Die Datenschutz-Grundverordnung (DSGVO) gilt seit fast sieben Jahren als Meilenstein des europäischen Datenschutzrechts. Sie hat weltweit Maßstäbe für den Schutz personenbezogener Daten gesetzt und Unternehmen dazu verpflichtet, sorgfältig mit Daten umzugehen. Doch nach Jahren der Umsetzung und Anwendung steht die DSGVO nun vor einer ihrer bislang größten Überarbeitungen. Die anstehenden Reformen sind Teil eines umfassenden Pakets, das von der Europäischen Kommission initiiert wurde, um die Regeln der Europäischen Union zu vereinfachen und wettbewerbsfähiger zu gestalten. Diese neue Dynamik wirft eine Reihe grundlegender Fragen auf, die sowohl Unternehmen als auch Verbraucher und Datenschützer beschäftigen.
Die wichtigsten Entwicklungen und Debatten rund um die DSGVO-Reform sollen hier ausführlich beleuchtet werden. Ein Schwerpunkt der Änderungen ist das sogenannte Omnibus-Paket, ein legislativer Rahmen, der darauf abzielt, die Einhaltung der Regeln insbesondere für kleine und mittlere Unternehmen (KMU) zu erleichtern. Aktuell gilt die Ausnahme-Regelung nach Artikel 30 der DSGVO, die Unternehmen mit weniger als 250 Mitarbeitern in bestimmten Fällen von der Pflicht entbindet, detaillierte Verarbeitungsverzeichnisse zu führen. Die Neuerungen sehen vor, die Schwelle auf 750 Mitarbeiter anzuheben und die Pflicht zur Dokumentation auf Fälle mit besonders hohem Risiko zu beschränken. Nach Angaben der Europäischen Kommission könnten dadurch rund 38.
000 Unternehmen in der EU von den vereinfachten Regelungen profitieren. Das bedeutet für viele KMU eine spürbare Entlastung im Bürokratieaufwand und ermöglicht beispielsweise auch einen leichteren Zugang zu Kapitalmärkten durch weniger komplexe Anforderungen. Diese Vorgehensweise ist Teil eines größeren Trends, der darauf abzielt, Wachstum und Innovation in Europa zu fördern. Allerdings gibt es kritische Stimmen, die diesen Schritt als riskant ansehen. Datenschützer wie Itxaso Domínguez de Olazábal von der Organisation European Digital Rights (EDRi) warnen davor, dass eine immer weiter steigende Schwelle bei der Größenklassifizierung und die Einschränkung der „Risiko“–Definition auf „hohes Risiko“ den ursprünglichen Regelungszweck der DSGVO verwässern.
Sie argumentieren, dass Datenschutzrechte nicht von der Unternehmensgröße oder dem Risikograd abhängig gemacht werden dürfen, sondern als grundlegende Rechte jedes Einzelnen zu behandeln sind. Diese Kritik zielt darauf ab, dass Rechte nicht zu Privilegien herabgestuft werden sollten, die nur in bestimmten Fällen Anwendung finden. Außerdem halten Experten wie Claudia Canelles Quaroni von der Computers and Communications Industry Association Europe (CCIA) die vorgeschlagenen Vereinfachungen für unzureichend, um die strukturellen Probleme der DSGVO zu lösen. Sie fordert eine einheitliche und konsistente Anwendung der Datenschutzbestimmungen in der gesamten EU sowie eine Stärkung des sogenannten One-Stop-Shop-Mechanismus, der die grenzüberschreitende Zusammenarbeit der Datenschutzbehörden koordinieren soll. Parallel zu den Vereinfachungen für Unternehmen arbeitet die Europäische Union auch an einer Überarbeitung der Durchsetzungsverfahren der DSGVO.
Bisher musste bei Beschwerden gegen ein Unternehmen mit Sitz in einem anderen EU- oder EWR-Staat ein langwieriger und oft undurchsichtiger Abstimmungsprozess zwischen den jeweiligen Datenschutzbehörden durchlaufen werden. Das führte häufig dazu, dass wichtige Verfahren sich über Jahre hinzogen und wenig Transparenz über den Fortschritt bestand. Die im Jahr 2023 vorgeschlagenen neuen Regeln zielen darauf ab, diese Abläufe zu beschleunigen, Rollen klarer zu definieren und Entscheidungen in grenzüberschreitenden Fällen schneller zu treffen. Trotz des guten Vorsatzes stoßen diese Änderungen auf heftige Kritik. Insbesondere Max Schrems, Gründer der österreichischen Datenschutzorganisation noyb, bezeichnet die Reformpläne als kontraproduktiv.
Er warnt davor, dass die Umstrukturierung die Verfahren sogar noch komplexer und langsamer machen könnte, was nicht nur Unternehmer, sondern auch Verbraucher schädige. Schrems betont, dass die geplanten neuen Schritte zusätzliche Bürokratie erzeugen und unnötige Schleifen einführen würden, so dass Verfahren, die national in wenigen Monaten abgeschlossen sein könnten, europaweit mehrere Jahre dauern könnten. Die letzte Verhandlungsrunde im sogenannten Trilogue konnte im Mai 2025 keine Einigung erzielen, da Streitpunkte bei den Fristen und den gerichtlichen Rechtsbehelfen ungelöst blieben. Die politischen Gespräche sollen im Juni fortgesetzt werden. Neben den direkten Anpassungen der DSGVO wird auch die Schnittstelle zwischen der DSGVO und der geplanten KI-Verordnung (AI Act) thematisiert.
Die EU möchte generell ihre Datenvorschriften „geschäftsfreundlicher“ gestalten, steht dabei jedoch unter Druck, die Balance zwischen Innovation und Datenschutz nicht zu verlieren. Experten appellieren, dass eine Vereinfachung nicht auf Kosten der Kernschutzrechte gehen darf. Insgesamt zeigen die laufenden Reformen der DSGVO deutlich die Spannung zwischen dem Ziel, Innovation und Wettbewerbsfähigkeit in Europa zu stärken, und der Aufgabe, den Schutz der Privatsphäre und der Grundrechte der BürgerInnen auf hohem Niveau sicherzustellen. Unternehmen begrüßen zwar die Aussicht auf weniger bürokratischen Aufwand, sehen aber weiterhin Herausforderungen bei der einheitlichen Anwendung und Durchsetzung der Datenschutzregeln. Datenschützer hingegen warnen vor einer Erosion der Grundrechte, wenn die neuen Schwellenwerte und Ausnahmeregelungen zu großzügig ausgelegt werden.
![Building the On-Chain Nasdaq [video]](/images/A0DBC092-04F8-4931-9975-C76BEF6EDB26)
