Barbara Thiel ist Die Landesbeauftragte für den Datenschutz Niedersachsen a.D. und Mitglied im Wissenschaftsbeirat der ZD.
ZD 2025, 545 Es ist Bewegung gekommen in die Debatte um eine Reform der DS-GVO. Trotz vielfacher und nicht enden wollender Kritik schweigt die Kommission bisher beharrlich. In zwei Evaluationsberichten über die „Bewertung und Überprüfung der DS-GVO“ verzichtete sie darauf, sich mit den Defiziten der DS-GVO auseinanderzusetzen, obwohl durch die Tatsache, dass die DS-GVO diese Evaluation alle vier Jahre vorsieht, doch eigentlich gewährleistet sein sollte, dass eine Anpassung durchaus im Bereich des Möglichen liegt. Zu groß war offenbar die Angst, dass damit die vielbeschworene „Büchse der Pandora“ geöffnet und letztlich die DS-GVO widerstreitenden Interessen geopfert wird.
Doch der Ruf nach Veränderung hat in den letzten Monaten prominente Unterstützung erhalten. Auslöser dafür dürfte der Bericht zur Zukunft der Wettbewerbsfähigkeit der EU sein, den der ehemalige Präsident der Europäischen Zentralbank im Auftrag der Präsidentin der EU-Kommission verfasst hat und der am 9.9.2024 veröffentlicht wurde. Dieser Bericht betont die Bedeutung der datengesteuerten Innovation für die EU-Wirtschaft, und er macht u.a. deutlich, dass gerade die DS-GVO ein Problem für die Wettbewerbsfähigkeit Europas darstellen könnte. Zwei Aspekte untermauern diese These: Zum einen habe es keine Abstimmung zwischen der DS-GVO und den neuen Digitalrechtsakten der EU gegeben. Das Verhältnis zwischen Datenökonomie und Datenschutz ist also ungeklärt. Dies macht sich insbesondere bei der KI-VO bemerkbar, die im Verhältnis zur DS-GVO nur eine geringe Kompatibilität aufweist. Noch in ihrem zweiten Evaluationsbericht hatte die Kommission die Digitalgesetzgebung demgegenüber als „willkommene Ergänzung und Verstärkung der DS-GVO“ bezeichnet. Zum anderen lasse die DS-GVO kaum Ausnahmen für kleine und mittlere Unternehmen (KMUs) zu. Dieser Bericht setzt Zeichen. Sieben Jahre nach Geltungsbeginn wird die DS-GVO auf europäischer Ebene als Innovationshemmnis eingestuft, das Unternehmen belastet und die Wettbewerbsfähigkeit Europas schwächt. Eine bittere Erkenntnis, die aber gleichzeitig dazu auffordert, die DS-GVO neu zu denken und an den Anforderungen der digitalen Transformation auszurichten.
Erinnern wir uns: Der 25.5.2018 war ein Tag, mit dem Datenschützer in der gesamten EU hohe Erwartungen verknüpften. Nach einem jahrelangen Gesetzgebungsprozess mit vielen Diskussionen und Kompromissen sowie einer zweijährigen Übergangszeit erreichte die europäische Reform des Datenschutzrechts ihren vorläufigen Höhepunkt: Die DS-GVO galt jetzt in allen Mitgliedstaaten der EU und sorgte damit dafür, dass der rechtliche Flickenteppich in Sachen Datenschutz von nun an Geschichte war. Die DS-GVO löste nicht nur die bisherige DS-RL ab, sondern zugleich auch sämtliche darauf basierenden nationalen Datenschutzgesetze, so auch das in Deutschland bis dato geltende BDSG.
Schon ihr Zustandekommen konnte mit Fug und Recht als ein Wunder bezeichnet werden. Mit seinen Enthüllungen über die Spähpraxis US-amerikanischer Geheimdienste im Juni 2013 brachte Edward Snowden neuen Schwung in die festgefahrenen Verhandlungen, die im Januar 2012 in Brüssel begonnen hatten, dann aber dennoch weitere zweieinhalb Jahre andauern sollten. Ohne diese Enthüllungen hätte es vermutlich dieses historische „window of opportunity“ nicht gegeben. Insgesamt vier Jahre lang hatten EU-Kommission, Parlament und die Mitgliedstaaten gestritten, blockiert und diskutiert, bis endlich am 15.12.2015 die DS-GVO in der Form beschlossen wurde, wie sie auch heute noch zur Anwendung kommt.
