DSGVO-Reform: Bürokratie abbauen oder Datenschutz gefährden?

Sinnvoll oder die Öffnung von Pandoras Büchse?

Datenschutz im Alltag: Zwischen Pflichtgefühl und Frustration

Das Thema Datenschutz sorgt immer wieder für unterschiedlichste Reaktionen. Wird das Thema Datenschutz-Grundverordnung (DSGVO) erwähnt, erntet man regelmäßig ein gequältes Lächeln oder blickt in sich verdrehende Augen. Häufig ist man selbst genervt vom 20. Cookie-Banner, der „bewältigt“ werden muss, um möglicherweise interessante Artikel lesen zu können, und trifft einmal mehr die Entscheidung, seine personenbezogenen Daten als Bezahlung für einen Service preiszugeben. Gegenüber staatlichen Institutionen empfindet man die Wahrung des Datenschutzes jedoch in den meisten Fällen als sehr wichtig. Ist man mit dem Betrieb eines kleinen oder mittleren Unternehmens (KMU) oder einer Non-Profit-Organisation (NPO) beschäftigt, stellen sich bei der Erwähnung des Themas Datenschutz gemischte Reaktionen ein. In der Regel wird der Schutz der Privatsphäre als bedeutendes Rechtsgut betrachtet. Ist man selbst jedoch zur konkreten Umsetzung datenschutzrechtlicher Vorschriften verpflichtet, kann dies mitunter zu Verärgerung führen.

Seit der Geltung der DSGVO seit Mai 2018 hat sich dennoch viel getan. Auch die initiale Beunruhigung, die im Zuge von DSGVO-Vorträgen in Sälen, gefüllt mit Mitarbeitern von KMUs und NPOs, deutlich wahrnehmbar war, ist einem pragmatischen Zugang gewichen. Viele Organisationen nehmen das Thema ernst und sind um Rechtskonformität bemüht.

Bürokratieballast oder Bewusstseinswandel?

Die DSGVO ist nicht nur mit Aufwand für Dokumentation und Prüfung der Rechtmäßigkeit verbunden, es erfolgte insgesamt eine Stärkung des Bewusstseins für das Thema Datenschutz in den Organisationen und auch in der Bevölkerung. Dies lässt sich an den steigenden Verfahrenszahlen in den jährlichen Berichten der Datenschutzbehörde nachvollziehen. Die Beweggründe für Beschwerdeverfahren sind oftmals unterschiedlich gelagert. Als Recht der Emotionen dient es nicht immer dazu, das Recht auf Privatsphäre zu schützen, sondern wird eine Beschwerde regelmäßig eingesetzt, um sich für (vermeintliches) Unrecht (etwa im Zuge von Sorgerechts- und Nachbarschaftsstreitigkeiten oder im Rahmen der Beendigung von Dienstverhältnissen) zu revanchieren.

Auch wenn die DSGVO für viele Organisationen den Mehrwert mit sich gebracht hat, dass kleinere Organisationen erstmals einen Überblick über ihre eigenen Verarbeitungstätigkeiten erhalten haben und Prozessabläufe verbessert beziehungsweise erstmalig geschaffen wurden, ist die Rechtsmaterie oftmals nur schwer zu durchschauen und umzusetzen. Die Einhaltung der datenschutzrechtlichen Verpflichtungen ist aus personellen und finanziellen Ressourcengründen für die kleineren „Player“ regelmäßig mit Herausforderungen verbunden. Ein Ziel der DSGVO war es dabei nicht, KMUs und NPOs zu schwächen. Die Harmonisierung des Datenschutzes in Europa sollte einerseits die Betroffenen besser schützen und zumindest innereuropäisch den freien Verkehr der Daten ermöglichen. Durch das Marktortprinzip wurden andererseits große Player außerhalb des EWR datenschutzrechtlich in die Pflicht genommen.

