Gefällt Ihnen allgemeine Newsletter, die Ihre echten Herausforderungen nur oberflächlich behandeln? Dastra bietet Ihnen Dastra Insights, einen rechtlichen und regulatorischen Überblick speziell für Datenschutzbeauftragte (DPOs), Syndikusanwält:innen sowie Fachleute für Privacy und KI.
🎯 Gezieltes, nützliches Monitoring, das in der täglichen Realität von Datenschutz und KI verankert ist.
Hier ist unsere Auswahl für April 2026:
AI Act Omnibus: festgefahrene Verhandlungen und Unklarheit über den Zeitplan
Datum: 28. April 2026
Quelle: Reuters link
Der Trilog vom 28. April 2026 zum Paket AI Act Omnibus, das die Kommission im November 2025 zur Vereinfachung bestimmter Aspekte der Umsetzung der KI-Verordnung vorgelegt hatte, endete ohne Einigung.
Die Institutionen schienen sich bei mehreren Punkten anzunähern, insbesondere bei einer Verschiebung auf den 2. Dezember 2027 für Hochrisikosysteme nach Anhang III sowie auf den 2. August 2028 für KI, die in bereits regulierte Produkte eingebettet ist.
Uneinigkeit bestand jedoch bei einem strukturellen Punkt: dem Status von KI-Systemen, die in Produkte eingebettet sind, die bereits sektoralen Rechtsvorschriften unterliegen, etwa Medizinprodukte, Maschinen, Spielzeug oder vernetzte Fahrzeuge.
Die Frage ist, ob diese Systeme vollständig im Anwendungsbereich der KI-Verordnung verbleiben oder vorrangig durch sektorale Regeln geregelt werden sollten.
Mangels Einigung bleibt der derzeit geltende Zeitplan in Kraft; damit bleibt die Frist 2. August 2026 für bestimmte Pflichten bei Hochrisikosystemen vorerst der rechtliche Referenzpunkt.
Auch wenn die Gespräche fortgesetzt werden sollen, können Unternehmen nicht davon ausgehen, dass eine Verschiebung rechtzeitig beschlossen wird. Einige Pflichten außerhalb des Omnibus, insbesondere die Transparenzanforderungen für bestimmte generative KI-Systeme nach Artikel 50, bleiben unmittelbare Compliance-Prioritäten.
Der EDSB nimmt eine Vorlage für die Datenschutz-Folgenabschätzung (DSFA) an
Datum: 14. April 2026
Quelle: Official link
Der EDSB hat eine Vorlage für die Datenschutz-Folgenabschätzung (DSFA) angenommen, um Organisationen zu helfen, ihre Bewertungen innerhalb der EU einheitlicher zu strukturieren und zu dokumentieren.
Der Ausschuss stellt klar, dass eine DSFA erforderlich ist, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten mit sich bringt, und dass die Vorlage dazu gedacht ist, Verantwortliche Schritt für Schritt zu führen.
Die Vorlage wird von einem Erläuterungsdokument begleitet, das die Nutzung erleichtern und mögliche Auslegungsfragen klären soll.
Die Nutzung der Vorlage ist nicht verpflichtend, der EDSB hebt jedoch ihren praktischen Nutzen hervor: vorgegebene Felder, bessere Vollständigkeit, geringeres Fehlerrisiko und Zeitersparnis.
Der Text steht bis zum 9. Juni 2026 zur öffentlichen Konsultation; anschließend müssen die nationalen Behörden die erforderlichen Schritte unternehmen, um ihn entweder als einheitlichen Standard oder als „Metamodell“ zur Angleichung nationaler Vorlagen zu übernehmen.
EDSB-Konsultation zu Leitlinien für wissenschaftliche Forschung
Datum: 16. April 2026
Quelle: Official link
Der EDSB hat eine öffentliche Konsultation zu seinen Leitlinien 1/2026 zur Verarbeitung personenbezogener Daten zu Zwecken der wissenschaftlichen Forschung gestartet.
Auf der Konsultationsseite werden die behandelten Themen klar benannt: Gesundheit, Rollen von Verantwortlichen und Auftragsverarbeitern, Rechtsgrundlage, Einwilligung und Rechte der betroffenen Personen.
