Am 6. Mai 2026 und zum mittlerweile 5. Mal luden die Hamburger Datenschutzgesellschaft e.V. sowie der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in die Handelskammer zum Hamburger Datenschutzforum ein. Die jährlich stattfindende Veranstaltung widmet sich aktuellen Themen zum Datenschutzrecht und hat sich längst als regionales Highlight der Datenschutzkonferenzen etabliert.
In diesem Jahr standen der digitale Omnibus zur Reform des Datenschutzrechts sowie der Omnibus zur KI-Verordnung im Zentrum des Events. Aus unterschiedlichen Perspektiven – aus Sicht der Wirtschaft, der Datenschutzaufsicht und der Verbraucher – wurde das derzeitige Gesetzgebungsverfahren teils auch kritisch besprochen.
Zu Beginn der Veranstaltung begrüßte Christian Graf, Chefjustiziar der Handelskammer Hamburg, alle anwesenden Personen und wies auf das aktuelle Bestreben hin, einerseits durch die Reform die Bürokratie zu entlasten, andererseits aber auch den Datenschutz zu wahren. Anschließend hieß Rechtsanwalt Dr. Philipp Kramer, Vorstand der Hamburger Datenschutzgesellschaft e.V., alle Gäste nochmal herzlich willkommen. Auch er betonte den Konflikt zwischen den – dank KI – wachsenden Datenvorgängen und dem Datenschutz in der aktuellen Debatte. Wie lässt sich die Spannung auflösen? Hier empfehle es sich, nicht reflexartig zu handeln, so Kramer.
Max Schrems: Viele neue unbestimmte Rechtsbegriffe
Es folgte der erste Redebeitrag von Max Schrems, der per Video zugeschaltet war und die aktuelle Entwicklung im digitalen Omnibus einordnete. Zunächst stellte der bekannte Jurist und Datenschutzaktivist aus Österreich fest, dass unterschiedliche Erwartungen zur Anpassung der DSGVO bestünden. Die Sicht des Nutzers sei eine andere Sicht als die der Wirtschaft. Die Unternehmen wollten vor allem, dass die „Papierarbeit und Dokumentation“ reduziert und die Verwaltungsvereinfachung angegangen werde.
Grundsätzlich zeigte sich der Datenschutzaktivist sogar offen für eine punktuelle Reform des Datenschutzrechts. Seiner Ansicht nach müssten primär die sog. Hyperscaler mehr in die Pflicht genommen werden. Sodann ging er auf mehrere Reformvorschläge der EU-Kommission zur Anpassung der DSGVO durch den digitalen Omnibus ein. Etwaige Änderungen der Vorschriften, die sich auf die Cookie-Banner auswirken und mehrere Ausnahmetatbestände etablierten würden, seien grundsätzlich gut.
Das Anfassen der Definition des personenbezogenen Datums in Art. 4 Nr. 1 DSGVO, womöglich der folgenreichste Eingriff in das Datenschutzrecht, sei aber für die Praxis etwas schwieriger. Die etwaige Annahme der „Anonymität“ der Daten in einer längeren Datenverarbeitungskette bringe eher Unklarheiten. Auch kritisierte er die Pläne zur Befreiung von den Informationspflichten aus Art. 13 DSGVO. Dieses mehrstufige Konzept, wann diese Ausnahmen überhaupt gelten, verursache für die Stellen eher Probleme in der Anwendung. Also wann müssten die Stellen nicht informieren, wann greifen diese Ausnahmen? Ähnlich unklar, und im Ergebnis auch nur schwer umsetzbar, seien die neuen Regelungen zum KI-Training mit personenbezogenen Daten. Insgesamt schaffe diese Reform viele neue unbestimmte Rechtsbegriffe. Dabei hob Schrems hervor, dass sich die Reform der DSGVO an Art. 8 Abs. 2 GRCh als europäisches Grundrecht messen lassen müsse. Insgesamt bevorzugt der Jurist als wohl bessere Lösung eine umfangreiche Überprüfung der DSGVO durch den für die nahe Zukunft geplanten Digital Fitness Check der EU-Kommission anstelle dieser vorgezogenen, eiligen Reform. Seine Erwartungen an den digitalen Omnibus, insbesondere die „Papierbelastung“ für Unternehmen zu reduzieren, mehr Verantwortung an die Hyperscaler zu übergeben sowie die Belastung durch die zu vereinbarenden Auftragsverarbeitungsverträge zu verringern, seien jedoch insgesamt nicht erfüllt.
