Bei den überraschend intensiven Bemühungen zur Reform der Datenschutz- Grundverordnung (DSGVO) laufen mehrere Initiativen parallel. Weitere Vorstöße sind denkbar. Die Zusatzverordnung zur DSGVO ist bereits Realität.
Die Initiativen für eine Reform der DSGVO haben bisher nicht zu abschließenden Ergebnissen geführt. Das wird sich 2026 deutlich ändern. Unabhängig davon soll die Rechtsanwendung durch die Aufsichtsbehörden besser vorhersehbar werden.
Die Bestimmung des Personenbezugs ist im Kontext des Einsatzes von KI, des Teilens von Daten nach dem Data Act und für die Nutzung von „As a Service“-Angeboten sowie auch für die Reichweite eines Auskunftsanspruchs von grundlegender Bedeutung. Der EuGH hat nun klargestellt: Der Personenbezug einer Information ist relativ zu bestimmen.
Bundeskanzler Merz und die Länderchefinnen und -chefs stellen das BDSG auf den Prüfstand und planen u.a. einen tiefgreifenden Umbau der Datenschutzaufsicht. Was genau beschlossen wurde, welche Reformen bevorstehen und in welchen Zeitrahmen diese ungesetzt werden sollen, zeigt der Blick in die nun vorliegenden Maßnahmen – ergänzt um Einordnung und Hintergründe.
Auch Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind Fragen, wie und in welcher Tiefe diese umzusetzen ist, noch nicht vollständig beantwortet. Das liegt auch daran, dass die als Grundverordnung konzipierte Datenschutz-Regulatorik alle Verantwortlichen adressiert und deshalb unbestimmt bleiben muss.
Ein geschiedenes Paar hat eine gemeinsame Tochter. Die Mutter installiert auf dem Handy der Tochter die Ortungs-App „Pingo“. Darüber beschwert sich ihr Vater bei der österreichischen Datenschutzaufsicht. Er fühlt sich von seiner Ex verfolgt. Denn zumindest einmal hat sie die Tochter geortet, während sie bei ihm war.
Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.
Immer mehr Unternehmen nutzen KI-basierte Chatbots, um Kundschaft oder Beschäftigte bei Fragen zu Produkten, Dienstleistungen und Geschäftsprozessen zu unterstützen. Der Einsatz solcher Chatbots bringt Vorteile, wirft aber auch wichtige datenschutzrechtliche Fragen auf.
RFID und NFC sind etwa beim kontaktlosen Bezahlen von zentraler Bedeutung. RFID (Radio Frequency Identification Technology, Funkfrequenzidentifizierung) ist eine Technologie, mit der sich Daten berührungslos und ohne Sichtkontakt lesen und speichern lassen. Nahfeldkommunikation (Near Field Communications, NFC) basiert auf den RFID-Standards.
Die technisch-organisatorischen Maßnahmen im Datenschutz müssen sich an der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen und damit am Schutzbedarf der Daten orientieren. Der Schutzbedarf hängt u.a. von der Datenkategorie ab. Um diese zu bestimmen, helfen Schutzstufenkonzepte.