Auch der Zeitplan ist wichtig: Die Konsultation läuft vom 16. April bis 25. Juni 2026. Für Jurist:innen und DPOs verdient dieser Text besondere Aufmerksamkeit, weil er voraussichtlich beeinflussen wird, wie Rechtsgrundlage, Informationspflichten und Schutzmaßnahmen in Forschungsprojekten bewertet werden – insbesondere bei Gesundheits- und KI-bezogenen Anwendungen.
EDSB-Jahresbericht 2025
Datum: 9. April 2026
Quelle: Official link
Der EDSB hat seinen Jahresbericht 2025 veröffentlicht, der zwar selbst keine neuen Pflichten schafft, aber einen klaren Hinweis auf die institutionellen und dogmatischen Prioritäten des Ausschusses gibt.
Der Bericht hebt die Helsinki-Erklärung zu mehr Klarheit, Unterstützung und Einbindung hervor, die darauf abzielt, die Einhaltung der DSGVO verständlicher und praktikabler zu machen.
Er betont außerdem die wachsende Bedeutung der interregulatorischen Zusammenarbeit, insbesondere mit der Kommission, im Zusammenhang zwischen der DSGVO und anderen Instrumenten des Digitalrechts wie dem DMA, dem DSA und den Vorarbeiten zum AI Act.
Europäische Kommission und EDSB: gemeinsame Arbeit zu Wettbewerb und Datenschutz
Datum: 28. April 2026
Quelle: Official link
Die Dienststellen der Kommission und der EDSB haben den Start einer gemeinsamen Arbeit angekündigt, die auf die Erarbeitung von Leitlinien zur Wechselwirkung zwischen dem EU-Wettbewerbsrecht und dem Datenschutzrecht abzielt.
Die Pressemitteilung stellt klar, dass sich diese Arbeit auf konkrete Situationen konzentrieren wird, in denen das Datenschutzrecht für die wettbewerbsrechtliche Analyse relevant ist – und umgekehrt.
Ziel ist ein kohärenter Ansatz über beide Rechtsgebiete hinweg und zugleich mehr Klarheit für Wirtschaftsteilnehmer und Durchsetzungsbehörden.
Diese Initiative knüpft an die Arbeiten zur Schnittstelle DMA/DSGVO an. Sie ist ein wichtiges Signal für große Plattformen, digitale Ökosysteme und allgemein alle Fälle, in denen Daten sowohl eine wirtschaftliche als auch eine regulatorische Rolle spielen.
Empfehlung zur Altersverifikation auf EU-Ebene
Datum: 29. April 2026
Quelle: Official link
Die Kommission hat eine Empfehlung angenommen, die den Einsatz von Lösungen zur Altersverifikation in der EU auf Basis von anonymen Altersnachweis-Technologien fördern soll, mit ausdrücklichem Fokus auf Privatsphäre und Datenschutz.
Sie empfiehlt den Mitgliedstaaten, den europäischen Blueprint zu verwenden, Umsetzungspläne zu erarbeiten und mit DSA-Koordinatoren, der Kommission, Forschenden und der Zivilgesellschaft zusammenzuarbeiten. Der Text sieht vor, dass EU-Bürger:innen bis zum 31. Dezember 2026 Zugang zu robusten, datenschutzfreundlichen Lösungen haben sollen.
Die Kommission kündigt zudem ein europäisches Altersverifikationssystem, eine Liste von mit Sicherheits- und Datenschutzstandards konformen Lösungen sowie eine Liste vertrauenswürdiger Anbieter für Altersnachweise an.
Bemerkenswert ist, dass die Lösung es einer Person ermöglichen muss nachzuweisen, dass sie über einem bestimmten Alter liegt, ohne ihr genaues Alter oder ihre Identität gegenüber der Plattform offenzulegen.
Gezielte Konsultation zu Energieverbrauch und Emissionen von KI-Modellen und -Systemen
Datum: 7. April 2026
Quelle: Official link
Die Kommission hat eine gezielte Konsultation im Rahmen einer Studie zur Messung und Förderung energieeffizienter, emissionsarmer KI in der EU gestartet.
Die Antworten sollen die Entwicklung eines Messrahmens für die Energieziele des AI Act unterstützen und könnten auch die Konzeption eines möglichen KI-Energie-/Emissionslabels beeinflussen.