Thomas Fuchs: Viel Gutes dabei, aber …
Anschließend referierte der HmbBfDI, Thomas Fuchs, zum aktuellen Reformbestreben und gab dabei zunächst sogar persönlich zu, dass er erst von diesem heutigen Vortrag in seiner Behörde überzeugt werden musste. Er sei davon ausgegangen, dass das allgemeine Interesse an einer Diskussion zu dieser Thematik eher gering ausfallen würde – dass wieder mal ausgebuchte Datenschutzforum überzeugte ihn vom Gegenteil. Nach einem kurzen historischen Abriss (und Auslöser dieser EU-Reformen) gab er tiefe Einblicke in das (politische) Vorhaben der Reform und stellte gleich zu Beginn fest: Der Ansatz, mit dem digitalen Omnibus schnell und unbürokratisch punktuelle Änderungen an den Gesetzen „durchzuwinken“, sei wohl gescheitert!
Doch ungeachtet dieser ernüchternden Worte skizzierte der Landesdatenschutzbeauftragte ein paar ausgewählte Vorschläge der EU-Kommission, wie z. B. die Anpassungen zum Umgang mit Datenschutzvorfällen (Datenpannen) nach Art. 33 DSGVO und Art. 34 DSGVO. Er würde diese Neuregelung sehr begrüßen, gegen die wohl in seinen Augen niemand etwas haben dürfte – ihm sei zumindest noch niemand mit anderer Meinung begegnet. Wenn eine Meldung gegenüber der Aufsichtsbehörde nur noch bei einem hohen Risiko zu erfolgen habe, würde dies wohl zu 50 Prozent weniger Meldungen führen, was praxisnah und sinnvoll wäre und auch die Arbeit in seinem Hause entlasten würde. Hierzu stellte er auch die Statistiken aus seiner Behörde vor. Auch die Fristverlängerung für diese Meldung von derzeit 72 Stunden auf 96 Stunden und die Schaffung einer zentralen Meldestelle (wie z. B. die ENISA) sei gut.
Die Überarbeitung des Auskunftsrechts in Art. 15 DSGVO durch die Klarstellung eines Missbrauchs dieses Anspruchs durch zweckwidrige Interessen, ginge in die richtige Richtung, auch wenn es gewisse praktische Schwierigkeiten mit sich brächte. Dies zeige nicht zuletzt die Definition des Tatbestandsmerkmals des Missbrauchs. Und inwiefern die möglichen Neuregelungen zu den Cookie-Bannern tatsächlich funktionieren würden, müsse sich erst noch zeigen.
Dann jedoch folgten die großen Kritikpunkte: Die vieldiskutierte Anpassung der Definition des personenbezogenen Datums (Art. 4 Nr. 1 DSGVO) schließe sich zwar an die jüngste EuGH-Rechtsprechung an; gerade der letzte Satz im neuen Entwurf der Definition werfe jedoch alles um: Es komme für die Annahme der Anonymität auch auf die Perspektive Dritter an. Dies durchbricht die eigentliche Aussage des EuGH, dass sich Anonymität nach den fehlenden Möglichkeiten der Re-Identifikation des jeweiligen Verantwortlichen bemesse. Dieser Widerspruch führe zu Rechtsunsicherheit, wann in einer Kette von Dienstleistern tatsächlich anonyme Daten für die jeweilige Stelle vorliegen. Der Versuch, die EuGH-Rechtsprechung in die Novellierung aufzunehmen, sei misslungen.
Die letzten Minuten des Vortrages widmete sich Fuchs dem digitalen Omnibus zur KI-Verordnung und den ganz aktuellen News aus Brüssel. Seiner Auffassung nach sei der im November letztens Jahres von der EU-Kommission vorgestellte Zeitplan nicht mehr zu halten und die fristgerechte Anpassung wohl gescheitert. Zudem sei es so, dass beide Verfahren auch noch in den Trilog gehen würden, wo es auch auf die politischen Lager ankäme. Seine These: Dieses Jahr gibt es keinen digitalen Omnibus mehr, womöglich werde die Reform auch nichts mehr in der aktuellen Legislaturperiode in der EU (Anmerkung der Autoren: Die nächste Europawahl findet 2029 statt!). Der bisherige Stand zum KI-Omnibus habe gezeigt, dass schnell wohl nicht bei hochkomplexen Themen funktioniere. Es würde sich wohl zeitnah nur auf die Verschiebung von Fristen geeignet werden, nicht jedoch auf tiefgehende Anpassungen (Anmerkung der Autoren: Nun kam es überraschend am Tag nach der Konferenz doch anders).
