EU-Digitalgesetzgebung: „Omnibus“ im Turbogang
Am 13.11.2025 startete in Köln unter dem Leitthema „Vom Datenschutz- zum Datennutzungsrecht – so bewährt sich der betriebliche Datenschutz“ die 49. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.
Unter der Moderation von Prof. Dr. Rolf Schwartmann (Leiter der Kölner Forschungsstelle für Medienrecht, TH Köln und Vorstandsvorsitzender der GDD e.V., Bonn) war der Vormittag der Veranstaltung insbes. dem Spannungsverhältnis zwischen Datennutzung und Innovation einerseits und dem Schutz personenbezogener Daten andererseits gewidmet. Weitere Schwerpunktthemen waren der von der EU-Kommission geplante „digitale Omnibus“ und die staatliche Aufsicht mit Blick auf die KI-VO und den Data Act.
Christina Rost (Landesbeauftragte für den Datenschutz des Landes Sachsen-Anhalt) machte deutlich, dass Datenschutz und Datennutzung nach ihrer Auffassung keine Gegensätze sind, sondern vielmehr eine Partnerschaft bilden müssen. Sie hob hervor, dass der Data Act die Nutzung von Daten erleichtert, aber die Schranken des Datenschutzrechts nicht aufheben soll. Datenschutz schaffe Sicherheit, Vertrauen und sei somit ein Motor für Innovation, so Rost. Laut „Datenbarometer“ der BfDI sei Datenschutz den Bürgern und Bürgerinnen wichtig.
Andrea Sanders-Winter (Leiterin der Abteilung Digitales bei der Bundesnetzagentur) stellte klar, dass die KI-VO Innovation fördern und zugleich Risiken minimieren soll. Als zentrale Marktüberwachungsbehörde zur Überwachung und Durchsetzung der Vorgaben der KI-VO werde die BNetzA durch Leitlinien und effiziente Verfahren Rechtssicherheit schaffen. Bzgl. der bestehenden zahlreichen Schnittstellen zum Datenschutz sei eine effektive Kooperation mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) bzw. den Landesbehörden unabdingbar, um widerspruchsfreie Entscheidungen zu gewährleisten. Nur abgestimmtes Handeln ermögliche einen kohärenten Rechtsrahmen, der sowohl Innovation ermögliche als auch den Schutz von Grundrechten sicherstelle.
Joerg Heidrich (Justiziar heise medien, Hannover) erläuterte, dass der Einsatz generativer KI im Unternehmen viele datenschutzrechtliche Herausforderungen mit sich bringt. Er warnte vor Schatten-KI, fehlender Transparenz und Risiken bei der Verarbeitung personenbezogener Daten. Technische und organisatorische Maßnahmen (TOMs) sowie klare KI-Richtlinien seien entscheidend, um Datenschutz und Compliance zu gewährleisten. Heidrich betonte: KI darf nicht in jedem Bereich eingesetzt werden, sensible Daten müssen besonders geschützt werden und Ausgaben der Systeme sollten niemals ungeprüft verwendet werden.
Sophie Sohm (Privacy Policy Manager, Meta) betonte, dass KI nur mit Daten leistungsfähig werde. Für Trainingszwecke nutze Meta ausschließlich Daten aus öffentlichen Profilen erwachsener Nutzer/-innen und gewähre insofern nicht nur den Nutzerinnern und Nutzern, sondern auch betroffenen Dritten ein Widerspruchsrecht. Das durch das Training entstehende KI-Modell ermögliche aus der Perspektive von Meta keine Rückschlüsse auf Einzelpersonen mehr, habe also keinen Personenbezug. Bzgl. des Urteils des OLG Köln zum KI-Training durch Meta vertrat Sohm die Auffassung, dass das Gericht auf pragmatische Weise Rechtssicherheit geschaffen habe.
Die Diskussionsteilnehmer/-innen waren sich einig, dass eine koordinierte und kooperative Aufsicht mit Blick auf die neuen EU-Datenakte und die DS-GVO zwingend sei. Prof. Dr. Rolf Schwartmann sprach von einer „harmonischen Schnittstellen-Arithmetik“ bei der Aufsicht, während Christina Rost die Bedeutung der Einbindung der Landesdatenschutzaufsichtsbehörden betonte und vor einer Zentralisierung der Datenschutzaufsicht warnte.
Zum „Omnibus-Paket“ herrschte weitgehender Konsens. Dieser rüttele nicht an den Grundfesten der DS-GVO, so Andreas Jaspers, Geschäftsführer der GDD, könne aber einen Beitrag zu mehr Rechtssicherheit leisten, u.a. mit Blick auf Informations- und Meldepflichten und den Missbrauchseinwand bei der Geltendmachung von Betroffenenrechten.
Zur GDD: Die GDD wurde 1977 in Bonn gegründet und unterstützt seitdem Unternehmen, insbesondere deren Datenschutzbeauftragte, bei der Lösung der vielfältigen mit Datenschutz und Datensicherheit verbundenen technischen, rechtlichen und organisatorischen Fragen. Sie tritt als gemeinnütziger eingetragener Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Zusammen mit DATAKONTEXT richtet die GDD die Datenschutzfachtagung DAFTA aus, die alljährlich im November in Köln hybrid stattfindet.