Berliner Datenschutzbeauftragte kritisiert Vorschläge der EU-Kommission zur Reform der DSGVO
Im Rahmen des Europäischen Datenschutztags vom 28.01.2026 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Meike Kamp die DSGVO-Reformvorschläge der EU-Kommission in deutlichen Worten kritisiert: “Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“. Und führt dies an einem zentralen Problem der geplanten Neuregelung aus:
„Ende November veröffentlichte die Europäische Kommission den Entwurf für einen Digitalen Omnibus, der auch Änderungsvorschläge zur DSGVO enthält. Unter anderem werden der Definition des Personenbezugs in Art. 4 Nr. 1 DSGVO drei Sätze hinzugefügt.
Quelle: Vorschlag der EU-Kommission für eine Digital-Omnibus-Verordnung (dort S. 24)
Der erste ist harmlos, der zweite nicht ganz so und der dritte gravierend! Aufgrund der Kürze der Zeit möchte ich nur auf den dritten Satz eingehen. Die Kommission formuliert, vereinfacht gesprochen, dass Informationen nicht allein deshalb personenbezogen werden, weil ein potenzieller nachfolgender Empfänger über Mittel verfügt, die betroffene Person zu identifizieren. Mit dem Entwurf eines neuen Erwägungsgrundes wird erläutert, dass eine mögliche Weitergabe an ‚wissende‘ Dritte, die Informationen nur für diejenigen Dritten zu personenbezogenen Daten machen. Die Kommission deklariert diese Ergänzungen mehr oder weniger als Kodifikation der Rechtsprechung des EuGH. Wie wir gesehen haben, das Gegenteil ist der Fall! Schauen wir uns das an einem Beispiel an: Werbeplätze auf einer Webseite werden in Sekundenbruchteilen meistbietend verkauft. Anlass für diese Vorgänge sind spezifische Nutzer:innen, die die Werbeseiten aufrufen. Die Möglichkeit, diese zielgenau zu bewerben, wird etwa in Real-Time-Bidding-Verfahren in Echtzeit versteigert. Die Grundlage für diese Verfahren, d. h. die vielen Informationen und Profile der spezifischen Nutzer:innen, liefern eine Vielzahl von Akteuren in einer verzweigten Datenverarbeitungskette. All diese Akteure arbeiten mit Cookies oder Werbe-IDs um die einzelnen Datensätze zu unterscheiden bzw. Daten einer Nutzer:in zusammenzuführen. Verfügen diese Stellen nun über die Mittel die natürlichen Personen zu identifizieren, oder gilt das nur für die eine Stelle, die die Webseite betreibt und die Werbung ausspielt? Mit den Ergänzungen im digitalen Omnibus wird es schwer zu argumentieren, dass alle dazwischen liegenden Verarbeitungen, etwa das Zusammenführen von Informationen und das notwendige Anreichern der Profile für das Bieterverfahren weiterhin von der DSGVO erfasst sind. All diese Datenverarbeitungen zielen ihrem Wesen nach aber auf ein bestimmtes bzw. bestimmbares Individuum ab und entfalten ihre Wirkung gerade auf Ebene des Einzelnen. Hierfür ist es vollkommen irrelevant, ob es um die letzte Stelle in der Kette geht oder ob diese einzelne Person Hans, Thorsten oder Mareike im ‚real life‘ heißt. Die vorgeschlagenen Änderungen haben damit erhebliche Auswirkungen auf den Anwendungsbereich der DSGVO.“
Diese Bewertung von Meike Kamp mündet in die oben bereits zitierte Aussage, dass damit an den Grundpfeilern des Datenschutzes gerüttelt wird. Es sei zu befürchten, dass durch den Änderungsvorschlag viele Datenverarbeitungen im Kontext der Online-Werbung künftig nicht mehr unter das Datenschutzrecht fallen könnten.