Neben der DSGVO besteht mittlerweile eine beträchtliche Anzahl an EU-Digital-Rechtsakten, die thematischen Clustern in den Bereichen Cybersecurity, Künstliche Intelligenz, Digitale Dienste und Märkte und Datenstrategie zugeordnet werden können. Wie im Draghi-Bericht hervorgehoben wurde, haben diese im Laufe der Zeit gehäuften Vorschriften zu erheblichen Auswirkungen auf die Wettbewerbsfähigkeit Europas und zu einer Einschränkung des wirtschaftlichen Potenzials geführt. Die Diskussion über die Entlastung von bürokratischen Hürden hat dabei vor dem Datenschutzrecht nicht haltgemacht. Etwas früher Undenkbares – ein „Aufschnüren der DSGVO“ und deren grundlegende Überarbeitung oder Anpassung – scheint nun in Griffweite.

Reformideen konkret: Wer braucht wie viel Datenschutz?

Die konkrete Umsetzung des angedachten Reformvorhabens einer DSGVO-Reform steckt noch in den Kinderschuhen. Vom Mitglied des Europäischen Parlaments Axel Voss angedacht und auch via Social Media bereits kommuniziert wurde ein dreistufiger Ansatz, der eine Abkehr vom One-size-fits-all-Konzept bedeuten würde und dem auch Max Schrems etwa abgewinnen kann. Die Idee von Voss wäre dabei ein risikobasierter Ansatz, ähnlich wie im Digital Services Act oder im AI Act vorgesehen.

Dieser dreistufige Ansatz – „DSGVO Mini, Normal oder Plus“ – könnte nach Ansicht von Voss erhebliche Erleichterungen im Hinblick auf Dokumentationspflichten und Transparenzverpflichtungen für rund 90 Prozent aller Organisationen bringen. Die Kernprinzipien der DSGVO sollen dabei erhalten bleiben, während große Player wie Online-Plattformen, Online-Werbetreibende und Datenbroker weiterhin in vollem Umfang in die Pflicht genommen werden sollen. Kriterien für die Unterscheidung wer welche Pflichten zu erfüllen hat, sind dabei neben der Größe der Organisation die Anzahl der betroffenen Personen oder das Verarbeiten besonders schutzwürdiger Daten. Das sind Daten aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.

Auch im deutschen Koalitionsvertrag findet sich ein entsprechendes Vorhaben. Dadurch soll auf europäischer Ebene erreicht werden, dass nichtkommerzielle Tätigkeiten (zum Beispiel in Vereinen), kleine und mittelständische Unternehmen und risikoarme Datenverarbeitungen (zum Beispiel Kundenlisten von Handwerkern) vom Anwendungsbereich der Datenschutzgrundverordnung ausgenommen werden. Die Umsetzung dieser Vorschläge könnte den bürokratischen Aufwand für die meisten EU-Unternehmen erheblich verringern und damit auch die Wettbewerbsfähigkeit im digitalen Bereich steigern.

Warum eine Mini-DSGVO für alle komplizierter sein könnte als gedacht

Hinsichtlich einer möglichen Entlastung bei der Pflicht zur Bestellung von Datenschutzbeauftragten (DSBA) ist zu erwähnen, dass diese Beauftragten in den meisten Fällen aktuell nur dann bestellt werden müssen, wenn die Kerntätigkeit der Organisation in der umfangreichen Verarbeitung von besonders schutzwürdigen Datenkategorien oder von strafrechtlich relevanten Daten besteht. Obwohl sie eine wertvolle Stütze in der Datenschutzcompliance sein können, werden DSBAs oft als zusätzliche Belastung angesehen. Wann besonders schutzwürdige Daten vorliegen, ist in der rechtswissenschaftlichen Literatur ein seit vielen Jahren immer wieder heißdiskutiertes Thema.

So hat sich in den letzten Jahren auf nationaler Ebene herauskristallisiert, dass Marketingklassifikationen wie politische Affinitäten oder Sinus-Geo-Milieus sensible Daten darstellen. Nach der Rechtsprechung des EuGH dürfte die Schwelle zur Verarbeitung von besonderen Kategorien personenbezogener Daten mittlerweile sehr schnell überschritten werden. So sind Daten über Ehepartner:innen, Lebensgefährt:innen oder Partner:innen zwar nicht ihrer Natur nach sensible Daten. Aus den Daten können aber Informationen über das Sexualleben oder die sexuelle Orientierung abgeleitet werden. Siehe Vyriausioji tarnybinės etikos komisija (C-184/20, EU:C:2022:601). Auch stellen Angaben, die die Kunden eines Apothekenbetreibers bei der Onlinebestellung apothekenpflichtiger, aber nicht verschreibungspflichtiger Arzneimittel eingeben, Gesundheitsdaten dar. Siehe Lindenapotheke (C-21/23, EU:C:2024:846).

