DSGVO-Reform – Gestaffeltes Datenschutzrecht?

13. März 2025

Seit Jahren wird die Datenschutzgrundverordnung (DSGVO) sowohl von Unternehmen als auch von Datenschutzaktivisten kritisch betrachtet. Während kleinere Organisationen über zu hohe bürokratische Hürden klagen, werfen Kritiker der Verordnung vor, gegen die großen Tech-Konzerne nicht effektiv genug vorzugehen. Nun fordern laut einem LinkedIn Post vom 05.03.2025 sowohl der CDU-Europaabgeordnete Axel Voss als auch der Datenschutzaktivist Max Schrems in diesem Bereich eine DSGVO-Reform durch ein gestaffeltes Datenschutzrecht.

Problem des „One-Size-Fits-All“-Ansatzes

Die DSGVO gilt unabhängig von der Größe eines Unternehmens und der Art der verarbeiteten Daten. Dieses Prinzip sorgt dafür, dass sowohl ein kleiner Handwerksbetrieb als auch ein globaler Internetkonzern denselben Regeln unterworfen sind. Kritiker sehen darin ein Ungleichgewicht: Kleine Unternehmen leiden unter übermäßigen Berichtspflichten, während große Plattformen mit ihren Ressourcen Wege finden, regulatorische Anforderungen zu umgehen. Viele Unternehmen sind deshalb mit dem Regelwerk unzufrieden, wie eine von Bitkom durchgeführte Umfrage zeigt. Sie sehen die Vorgaben als praxisfern und im internationalen Wettbewerb hindernd.

Voss für dreistufige Regulierung

Axel Voss, der damals im EU-Parlament an der Verabschiedung der DSGVO beteiligt war, plädiert für eine „gezielte“ und „smarte“ DSGVO-Reform. Dabei baut er auf ein gestaffeltes Konzept in drei Stufen vergleichbar mit dem Digital Services Act und der Verordnung für künstliche Intelligenz.

  • Mini DSGVO: Für Organisationen mit weniger als 100.000 betroffenen Personen, wenn keine besonders schützenswerten Daten im Sinne von Art. 9 DSGVO verarbeitet werden, soll eine abgespeckte Version der DSGVO gelten. Hiernach sollen laut Voss etwa 90 Prozent der Unternehmen keinen Datenschutzbeauftragten mehr ernennen müssen und würden nur noch Strafandrohungen bis zu 500.000 Euro unterliegen. Daneben sollen nur noch die wesentlichen Datenverarbeitungsgrundsätze greifen.
  • Normale DSGVO: Für Unternehmen, die größere oder sensible Datenmengen verarbeiten, solle die aktuelle DSGVO weitgehend bestehen. Exemplarisch nennt Voss hier Versicherungsunternehmen. Lediglich einige veraltete Vorgaben etwa zur Datenportabilität will er abschaffen.
  • DSGVO Plus: Verschärfte Vorgaben sollen für Unternehmen gelten, die auf datengetriebene Geschäftsmodelle setzen, wie Werbeanbieter, Social-Media-Unternehmen und Datenbroker. Ansetzen wolle er bei Verantwortlichen die Informationen von über 10 Millionen Individuen oder von mehr als 50 Prozent der Einwohner eines Staates verarbeiten. Diese Unternehmen müssten sich externen Audits unterwerfen und ihre Datenschutzmaßnahmen transparent dokumentieren und eigenständig nachweisen.

Reformdruck aus der EU-Kommission

Das passt zum Kurs der EU-Kommission, die schon Ende dieses Jahres eine Überarbeitung der DSGVO angehen könnte. Sie plant nämlich ab diesem Zeitpunkt ihre Digitalgesetze zu kontrollieren, wozu auch das europäische Datenschutzrecht zählen könnte. In diesem Zusammenhang pocht Ursula von der Leyen auf „Vereinfachung“, indem Compliance-Anforderungen reduziert werden sollen. Voss fordert in seinem Post die EU-Kommission auf, bei einer möglichen Überarbeitung keine Zeit zu verschwenden, sondern zeitnah und simpel zu handeln.

Stellungnahmen von Datenschutzexperten

Überraschenderweise lehnt Max Schrems, Datenschutzjurist und Gründer der Bürgerrechtsorganisation noyb, den Vorschlag nicht pauschal ab. Dabei hat er sich in den vergangenen Jahren regelmäßig vor Gericht für die Einhaltung von Datenschutzrecht durch Techgiganten und für einen sicheren Datenaustausch zwischen den USA und der EU eingesetzt. Schrems unterstützt aber den Grundgedanken von Voss. Er habe von Anfang an gemeint, dass der „One Sitze fits All“-Ansatz unpassend sei. Das habe insbesondere für große Plattformen zu einer Entschärfung geführt. Deshalb plädiere er für vernünftige politische Lösungen, um für eine differenziertere DSGVO zu sorgen.

Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski meine hingegen, eine Überarbeitung der DSGVO sei nicht zwangsläufig die richtige Lösung. Insbesondere wolle er das Strafmaß nicht verringern.

Fazit

Die Debatte um eine Reform der DSGVO zeigt, dass die aktuelle Regulierung einige relevante Nachteile hat. Eine DSGVO-Reform durch ein gestaffeltes Datenschutzrecht könnte hierfür eine unkomplizierte und praxistaugliche Lösung bieten. Entscheidend wird sein, ob die EU eine Balance zwischen wirtschaftlicher Effizienz und einem effektiven Schutz persönlicher Daten findet. Insofern bleibt es nun insbesondere spannend, was eine mögliche Evaluierung der EU-Kommission ergeben wird.

Kategorien: DSGVO · Europäische Kommission · Europäische Union · Europäisches Recht · Gesetzesvorhaben