Weshalb wir uns am 27. Januar in den Zug setzten…

Dienstagmittag und wir sitzen im Zug Richtung Brüssel, wie so oft in der Vergangenheit zu Beginn eines jeden Jahres. Der Data Protection Day steht an – am 28. Januar 2026 ist ein Tag, der an die Unterzeichnung des Übereinkommens Nr. 108 (Convention 108) erinnert. Für uns ein guter Grund, mal wieder nach Brüssel zu fahren. Die Konferenz, die gemeinsam vom Europarat (CoE) und dem Europäischen Datenschutzbeauftragten (EDPS) organisiert wurde, versprach spannende Diskussionen. Die Veranstaltung bringt regelmäßig Regulierungsbehörden, Wissenschaftler und Praktiker aus aller Welt zusammen, um über die Zukunft des Datenschutzes in Europa und dessen globaler Rolle zu debattieren. Spoiler vorweg: Es war definitiv erneut die Reise wert!

„When is data personal?“  – Das erste Panel legt direkt los

Im ersten Panel ging es schon direkt zur Sache. Es ging um eine Frage, die wir eigentlich für geklärt hielten: Was sind eigentlich personenbezogene Daten? Hier kam der EuGH mit seiner Entscheidung im Fall EDPS vs. SRB (C-413/23 P) vom September 2025 ins Spiel. Das Urteil hat einiges durcheinandergebracht oder besser gesagt – klargestellt. Der Gerichtshof hat drei zentrale Punkte geklärt: Persönliche Meinungen sind grundsätzlich personenbezogene Daten, pseudonymisierte Daten sind nicht in jedem Fall und für jeden personenbezogene Daten und die Transparenzpflichten der Verantwortlichen bleiben auch bei pseudonymisierten Daten bestehen.

Das wirft in der Praxis natürlich eine ganze Reihe neuer Fragen auf, die wir uns bisher vielleicht nicht gestellt haben. Die Debatte wird hitzig:

• Über welche Daten verfügt der Empfänger eigentlich schon?
• Welche technischen Möglichkeiten hat er?
• Was kann er zusätzlich über Internetsuchen herausfinden?

Verschlüsselte Daten – AVV noch notwendig?

Diskutiert wurde insbesondere, was im Falle von verschlüsselten Daten gelten soll. Braucht man dann noch einen Auftragsverarbeitungsvertrag? Ist der Cloud-Provider in so einem Fall wirklich ein Auftragsverarbeiter? Und was passiert eigentlich im Fall einer Datenpanne, wenn die Daten, zumindest für den Empfänger, nicht personenbezogen sind?

Die Konsequenz: Dokumentation wird noch wichtiger. Verantwortliche müssen nachweisen können, dass es sich bei den übermittelten Daten nicht um personenbezogene Daten handelt. Es kommt maßgeblich darauf an, wie der Verantwortliche die Eingruppierung vornimmt.

Transparenz

Ein weiteres Problem was angesprochen wurde, betraf das Thema Transparenz, die bei der Datenübermittlung komplexer wird. Die Auskunftspflicht nach Art. 15 DSGVO wird detaillierter und Empfänger müssen künftig konkret genannt werden. Denn was für den ersten Empfänger nicht personenbezogen ist, kann beim nächsten Empfänger, der über weitere Informationen oder technische Möglichkeiten verfügt, plötzlich wieder personenbezogen sein.

Spannend war auch die beginnende Diskussion über die Vorschläge zum Digital Omnibus der EU-Kommission. Sind diese überhaupt notwendig? Der Vertreter des EDPS meinte, dass man nicht definieren sollte, was personenbezogene Daten nicht sind, sondern was sie sind. Der Datenschutzbeauftragte der Europäischen Zentralbank sah das etwas anders. Seiner Ansicht nach sei eine Klarstellung notwendig. Dies würde grundsätzlich eine Vereinfachung bringen. Privacy by Design werde noch wichtiger. Prof. Anna Berlee wiederum meinte, eine neue Definition würde alles einfacher machen, der Omnibus sei aber nicht unbedingt das richtige Instrument dafür.

Convention 108 und 108+ – Ein globaler Rahmen für Datenschutz

Im Panel zur Convention 108 und 108+ wurde deutlich, dass die internationale Zusammenarbeit im Datenschutz wichtiger denn je ist. Dies wurde durch einen spannenden Einblick des Behördenvertreters aus Senegal an konkreten Beispielen auch nochmal ganz deutlich. Die Convention 108 ist nach wie vor das einzige rechtlich bindende Instrument, das ein einheitliches Schutzniveau auf internationaler Ebene schaffen kann.

Interessante Randnotiz von Beatriz de Anchorena, Chair of the Committee of Convention 108 and Head of the Agency for Access to Public Information (AAIP), Argentinian Data Protection Authority am Rande: Es gibt einen neuen Angemessenheitsbeschluss zwischen der EU und Brasilien.

Art. 14 der Convention 108+ bringt übrigens neue Regelungen zu automatisierten Entscheidungen sowie Anforderungen zur Datenqualität und -relevanz. Das Prinzip des freien Datenverkehrs spielt dabei eine zentrale Rolle.

Digital Omnibus: Vereinfachung oder Deregulierung?

Die Diskussion zum Digital Omnibus geht weiter und war lebhaft. Geht es hier wirklich um Vereinfachung oder versteckt sich dahinter eine schleichende Deregulierung?

Das Helsinki-Statement der EDPB zeigt, dass die Datenschutzbehörden an verschiedenen Tools arbeiten, wie zu Datenschutz-Folgenabschätzungen, zur Datenpannenmeldung und mehr. Im Februar soll es mehr Klarheit geben. Der Brussels Privacy Hub wird hier sicherlich auch eine wichtige Rolle spielen.

Unsere wichtigsten Take Aways

Die Diskussionen waren auf hohem Niveau, praxisnah und haben uns viele Denkanstöße mitgegeben. Zudem waren sie auch an vielen Stellen sehr unterhaltsam und mitunter sehr kurzweilig. Besonders die Frage, wie wir mit pseudonymisierten Daten umgehen sollen und welche Dokumentationspflichten sich daraus ergeben, wird uns in den nächsten Monaten sicher noch beschäftigen.

Innovation und Spezifikation wurden vorangetrieben und auch die technischen Aspekte kamen nicht zu kurz. Wir haben erneut einen Einblick in die aktuellen Diskussionen der Datenschutz-Community erhalten. Insgesamt hat sich gezeigt, dass sich Austausch lohnt und durch nichts zu ersetzen ist.

Wir sind jetzt schon gespannt, welche Themen uns beim nächsten Mal erwarten werden!

AUTOREN