Eine gefährliche Kluft tut sich zwischen EU-Gesetzgebern und den Praktikern auf, die Datenschutzvorschriften täglich umsetzen müssen. Das zeigt eine neue Umfrage unter Datenschutzbeauftragten, die den aktuellen Reformkurs der Kommission fundamental infrage stellt.

Digital-Omnibus: Kommission will Rechte beschneiden

Ende 2025 legte die Europäische Kommission ihr Digital-Omnibus-Paket vor – den größten regulatorischen Umbau seit der DSGVO. Ein Kernziel: Bürokratieabbau für Unternehmen. Dafür will die Kommission zentrale Betroffenenrechte wie das Auskunftsrecht nach Artikel 15 einschränken und die Definition personenbezogener Daten verschmälern.

Anzeige

Während die Politik über Reformen debattiert, bleibt die rechtskonforme Dokumentation für Unternehmen eine tägliche Herausforderung. Diese kostenlose Excel-Vorlage mit Schritt-für-Schritt-Anleitung macht die Erstellung Ihres Verarbeitungsverzeichnisses nach Art. 30 DSGVO kinderleicht. Verarbeitungsverzeichnis in unter einer Stunde erstellen

Doch genau diese Pläne stoßen bei den Profis vor Ort auf massive Kritik. Eine am 8. März veröffentlichte Umfrage des European Centre for Digital Rights (noyb) unter 510 Datenschutzbeauftragten aus 28 Ländern zeichnet ein anderes Bild. Die Experten fordern nicht weniger Schutz für Verbraucher, sondern weniger sinnlose Bürokratie und mehr Rechtssicherheit.

Die wahren Bremsklötze: Protokollpflicht und Standardverträge

Wo liegen die echten Probleme? Laut Umfrage bereitet vor allem Artikel 30 DSGVO Kopfzerbrechen. Die Pflicht, detaillierte Verzeichnisse aller Verarbeitungstätigkeiten zu führen, gilt als größter administrativer Aufwand. Transparenzpflichten (Artikel 13, 14) werden zwar als arbeitsintensiv, aber auch als sehr sinnvoll eingestuft.

Die wahre Frustration gilt jedoch dem „Papierkram“. Über 80 Prozent der Befragten halten die Standardverträge zwischen Verantwortlichen und Auftragsverarbeitern (Artikel-28-Verträge) für kaum durchsetzbar. Auch die von der Kommission entwickelten Standardvertragsklauseln (SCCs) lösen die strukturellen Probleme nach Ansicht von 70 Prozent nicht.

Klare Regeln statt Interpretationsspielraum

Ein klares votum ergibt die Umfrage für mehr Eindeutigkeit. Entgegen dem Kommissionskurs zu mehr Flexibilität wünscht sich eine große Mehrheit starre, klare Regeln. Konkret: Eine Positivliste erlaubter Datenverarbeitungen und eine noch breiter unterstützte Negativliste verbotener Handlungen.

„Solche klaren Werkzeuge würden uns enormen Aufwand ersparen und endlich Rechtssicherheit schaffen“, so das Feedback eines Teilnehmers. Der aktuell geltende risikobasierte Ansatz sorge dagegen für Unsicherheit und begünstige vor allem große Konzerne mit umfangreichen Juristenabteilungen.

Widerstand formiert sich: Von Aufsichtsbehörden bis zu Mitgliedsstaaten

Die Expertenmeinung findet zunehmend Gehör bei den Institutionen. Bereits Mitte Februar äußerten der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) in einer gemeinsamen Stellungnahme erhebliche Bedenken. Sie warnten, eine engere Definition personenbezogener Daten könne Grundrechte aushöhlen und massive Rechtsunsicherheit schaffen.

Dieser Druck zeigt Wirkung. Ein Ende Februar durchgesickerter Kompromissentwurf des Rates der EU enthielt die umstrittene Neudefinition personenbezogener Daten bereits nicht mehr. Die Mitgliedsstaaten scheuen offenbar davor zurück, die Grundfesten des EU-Datenschutzes aufzuweichen.

KI-Entwicklung als neues Konfliktfeld

Das Omnibus-Paket will auch die Wechselwirkung von Datenschutz und Künstlicher Intelligenz (KI) regeln. Geplant ist, „berechtigtes Interesse“ als Rechtsgrundlage für das Training von KI-Modellen zu etablieren. Das soll Tech-Unternehmen einen klaren Weg zur Nutzung großer Datensätze ohne explizite Einwilligung eröffnen.

Die Aufsichtsbehörden sehen das zwiespältig. Zwar begrüßen sie Erleichterungen für die unbeabsichtigte Verarbeitung sensibler Daten beim Algorithmentraining. Gänzlich neue Rechtsgrundlagen für KI innerhalb des Datenschutzrahmens halten sie jedoch für unnötig. Datenschützer befürchten derweil Schlupflöcher für exzessive Datensammelei im Namen des Fortschritts.

Anzeige

Neben der klassischen DSGVO müssen Unternehmen bereits jetzt die neuen Anforderungen der seit August 2024 geltenden EU-KI-Verordnung meistern. Dieser kompakte Leitfaden erklärt Ihnen verständlich die neuen Pflichten, Risikoklassen und Fristen für Ihren Betrieb. Gratis E-Book zur EU-KI-Verordnung sichern

Was kommt jetzt?

Die Konsultationsphase zum „Digital Fitness Check“ endet Anfang März 2026. Nun beginnt das ordentliche Gesetzgebungsverfahren zwischen Rat und Europäischem Parlament.

Angesichts des Widerstands von Praktikern, Zivilgesellschaft und Aufsichtsbehörden rechnen Beobachter mit substanziellen Änderungen am Entwurf. Eine Verabschiedung wird nicht vor 2027 erwartet. Unternehmen wird geraten, ihre bestehenden Compliance-Strukturen beizubehalten und frühzeitig den Dialog mit Behörden zu suchen. Die Zukunft soll weniger Bürokratie bringen – aber nicht auf Kosten des Datenschutzes.

Trading

Finanztrends

Redaktion finanztrends.de

>>