Ein einheitliches und europaweit geltendes Datenschutzrecht im EWR, mit dem gleiche Wettbewerbsbedingungen, mehr Rechtssicherheit und leichtere Rechtsdurchsetzbarkeit geschaffen werden - so die Kernaussage der Kommission und zugleich das Mantra, mit dem die DS-GVO in der Öffentlichkeit angekündigt und beworben wurde. Schon zum Zeitpunkt ihrer Verabschiedung im Jahre 2016 galt die DS-GVO deshalb als Meilenstein in der Entwicklung des Datenschutzes, als Beginn einer neuen Zeitrechnung und als Goldstandard im Datenschutz. Das neue EU-Gesetz sei ein „Riesenschritt für starke Verbraucherrechte und mehr Wettbewerb“ im digitalen Zeitalter, so Jan-Philipp Albrecht, der damalige Verhandlungsführer im EU-Parlament, in einer Pressemitteilung.
Und in der Tat, daran dürfte kein Zweifel bestehen, hat die DS-GVO viel Gutes bewirkt. So wurden zB die Anforderungen an die Einwilligung geschärft, die sog. Accountability der Unternehmen und die Prinzipien Privacy-by-Design und Privacy-by-Default gesetzlich festgeschrieben, das Recht auf Vergessenwerden und das Recht auf Datenportabilität als neue Betroffenenrechte gesetzlich normiert und für Anbieter aus Drittländern das Marktortprinzip etabliert. Damit ist es der DS-GVO wie keinem anderen Regelwerk gelungen, ins Bewusstsein von Wissenschaft, Praxis und Politik zu rücken und auch im außereuropäischen Ausland nicht nur wahrgenommen zu werden, sondern gleichzeitig auch Vorbildfunktion zu entwickeln.
Doch das historische Werk der DS-GVO brachte nicht nur Licht, sondern auch Schatten. Sehr schnell war klar: Die DS-GVO ist nicht perfekt. Neben die anfängliche Begeisterung traten Skepsis und Kritik. Ein Stein des Anstoßes war die zurückhaltende Implementation eines risikobasierten Ansatzes. Die DS-GVO lasse notwendige Differenzierungen und Risikoabstufungen bei der Verarbeitung von Daten vermissen. Diese Risikodifferenzierung sei gerade für die Wettbewerbsfähigkeit der europäischen Digitalwirtschaft elementar. Damit folge die DS-GVO tradierten Mustern, die nicht dazu geeignet seien, im Zeitalter der Digitalisierung und von KI in datenschutzrechtlicher Hinsicht angemessen auf diese Entwicklungen zu reagieren. Und in der Tat hatten sich die Spielregeln mit Blick auf die Frage, in welchem Umfang die Datenverarbeitung an sich noch zulässig sein würde, tatsächlich gar nicht so sehr geändert. Mit dem Regelungskonzept der DS-GVO waren viele Vorgaben, die im deutschen Recht schon zuvor galten, übernommen worden. In ihren Grundzügen ist die DS-GVO deshalb deutlich älter, als dies das Datum ihrer Anwendung in ganz Europa suggeriert. Letztlich war die DS-GVO damit die logische Fortsetzung einer Entwicklung, die in Deutschland schon vor 30 Jahren begonnen hatte. Sie war in der Tat eine Evolution, aber keineswegs eine Revolution.
Zudem verursachte die DS-GVO auch neue Aufwände, wie es bei umfassenden Gesetzesreformen wohl immer der Fall ist. Das galt vor allem für die verantwortlichen Verarbeiter von Daten, denen u.a. intensive Informations- und Dokumentationspflichten auferlegt wurden. Diese Pflichten galten sowohl für die großen US-Unternehmen als auch für den vielzitierten Bäcker oder Metzger um die Ecke. Und so war es auch gewollt von der DS-GVO. Auch KMUs, aber auch Vereine wurden gezwungen, sich mit dem Thema Datenschutz auseinanderzusetzen. Die DS-GVO hat auf diese Weise eine Awareness geschaffen, die es so zuvor nicht gegeben hatte.
