste Verteidigung. Als historisches Vorbild orientiert sich das BayLDA dafür an dem Bild der schier uneinnehmbaren Festung, bei der durch gezielte Maßnahmen die Hürden für Angreifer um ein Vielfaches erhöht wurden. Gleiches kann im IT-Umfeld im eigenen Betrieb gelingen. Hierfür stellt das BayLDA eine Checkliste eines Maßnahmenkatalogs zur Verfügung, der sich schwerpunktmäßig technischen und organisatorischen Themen widmet.

In Ergänzung zur Checkliste ist auf dieser Seite zukünftig auch ein Kompakthandbuch für Datenschutzbeauftragte zu finden, das entsprechende Maßnahmen weiter erläutert. Als Erweiterung ist in naher Zukunft zudem geplant, eine Art „Self-Assessment“ anzubieten, bei dem sich Verantwortliche durch ein Online-Tool sehr schnell selbst einstufen können und anschließend passendes Feedback erhalten.

Link : https://www.lda.bayern.de/de/cyberfestung.html

Das GDD-Kurzpapier 3 bietet praxisorientierte Empfehlungen zur datenschutzkonformen Beendigung von Auftragsverarbeitungsverhältnissen gemäß Art. 28 Abs. 3 S. 2 lit. g DS-GVO. Es richtet sich an Datenschutzbeauftragte und Verantwortliche, die ihre Pflichten im Zusammenhang mit der Beendigung von Auftragsverarbeitungen verstehen und umsetzen möchten.

Für detaillierte Informationen und weiterführende Empfehlungen können Sie das vollständige GDD-Kurzpapier 3 herunterladen:

GDD-Kurzpapier 3: Praxistipps für die Beendigung der Auftragsverarbeitung