Es wäre aktuell somit davon auszugehen, dass sehr viele Organisationen weiterhin unter das DSGVO-Normal Regime fallen würden, beziehungsweise kommt es auch in kleinen Unternehmen und gerade auch bei (kleinen) NPOs häufig zu einer Verarbeitung von besonders schutzwürdigen Daten. Es würde sich dann im Ergebnis also eher um ein „Reförmchen“ handeln.

Vereinfachung mit Augenmaß: Was sich (vielleicht) ändern könnte

Am 13. März 2025 bestätigte der EU-Kommissar für Demokratie, Justiz, Rechtsstaatlichkeit und Verbraucherschutz, Michael McGrath, dass die EU-Kommission eine Vereinfachung der DSGVO in Erwägung zieht, um die Belastung für kleinere Unternehmen zu verringern. Eine Reform der DSGVO wurde somit auf die Agenda gesetzt. Laut McGrath soll sich die Vereinfachung auf die Aufzeichnungspflichten für KMU und andere kleine und mittlere Organisationen mit weniger als 500 Mitarbeitern konzentrieren, während die Kernprinzipien der Datenschutz-Grundverordnung beibehalten werden sollen. Ob dies zu einer substanziellen Entlastung für KMUs und NPOs führen würde, bleibt abzuwarten.

Ein erster interessanter und konkreter Reformvorschlag wurde schon von Prof. Wendehorst im Rahmen eines Workshops präsentiert und diskutiert. Der Vorschlag verfolgt ebenfalls einen risikobasierten Ansatz und will dabei einerseits Hindernisse für Innovationen im Bereich AI und anderer neuer Technologien beseitigen, andererseits den regulatorischen Aufwand für Datentätigkeiten mit minimalem Risiko, insbesondere für KMUs und NPOs verringern. Das Thema besonders schutzwürdige Daten versucht man hier durch eine leicht geänderte Definition des Begriffs in den Griff zu bekommen.

Nach Medienberichten könnte eine Änderung der DSGVO schon in den nächsten Monaten auf der Agenda der EU-Kommission landen, um zur Entbürokratisierung, Entlastung der Unternehmen und Förderung des Wettbewerbs beizutragen.

Zwischen Schutz und Machbarkeit: Was eine Reform leisten müsste

Die Erfüllung der Anforderungen der DSGVO ist zweifellos mit Aufwand verbunden und ist für kleinere Einrichtungen oftmals nur schwer zu bewältigen. In Anbetracht der Fülle an Regularien den Bereich der digitalen Technologien betreffend, scheinen Deregulierungsbestrebungen aus der Perspektive von KMU und NPOs grundsätzlich erstrebenswert.

Eine Änderung der DSGVO könnte zu einer zunehmenden Komplexität beitragen und das Ziel der Deregulierung konterkarieren. Durch die Schaffung von (Teil-)Ausnahmen müssten Organisationen prüfen, ob beziehungsweise wo sie datenschutzrechtlichen Anforderungen unterliegen. Gerade im Bereich von NPOs erfordert die Erfüllung der Organisationsziele häufig die Verarbeitung von besonders geschützten Datenkategorien und sollten Ausnahmen sorgfältig überlegt werden. Zu erwähnen ist zudem, dass die Datenschutzbehörde im Bereich der Rechtsdurchsetzung gegenüber KMUs und NPOs mit Maß und Ziel vorgeht und die Verhängung von Strafen keineswegs einen Automatismus darstellt.

Eine Reform der DSGVO sollte jedenfalls sehr behutsam und unter Beteiligung der relevanten Stakeholder bzw. Interessenvertretungen erfolgen. Nicht zu unterschätzen ist die Gefahr, dass es im Zuge von DSGVO Reformverhandlungen – wie bereits in der Vergangenheit – zu massivem Lobbying kommen könnte und das Datenschutzrecht dadurch insgesamt verwässert wird.