Dabei erklärte der HmbBfDI im Hinblick auf das Reformerfordernis der KI-Verordnung sowie der DSGVO, dass die Datenregulierung zur KI besser in der KI-Verordnung zu regeln sei und nicht – wie nach den derzeitigen Vorschlägen der EU-Kommission – in der DSGVO. Es dürfe keine Doppelregelung zur Verarbeitung durch die KI geben, sondern eher ein spezielleres, abschließendes Gesetz.
Zum Schluss kritisierte er, dass die EU-Kommission im Rahmen des digitalen Omnibusses zur DSGVO nicht die eigentlichen Lücken der DSGVO, allen voran der Rechtsgrundlagen in Art. 9 DSGVO, versuche zu schließen. Gerade in Art. 9 DSGVO fehle es an einer Regelung zum Umgang mit besonders sensiblen Daten (Gesundheitsdaten) bei der Vertragsdurchführung.
Christoph Engelmann: Wie nehmen Betroffene und Verbraucher den Datenschutz war?
Nach der Pause und einem kurzen Austausch bei Kaffee und Kuchen sprach Christoph Engelmann, Syndikusrechtsanwalt und Referent für Datenschutzrecht vom Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e. V., über die Reform des Datenschutzrechts und gab Einblicke in seine Arbeitsweise.
Auch er empfahl in seinem Vortrag zunächst den Perspektivwechsel. Wie bewerten eigentlich die Menschen den Datenschutz? Dieser sei (laut einer Umfrage) für über 50 Prozent der Befragten derzeit einfach zu kompliziert. Ca. 90 Prozent der Befragten würden demnach die Datenschutzhinweise gar nicht oder nur teilweise lesen. Die Menge der Informationen sei für Verbraucher nicht mehr zu verstehen.
Am Beispiel von Art. 13 DSGVO veranschaulichte er seine Kritik an diesen vielen Informationspflichten, die es bei einem Kreditabschluss derzeit gäbe. Dazu kämen Pflichtinformationen nach diversen anderen Gesetzen. Seitenweise Papier und im Falle eines digitalen Abschlusses des Vertrages müsse man laut Engelmann dann auch noch angesichts der als biometrisches Datum geltenden händischen Unterschrift des Kunden, eine zusätzliche (und jederzeit widerrufbare) Einwilligung in die Verarbeitung dieser digitalen Unterschrift einholen. Das sei den Menschen kaum zu erklären. Am Ende würden die Menschen dann doch wieder in die Filiale kommen.
Ferner lobte auch er das Bestreben der Reform des Auskunftsrechts – also die Beschränkung dieses weitreichenden Anspruchs –, das aus seiner Sicht vor allem bei Rechtstreitigkeiten im Rahmen einer Kündigung viel Arbeit schaffe.
Abschließend resümierte Engelmann, dass es bei den Vorschlägen der EU-Kommission am roten Faden fehle. Diese seien lediglich ein paar „Schönheitsreparaturen“. Viele andere Themen, wie die Dokumentationspflichten (z. B. zum Verzeichnis der Verarbeitungstätigkeiten oder den TOMs), würden fehlen.
Paneldiskussion
In der anschließenden Paneldiskussion wurde das Publikum einbezogen. Es gab viele Fragen aus unterschiedlichen Perspektiven und Bereichen der Datenschutzpraxis, die bis zur Robotik und zum Quantencomputing reichten. Ist das Datenschutzrecht überhaupt hierauf vorbereitet?
Ein Teilnehmer stellte die provokante Frage: Laufen wir der Technologie mit dem Datenschutz immer weiter hinterher? Eine durchaus berechtigte Frage, die unterschiedlich beantwortet werden kann.
Auch die Streichung der deutschen Vorschrift zur Benennung des Datenschutzbeauftragen (§ 38 BDSG) sei, so Fuchs in der Diskussionsrunde, eindeutig politisch bestimmt und wohl nicht unwahrscheinlich, auch wenn er dies für nicht zielführend erachte.
In der letzten Fragerunde äußerten sich die anwesenden Referenten noch mit ein paar persönlichen Wünschen für die Reform des Datenschutzrechts. Tenor: Es muss und wird etwas passieren. Darin waren sich alle einig.
Und mit den Schlussworten von Dr. Kramer wurde das 5. Hamburger Datenschutzforum beendet. Im nächsten Jahr, vermutlich am 20. April 2027, soll es dann weitergehen!
Keine Kommentare