Der Text richtet sich insbesondere an Unternehmen, die GPAI-Modelle oder andere KI-Systeme entwickeln oder einsetzen, sowie an ihre Komponenten- und Dienstleister. Er erinnert an einen konkreten regulatorischen Punkt: Anbieter von GPAI-Modellen müssen den bekannten oder geschätzten Energieverbrauch in ihrer technischen Dokumentation nach Anhang XI des AI Act dokumentieren.
Interessierte konnten ihr Interesse bis zum 10. Mai 2026 bekunden und dann bis zum 15. Mai 2026 einen Fragebogen beantworten; die endgültige Zusammenfassung wird auf Grundlage aggregierter Daten veröffentlicht.
Prioritäre Kontrollen der CNIL für 2026
Datum: 3. April 2026
Quelle: Official link
Die CNIL hat ihre prioritären Prüfungsschwerpunkte für 2026 bekannt gegeben: Personalgewinnung, das französische Wählerregister (REU) und Sportverbände.
Das für das Monitoring von Daten/KI direkt relevanteste Thema ist die Personalgewinnung. Die CNIL erläutert, dass diese Kontrollen – drei Jahre nach Veröffentlichung ihres speziellen Leitfadens – die DSGVO-Konformität von Arbeitgebern und Recruitern bei Themen wie automatisierten Entscheidungsverfahren, Information der Bewerber:innen und Aufbewahrungsfristen prüfen werden.
Im Fokus stehen vor allem große Unternehmen und Personalvermittlungsagenturen.
Endgültige CNIL-Empfehlungen zu Tracking-Pixeln in E-Mails
Datum: 14. April 2026
Quelle: Official link
Die CNIL hat die endgültige Fassung ihrer Empfehlungen zu Tracking-Pixeln in E-Mails veröffentlicht, als Reaktion auf den zunehmenden Einsatz dieser Technik zur Messung von Öffnungen, zur Personalisierung von Kommunikation, zur Verfolgung der Lektüre oder zur Messung der Zustellbarkeit.
Sie erinnert daran, dass diese Pixel unter den Begriff der Tracker fallen, im Zusammenhang mit Artikel 82 des französischen Datenschutzgesetzes, und präzisiert, in welchen Fällen ihre Nutzung eine Einwilligung erfordert und in welchen Fällen eine Ausnahme greifen kann.
Der Text enthält eine wichtige Klarstellung: Eine Ausnahme wird für die individuelle Messung der Zustellbarkeit anerkannt, wenn sie mit einer vom Empfänger angeforderten Dienstleistung verbunden ist, vorbehaltlich strenger Schutzmaßnahmen; die Daten müssen auf das unbedingt Erforderliche beschränkt bleiben und ausschließlich für diesen Zweck verwendet werden.
Die CNIL präzisiert zudem, welche E-Mails als mit einer angeforderten Dienstleistung verbunden gelten können, darunter bestimmte transaktionale E-Mails und solche, für die der Empfänger bereits eingewilligt hat.
Schließlich verfolgt sie für bestehende Kontaktdatenbanken einen gestaffelten Ansatz: Für Adressen, die vor der Veröffentlichung der Empfehlung erhoben wurden, haben die Akteure drei Monate Zeit, die Empfänger:innen klar über den Einsatz von Pixeln zu informieren und ihnen eine einfache Widerspruchsmöglichkeit zu geben.
Endgültige ICO-Leitlinien zu Storage & Access Technologies
Datum: 29. April 2026
Quelle: Official link
Die ICO hat ihre endgültigen Leitlinien zu Storage and Access Technologies (SATs) veröffentlicht, also dazu, wie die PECR und gegebenenfalls die UK GDPR auf Cookies, Tracking-Pixel, Device Fingerprinting und ähnliche Technologien anzuwenden sind.
Die Aufsichtsbehörde erklärt, der Text sei nach zwei Konsultationen und angesichts der durch den Data (Use and Access) Act eingeführten Änderungen aktualisiert worden.
Sie hebt die Aufnahme von neuen Beispielen und praktischen Klarstellungen hervor, die die Einhaltung erleichtern sollen. Die Mitteilung enthält auch eine Durchsetzungsbotschaft: Nach Angaben der ICO erfüllen nun 99 % der 1.000 größten Websites im Vereinigten Königreich ihre Anforderungen an Cookie-Banner, nachdem die Behörde gezielt mit dem Sektor gearbeitet hat.