Die Akzeptanz hat darunter leider von Anfang an gelitten. Das Prinzip „one size fits all“ stand dabei neben dem Verbotsprinzip im Fokus der Kritik. In der Anwendung der DS-GVO hätten sich vor allem für KMUs bürokratische Hemmnisse, ein Zuviel an Pflichten, Aufwand und Dokumentation in der täglichen Arbeit als belastend dargestellt. Und immer wieder wurde gefordert, für KMUs, aber auch für Vereine Erleichterungen zu schaffen. Bereits ein Jahr nach Geltungsbeginn der DS-GVO riet deshalb der ehemalige BfDI Ulrich Kelber dazu, „solche Informations- und Dokumentationspflichten auf den Prüfstand zu stellen, die Bürgerinnen und Bürger, Vereine und kleine Unternehmen übermäßig belasten, ohne dass mit ihnen ein wesentlicher datenschutzrechtlicher Mehrwert verbunden ist.“ Auch der BvD bewertete die Tatsache, dass die DS-GVO ohne jegliche Differenzierung dem Verantwortlichen Dokumentationspflichten sowie umfangreiche Transparenz- und Informationspflichten auferlegt, als „unnötigen und kostenintensiven Aufwand“ (Spaeing ZD 2023, 642). Einen wesentlichen Schritt zur Entlastung sah der BvD darin, solche Pflichten nur risikoangemessen vorzusehen und insbesondere bei risikoarmen Verarbeitungstätigkeiten (KMUs, ehrenamtliche Vereine und ehrenamtlich Tätige) Vereinfachungen vorzunehmen.
Mit ihrem 4. Omnibus-Paket will die Kommission nun Bürokratieerleichterungen vor allem für KMUs - etwa bei Aufzeichnungspflichten wie dem Verzeichnis der Verarbeitungstätigkeiten - schaffen. Aber ganz im Ernst: Ist ein solcher Verzicht wirklich sinnvoll? Das Verzeichnis der Verarbeitungstätigkeiten ist das Fundament für jede weitere Compliance-Aktivität im Bereich des Datenschutzes. Ohne dieses Verzeichnis dürfte überwiegend keine Transparenz über die Prozesse bestehen, in denen personenbezogene Daten verarbeitet werden. Das führt dann automatisch dazu, dass weder die Frage der Zulässigkeit noch die etwaige Notwendigkeit von technisch-organisatorischen Maßnahmen (TOMs) oder einer Datenschutz-Folgenabschätzung sauber und abschließend geklärt werden können. Es ist Skepsis angesagt, ob sich diese Empfehlung als praktikabel erweisen wird. Der Schwerpunkt des Pakets liegt darüber hinaus auf der Einführung einer neuen Unternehmenskategorie „Small Mid-Cap Enterprises“ (SMC), die keine KMUs (mehr) sind, gleichwohl aber die für KMUs bestehenden Vorteile erhalten sollen, sofern nicht Datenverarbeitungen mit hohem Risiko durchgeführt werden. Insgesamt ist diese Initiative der Kommission allerdings mehr als enttäuschend, weil sie den erheblichen Anpassungsbedarf der europäischen Digitalindustrie komplett ausblendet.
