Die Verhandlungen zum umfassenden EU-Digitalpaket „Digital Omnibus“ drohen an einer Grundsatzfrage zu scheitern: der Definition persönlicher Daten. Ein interner Bericht offenbart tiefe Gräben zwischen Mitgliedsstaaten, die den strengen GDPR-Standard verteidigen, und jenen, die mehr Flexibilität fordern.
Fundamentaler Riss im Rat
Im Zentrum des Streits steht ein Vorschlag der EU-Kommission, der klären soll, wann Informationen nicht als personenbezogene Daten gelten. Konkret geht es um die Formulierung „reasonably likely“ – also ob ein Unternehmen vernünftigerweise in der Lage sein muss, eine Person zu identifizieren. Befürworter argumentieren, dies schaffe Rechtssicherheit und entlaste Unternehmen bei der Verarbeitung großer Datensätze.
Doch eine breite Allianz von Mitgliedsstaaten lehnt jede Änderung an dieser Kern-Definition ab. Für sie wäre dies ein gefährlicher Präzedenzfall, der das gesamte EU-Datenschutzsystem untergraben könnte. „Das greift in den Kern der Grundrechte ein“, warnt Österreich in dem Papier. Kroatien spricht von „systemischen Konsequenzen für die gesamte Datenschutzarchitektur“.
Passend zum Thema KI-Verordnung: Seit 1. August 2024 gelten neue Regeln für KI-Systeme — viele Unternehmen unterschätzen die Pflicht zur Dokumentation und Risikoklassifizierung. Unser kostenloses E-Book fasst die wichtigsten Anforderungen der EU-KI-Verordnung kompakt zusammen, erklärt Kennzeichnungspflichten, Risikoklassen und Übergangsfristen und zeigt, wie Sie Ihr Modell rechtssicher einordnen. Ideal für Unternehmen, Entwickler und Compliance-Verantwortliche, die KI-Systeme betreiben oder trainieren. Jetzt kostenlosen KI-Verordnungs-Leitfaden herunterladen
Wer gegen wen steht
Zu den entschiedenen Gegnern der Neudefinition gehören neben Österreich und Kroatien auch die Niederlande, Finnland, Belgien, Estland und Italien. Diese Staaten fordern ein „stabiles und hohes Schutzniveau“ beizubehalten. Besonders umstritten ist auch eine geplante neue Befugnis für die Kommission, zu definieren, wann pseudonymisierte Daten als anonym gelten können.
Die Fronten sind klar: Hier die Verteidiger des GDPR als globalem Goldstandard, dort die Befürworter einer innovationsfreundlicheren Auslegung. Kein Wunder also, dass die Verhandlungen ins Stocken geraten.
Mehr als nur technische Details
Der Konflikt um die Definition ist symptomatisch für größere Spannungen im gesamten Digitalpaket. Seit November 2025 arbeitet die Kommission an der Harmonisierung und Vereinfachung digitaler Vorschriften – von der KI-Verordnung bis zu Cybersecurity-Regeln. Geplant sind unter anderem gelockerte Meldepflichten bei Datenlecks und klarere Regeln für das Training von KI-Modellen.
Doch diese Vereinfachungsbemühungen stoßen auf massiven Widerstand. Bereits im Januar kritisierte die niederländische Datenschutzbehörde eine „Ungleichgewicht zwischen Innovation und Schutz“. Die europäischen Datenschutzgremien EDPB und EDPS warnen vor einer Schwächung der Grundrechte. Bürgerrechtsorganisationen sprechen gar von einem „Aushöhlen“ der GDPR unter dem Deckmantel technischer Vereinfachung.
Kampf um die digitale Seele Europas
Was hier ausgefochten wird, ist mehr als eine technische Detailfrage. Es geht um die grundsätzliche Ausrichtung der EU-Digitalpolitik. Soll Europa weiterhin weltweiter Standard-Setzer für Datenschutz bleiben – oder muss es flexibler werden, um im Wettbewerb mit US-Tech-Giganten bestehen zu können?
Die Kommission will mit dem Digital Omnibus vor allem kleinere Unternehmen entlasten und regulatorische Asymmetrien abbauen. Doch der Widerstand zeigt: Viele Mitgliedsstaaten wollen ihre datenschutzrechtlichen Grundwerte nicht zugunsten wirtschaftlicher Interessen opfern.
Was kommt als nächstes?
Die Zeitpläne der Kommission geraten ins Wanken. Eigentlich sollte noch 2026 eine politische Einigung stehen, doch die tiefen Gräben lassen auf langwierige Verhandlungen schließen. Alle Augen richten sich nun auf das Februar-Plenum des Europäischen Datenschutzausschusses (EDPB), das eine offizielle Stellungnahme zum Digitalpaket verabschieden wird.
Diese Meinung wird erhebliches Gewicht haben und die Fronten weiter verhärten oder aufweichen können. Die Entscheidung wird zeigen, ob die EU ihren bestehenden Datenschutzrahmen nur verfeinern – oder grundlegend für das digitale Zeitalter neu justieren will.
PS: Die Debatte um Pseudonymisierung und Trainingsdaten zeigt, wie dringend klare Umsetzungsregeln nötig sind. Holen Sie sich den kostenlosen Umsetzungsleitfaden zur EU-KI-Verordnung: Praxisnahe Checklisten, Pflichtenübersichten und Handlungsschritte für Entwickler und Entscheider, damit Sie Fristen einhalten und Bußgelder vermeiden. Der Leitfaden ist verständlich geschrieben und ohne juristische Vorkenntnisse umsetzbar. Gratis-Umsetzungsleitfaden zur KI-Verordnung sichern
