Die DSGVO-Reform: Kommt Bewegung in die DSGVO?

Seit Mai 2018 bildet die Datenschutz-Grundverordnung (DSGVO) das zentrale Regelwerk für den Schutz personenbezogener Daten in der Europäischen Union. Sie brachte einheitliche Standards, stärkte die Rechte der Betroffenen und setzte einen internationalen Maßstab für Datenschutz. Doch trotz aller Errungenschaften wird zunehmend Kritik laut: Besonders kleine und mittlere Unternehmen (KMU) sowie Non-Profit-Organisationen (NPO) beklagen einen hohen administrativen Aufwand und wünschen sich praktikablere Regelungen.

Angesichts der zunehmenden Bürokratielast und dem globalen Wettbewerb plant die Europäische Kommission nun gezielte Anpassungen der DSGVO. Ziel ist es, den Spagat zwischen Bürokratieabbau und Aufrechterhaltung hoher Datenschutzstandards zu schaffen.

Reformbedarf erkannt: Die Initiative der EU-Kommission

Die Europäische Kommission arbeitet an einem Vorschlag zur Vereinfachung der DSGVO. Im Zentrum der Änderungen stehen insbesondere kleinere Organisationen, die künftig bei Dokumentations- und Transparenzpflichten entlastet werden sollen. Geplant ist eine gezielte Anpassung, die sich hauptsächlich auf Organisationen mit weniger als 500 Mitarbeitern konzentriert.

Die Reform soll keinesfalls die Grundprinzipien der DSGVO wie Transparenz, Zweckbindung oder Datensparsamkeit aufweichen. Vielmehr geht es darum, den Aufwand für risikounkritische Datenverarbeitungen zu reduzieren und zugleich innovative Technologien und Unternehmen in Europa zu fördern.

Das Modell differenzierter Anforderungen

Ein im Raum stehender Ansatz sieht eine Aufteilung in drei Regelungsstufen vor:

1. Basis-Datenschutzregelung: Für Organisationen mit weniger als 100.000 betroffenen Personen, die keine sensiblen Daten nach Art. 9 DSGVO verarbeiten und eine begrenzte Reichweite haben. Erhebliche Vereinfachungen bei Berichtspflichten und geringere Strafandrohungen. Abgespeckte DSGVO.
2. Standard-Datenschutzregelung: Beibehaltung der bisherigen DSGVO-Regelungen für Unternehmen mit umfangreicher oder sensibler Datenverarbeitung. Gleicht der heutigen DSGVO.
3. Erweiterte Datenschutzregelung: Zusätzliche Anforderungen für Unternehmen, die personenbezogene Daten als Kernelement ihres Geschäftsmodells nutzen, etwa Plattformbetreiber und Datenbroker. Pflicht zu externer Überprüfung durch Audits und intensiver Transparenz. Erweiterte DSGVO.

Entlastung mit Augenmaß: Herausforderungen und Risiken

Trotz der positiven Grundidee gibt es zahlreiche Herausforderungen:

• Verarbeitung sensibler Daten durch kleine Organisationen: Auch kleinere Unternehmen und Vereine verarbeiten häufig hochsensible Daten, etwa im Gesundheits-, Sozial- oder Bildungsbereich. Hier darf eine Entlastung nicht auf Kosten des Datenschutzes gehen.
• Komplexere Regelwerke: Differenzierte Anforderungen könnten neue Rechtsunsicherheiten schaffen. Unternehmen müssten z.T. aufwendig prüfen, in welche Kategorie sie fallen.
• Gefahr der Verwässerung: Datenschutzorganisationen warnen, dass zu weitreichende Ausnahmen die Errungenschaften der DSGVO schwächen könnten.

Ein behutsames Vorgehen mit klaren Kriterien ist daher unerlässlich, um ein Gleichgewicht zwischen Bürokratieabbau und Datenschutzwahrung zu erzielen.

Neben der Differenzierung der Anforderungen sind folgende Anpassungen geplant:

• Zuständigkeitsprüfung: Klarere Regeln zur Bestimmung der federführenden Aufsichtsbehörde bei grenzüberschreitenden Fällen.
• Harmonisierung der Beschwerdeverfahren: Einheitliche Anforderungen für Datenschutzbeschwerden in allen EU-Mitgliedstaaten.
• Beschleunigung von Aufsichtsverfahren: Einführung verbindlicher Fristen für Aufsichtsbehörden zur Bearbeitung von Beschwerden.
• Einheitliche Beteiligungsrechte: Vereinheitlichung der Rechte für Unternehmen im Rahmen von Datenschutzverfahren.

Diese Maßnahmen sollen die Effizienz der Datenschutzaufsicht erhöhen und die Rechtssicherheit für Unternehmen verbessern.

Kurzfristig werden für die meisten Organisationen keine unmittelbaren Änderungen eintreten. Mittel- bis langfristig könnte sich jedoch Anpassungsbedarf bei internen Prozessen und Datenschutzerklärungen ergeben.

Unternehmen sollten sich daher rechtzeitig auf folgende Punkte vorbereiten:

• Evaluierung der eigenen Datenverarbeitungsprozesse
• Prüfung, ob eine Neueinstufung der Datenschutzpflichten erforderlich wird
• Anpassung von Informationspflichten und Dokumentationen

Eine klug gestaltete Reform könnte Organisationen von unnötiger Bürokratie entlasten und gleichzeitig den hohen Standard im Datenschutz wahren.

Auch auf deutscher Ebene gibt es Bestrebungen, die Datenschutzpflichten zu modernisieren. Geplant ist unter anderem eine Reduzierung der Verpflichtung zur Bestellung von Datenschutzbeauftragten bei kleinen Unternehmen sowie eine Stärkung der zentralen Datenschutzaufsicht durch den Bundesdatenschutzbeauftragten.

Zudem soll die Datenschutzkonferenz (DSK) gesetzlich verankert werden, um eine kohärentere Anwendung des Datenschutzrechts sicherzustellen. Der Fokus liegt dabei auf einer besseren Unterstützung kleinerer Organisationen bei der Umsetzung der Vorschriften.

Die geplante Neuausrichtung der DSGVO bietet die Chance, Datenschutz effektiver und praxistauglicher zu gestalten. Sie könnte europäischen Unternehmen Erleichterung verschaffen und gleichzeitig die Wettbewerbsfähigkeit Europas im globalen Digitalmarkt stärken.

Allerdings müssen die Reformschritte mit großer Sorgfalt erfolgen, um bestehende Schutzstandards nicht zu unterminieren. Die Erfahrungen der letzten Jahre zeigen, dass Datenschutz nicht nur ein Bürokratieprojekt ist, sondern ein entscheidender Faktor für das Vertrauen der Menschen in die digitale Welt.

Unternehmen sollten die Entwicklungen aufmerksam beobachten und sich frühzeitig auf Anpassungen vorbereiten. Denn Datenschutz bleibt auch künftig ein entscheidendes Kriterium für nachhaltigen wirtschaftlichen Erfolg in Europa.