Datenschützer und Unternehmen stemmen sich gegen die Aufweichung der EU-Datenschutzgrundverordnung (DSGVO). Kern der Kritik ist der Entwurf der EU-Kommission für ein „Digitales Omnibus-Gesetz“.

Die Pläne der Brüsseler Behörde zielen darauf ab, digitale Gesetze zu vereinfachen und Bürokratie abzubauen. Doch eine aktuelle Umfrage der Datenschutz-NGO NOYB zeigt: Die betroffenen Fachleute wollen keine Abschwächung der Verbraucherrechte. Stattdessen fordern sie klare Regeln und weniger redundante Dokumentationspflichten. Über 70 Prozent der befragten Datenschutzbeauftragten sehen im Auskunftsrecht nach Artikel 15 keine übermäßige Belastung – ein zentrales Argument der Kommission für dessen Einschränkung wird damit infrage gestellt.

Anzeige

Während die politische Debatte um Entlastungen anhält, bleibt die rechtssichere Dokumentation der Verarbeitungstätigkeiten für Unternehmen schon heute eine zwingende Pflicht. Diese kostenlose Excel-Vorlage mit Schritt-für-Schritt-Anleitung hilft Ihnen, Ihr Verzeichnis nach Art. 30 DSGVO in unter einer Stunde fehlerfrei zu erstellen. Verarbeitungsverzeichnis-Vorlage kostenlos herunterladen

Klare Listen statt flexibler Risikobewertung

Die Umfrageergebnisse stellen die Grundannahmen des „Digitalen Omnibus“ auf den Kopf. Laut NOYB würde der von der Kommission favorisierte risikobasierte Ansatz mittelständische Unternehmen zwingen, teure Rechtsberatung einzukaufen. Nur so ließe sich klären, welche DSGVO-Regeln im Einzelfall gelten.

Echte Entlastung brächten dagegen konkrete Positiv- und Negativlisten für Datenverarbeitungen. Solche verbindlichen Kataloge würden Unternehmen erheblichen Aufwand ersparen und die dringend benötigte Rechtssicherheit schaffen. Flexible, kontextabhängige Regeln könnten dies nicht leisten.

Streit um die Definition personenbezogener Daten

Ein weiterer Zankapfel ist die geplante Neudefinition personenbezogener Daten. Die Kommission schlug vor, Daten nur dann als „personenbezogen“ einzustufen, wenn der jeweilige Verantwortliche auch tatsächlich die Mittel zur Identifizierung der Person besitzt.

Dagegen regt sich massiver Widerstand. Ein durchgesickerter Kompromissentwurf des EU-Rates vom Anfang März streicht diesen Vorschlag komplett. Die Mitgliedstaaten und Aufsichtsbehörden wie der Europäische Datenschutzausschuss (EDPB) lehnen eine Aufweichung dieses Kernprinzips ab. Für Unternehmen bedeutet das: Die breite Definition bleibt. Sie müssen weiterhin strenge Governance-Regeln anwenden, besonders bei pseudonymisierten Daten für KI-Training.

Anzeige

Die regulatorischen Anforderungen an moderne Technologien nehmen stetig zu, insbesondere seit die neue EU-KI-Verordnung im August 2024 offiziell in Kraft getreten ist. Dieser kompakte Leitfaden erklärt Ihnen verständlich die neuen Kennzeichnungspflichten und Risikoklassen, damit Ihr Unternehmen rechtssicher bleibt. Gratis E-Book zur KI-Verordnung sichern

EDPB setzt auf vernetzte Aufsicht

Angesichts eines immer komplexeren regulatorischen Umfelds reicht reine DSGVO-Compliance nicht mehr aus. Mit KI-Verordnung, Digital Services Act (DSA) und Data Act müssen Unternehmen mehrere Regelwerke gleichzeitig beachten.

Der EDPB reagiert darauf und veranstaltet am 17. März eine große Konferenz zur „grenzüberschreitenden regulatorischen Zusammenarbeit“. Das Ziel: Die praktischen Herausforderungen sich überschneidender Zuständigkeiten zu adressieren. Behörden wollen künftig enger zusammenarbeiten und Ressourcen bündeln. Unternehmen werden aufgefordert, ihre Compliance-Strategien zu integrieren und Datenschutz-, Cybersicherheits- und KI-Governance-Teams zu vernetzen.

Ausblick: Keine schnelle Entwarnung für Unternehmen

Die Bdte zeigt den grundlegenden Konflikt der europäischen Digitalpolitik: technologische Wettbewerbsfähigkeit gegen den Schutz von Grundrechten. Der Widerstand von Aufsichtsbehörden und Mitgliedstaaten deutet darauf hin, dass eine radikale Deregulierung der DSGVO unwahrscheinlich ist.

Für Unternehmen bleibt die Kernbotschaft: Die grundlegenden DSGVO-Pflichten stehen nicht zur Disposition. Die Transparenzanforderungen der Artikel 12 bis 14 werden 2026 ein Schwerpunkt der Aufsicht sein. Auf erwartete Lockerungen zu setzen, ist keine valide Compliance-Strategie.

Der Gesetzgebungsprozess zum „Digitalen Omnibus“ wird sich voraussichtlich bis weit in das Jahr 2027 hinziehen. Bis dahin sollten Unternehmen ihre Dokumentation robust gestalten, Datenflüsse umfassend kartieren und ihre Einwilligungsmanagement-Systeme überprüfen. Nur so sind sie auf die verschärfte, vernetzte Aufsicht der kommenden Jahre vorbereitet.

Trading

Finanztrends

Redaktion finanztrends.de

>>