Parallel dazu liegen die ersten Vorschläge für eine grundlegende Reform der DS-GVO auf dem Tisch. Axel Voss, Europaabgeordneter und Schattenberichterstatter der DS-GVO, präsentierte im Frühjahr 2025 seine Ideen für eine „neue“ DS-GVO, die eine Differenzierung der Pflichten des Verantwortlichen nach der Unternehmensgröße vorsehen und in einem „3-Schichten-Modell“ zwischen einer „Mini-DS-GVO“ für 90% aller Unternehmen (weniger Dokumentations- und Informationspflichten, keine Bestellpflicht eines betrieblichen Datenschutzbeauftragten), einer „normalen DS-GVO“ für Unternehmen, die große Mengen personenbezogener Daten oder sensible Daten verarbeiten, und einer „DS-GVO plus“ für VLOPs (Very Large Online Platforms nach dem Vorbild des DSA) und Unternehmen mit dem „Geschäftsmodell Datenverarbeitung“ (etwa die Werbebranche) unterscheiden. Diesen Unternehmen werden zusätzliche Pflichten auferlegt, etwa für mehr Transparenz und zur Durchführung externer Audits (s. dazu ZD-Interview mit Axel Voss und Stefan Brink ZD 2025, 307). Bemerkenswert ist, dass er dabei von Max Schrems, einem österreichischen Datenschutzaktivisten, unterstützt wird. Grundgedanke, so Voss, ist dabei der Wunsch, den risikobasierten Ansatz zu stärken. Große Konzerne, die Milliarden von Daten verarbeiten, bewerten, analysieren und daraus Profile erstellen, sollen anders behandelt werden als kleine Handwerksbetriebe oder Vereine, die mit ihren Daten nichts anderes machen, als eine Kunden- und Mitgliederverwaltung zu betreiben. Darüber hinaus will Voss den Grundsatz der Datenminimierung abschaffen und das Verbot mit Erlaubnisvorbehalt durch ein Missbrauchsverbot ersetzen. Aber ist es richtig, die Pflichten ausschließlich an der Größe des Unternehmens auszurichten? Tatsächlich ergeben sich Verarbeitungsrisiken doch wohl eher aus der Datenmenge, den betroffenen Datenarten (Art. 9 DS-GVO) und der Frage, ob und welche TOMs als risikomindernde Maßnahmen eingesetzt werden.
In eine andere Richtung geht deshalb der von Christiane Wendehorst, Professorin an der Universität Wien und wissenschaftliche Direktorin des European Law Institute, vorgelegte wissenschaftliche Diskussionsentwurf für eine neue Verordnung über den Schutz personenbezogener Daten im Zusammenhang mit KI und der Datenwirtschaft und zur Änderung der DS-GVO (s. dazu ZD-Interview mit Christiane Wendehorst ZD 2025, 247), der in der Zeitschrift KIR in englischer Sprache (Wendehorst KIR 2025, 142) publiziert wurde. Inspiriert durch die KI-VO, ist hier Grundgedanke die Einführung eines risikobasierten Ansatzes für die Verarbeitung personenbezogener Daten, ohne dass die DS-GVO als solche geändert wird. Der Entwurf zielt darauf ab, den Schutz von Grundrechten bei Datenverarbeitungen, die ein erhebliches Risiko für die betroffenen Personen darstellen können, zu verbessern. Zugleich sollen Innovationshindernisse im Bereich von KI und anderen Zukunftstechnologien beseitigt und die regulatorische Belastung bei Datenverarbeitungen mit minimalem Risiko verringertwerden, vor allem zugunsten von KMUs und Ehrenamt. Teil des risikobasierten Regulierungsansatzes ist zudem ein asymmetrischer Regulierungsansatz, der Akteure unterschiedlicherGröße unterschiedlich behandelt.
Auch wenn beide Vorschläge noch nicht ausgereift sind, sind es Ideen, die eine hohe Bedeutung aufweisen. Der Draghi-Bericht hatmehr als deutlich gemacht, dass die DS-GVO in ihrer bisherigen Form nicht bestehen bleiben kann. In Deutschland hat dies zuletzt die „Initiative für einen handlungsfähigen Staat“ nochmals ausdrücklich in ihrem Abschlussbericht betont. Ob die DS-GVO nun grundlegend neu gefasst oder über eine weitere Verordnung modifiziert wird, ist dabei eine sehr grundsätzliche Frage, die beantwortet werden sollte, bevor Inhalte diskutiert werden. Noch fehlt mir allerdings die Fantasie, wie es gelingen kann, die Kommission davon zu überzeugen, ihre bisherige Zurückhaltung aufzugeben. Seien wir also gespannt auf die kommenden Monate und die Kreativität der Protagonisten.