Seit ihrem Inkrafttreten im Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) als zentrales Regelwerk für den Umgang mit personenbezogenen Daten in der Europäischen Union. Sie soll Bürgerrechte im digitalen Raum stärken und Unternehmen zu transparentem, verantwortungsvollem Datenschutz verpflichten. Trotz ihres Pionierstatus wird die DSGVO insbesondere von kleinen und mittleren Unternehmen (KMU) immer wieder als überbürokratisiert und schwer umsetzbar kritisiert. Nun steht eine umfassende DSGVO-Reform im Jahr 2025 bevor. Die Europäische Kommission verfolgt mit ihren Vorschlägen das Ziel, bestehende Hürden abzubauen und die Verordnung gleichzeitig an aktuelle technologische Entwicklungen wie Künstliche Intelligenz (KI) und Big Data anzupassen – ohne dabei die grundlegenden Datenschutzrechte zu gefährden. Doch gelingt dieser Balanceakt?
Warum eine Reform der DSGVO jetzt auf der Agenda steht
Die geplante DSGVO-Reform wurde im Frühjahr 2024 offiziell vorgestellt. Seitdem sind weitere Vorschläge hinzugekommen, die alle ein zentrales Ziel verfolgen: Die Datenschutzverordnung praxisnäher und effizienter zu gestalten. Dabei stehen zwei Anliegen im Fokus:
- Entlastung für KMU durch den Abbau übermäßiger Pflichten.
- Anpassung der DSGVO an technologische Innovationen.
Während Wirtschaftsverbände wie Bitkom und der BDI die Reform begrüßen, sehen Datenschützer und zivilgesellschaftliche Organisationen wie noyb darin teils gravierende Risiken für die Grundrechte der EU-Bürger.
Bürokratieabbau für KMU: Erleichterung oder gefährliche Ausnahme?…
Ein Kernpunkt der Reform ist die geplante Entlastung für kleine und mittlere Unternehmen. Firmen mit weniger als 750 Mitarbeitern sollen künftig von bestimmten Dokumentationspflichten befreit werden – etwa bei Verarbeitungsverzeichnissen oder Datenschutz-Folgenabschätzungen, sofern kein hohes Risiko besteht.
Die EU-Kommission begründet diesen Schritt mit der Notwendigkeit, die DSGVO an die Realität in Unternehmen anzupassen. Der bisherige „One-size-fits-all“-Ansatz sei vor allem für KMU mit geringen Ressourcen eine unverhältnismäßige Belastung.
Viele Unternehmen fühlen sich laut Umfragen nicht grundsätzlich ablehnend gegenüber Datenschutz eingestellt – sie scheitern schlicht an der praktischen Umsetzung der Anforderungen. Der Schritt hin zu einer differenzierten Regulierung könnte hier dringend benötigte Entlastung bringen.
Kritiker argumentieren jedoch, dass mit dieser Differenzierung ein Präzedenzfall geschaffen werde: Datenschutzrechte könnten demnach je nach Unternehmensgröße unterschiedlich gewichtet werden. Das aber widerspricht dem europäischen Grundrecht auf informationelle Selbstbestimmung.
Zuständigkeitsfrage: Flexibilisierung mit Nebenwirkungen
Ein weiterer bedeutender Aspekt der DSGVO-Reform betrifft die Zuständigkeit der Datenschutzbehörden. Derzeit gilt das Prinzip, dass bei grenzüberschreitender Verarbeitung die Behörde am Hauptsitz des Unternehmens federführend ist.
Zukünftig soll dieses Modell flexibler gestaltet werden, um Verfahren zu beschleunigen und Rechtsunsicherheit zu vermeiden.
Die Praxis zeigt jedoch, dass dieses System bereits jetzt Schwächen aufweist: Unternehmen wie Meta oder Google profitieren davon, dass die irische Datenschutzbehörde für sie zuständig ist – eine Behörde, die wiederholt für langsame Reaktionszeiten und mangelnde Durchsetzung kritisiert wurde.
Eine zu große Flexibilität könnte es Konzernen ermöglichen, sich strategisch „datenschutzfreundliche“ Behörden auszusuchen – ein klarer Rückschritt für die EU-weite Harmonisierung der Datenschutzaufsicht.
Technologischer Wandel: Wie KI und Big Data die DSGVO herausfordern
Ein wichtiger Motor der Reform ist der technologische Fortschritt. Die DSGVO stammt aus einer Zeit, in der automatisierte Entscheidungsfindung, algorithmisches Profiling und KI-Systeme noch Randthemen waren. Heute sind sie zentrale Bestandteile digitaler Geschäftsmodelle.
Deshalb schlägt die Kommission vor:
- Begriffe wie „personenbezogene Daten“ und „automatisierte Entscheidung“ klarer zu definieren
- Den Umgang mit pseudonymisierten oder aggregierten Daten neu zu bewerten
- Technologieoffene Lösungen zu schaffen, ohne Datenschutzstandards zu untergraben
Industrievertreter begrüßen diesen Schritt, da sie sich endlich Rechtsklarheit für datenbasierte Innovationen erhoffen. Unternehmen sollen besser einschätzen können, wie datenschutzkonforme KI-Anwendungen aussehen können.
Doch Datenschützer mahnen zur Vorsicht: In der Praxis seien pseudonymisierte Daten häufig wieder identifizierbar – insbesondere bei KI-gestützter Analyse großer Datensätze. Eine vorschnelle Öffnung könne daher Missbrauch fördern und Grundrechte unterlaufen.
Abbildung 1: DSGVO-Reform Inhalte
Kritik aus der Zivilgesellschaft: Mangel an Transparenz und Beteiligung
Nicht nur die Inhalte, auch der Prozess der Gesetzesänderung selbst ist Gegenstand scharfer Kritik. Zivilgesellschaftliche Organisationen bemängeln, dass bei der Erarbeitung der Reform in erster Linie wirtschaftliche Interessen vertreten waren.
NGOs, Datenschutzexperten, Wissenschaftler und Bürgerrechtsorganisationen seien kaum einbezogen worden. Diese Einseitigkeit gefährde die Legitimität des gesamten Gesetzgebungsverfahrens und könne das Vertrauen in die EU-Institutionen nachhaltig beschädigen.
Die Zivilgesellschaft fordert daher eine transparente Debatte, ausgewogene Interessenvertretung und eine unabhängige Folgenabschätzung, die sich auch mit langfristigen Risiken für Demokratie und Rechtsstaatlichkeit befasst.
Fazit: DSGVO-Reform als Balanceakt zwischen Innovation und Grundrechtsschutz
Die geplante DSGVO-Reform 2025 ist zweifellos notwendig – nicht zuletzt, um die Regulierung mit den Realitäten moderner Datenverarbeitung in Einklang zu bringen. Vor allem kleine und mittlere Unternehmen können durch gezielte Entlastungen profitieren. Ebenso braucht es mehr Klarheit im Umgang mit neuen Technologien wie KI und Data Analytics.
Doch diese Modernisierung darf nicht auf Kosten von Datenschutz und digitaler Selbstbestimmung gehen. Die Herausforderung besteht darin, eine faire, praktikable und rechtsstaatlich fundierte Lösung zu finden. Denn eines ist klar: Wenn der Datenschutz aufgeweicht wird, verliert Europa nicht nur Vertrauen, sondern auch seine Vorreiterrolle im globalen Datenrecht.
