Kommt die DSGVO-Reform?

Seit dem 25. Mai 2018 ist die DSGVO anzuwenden. Statt Geburtstagsvorbereitungen zu treffen, wird über eine grundlegende Überarbeitung der Regelungen zum Datenschutz diskutiert. Auch die EU-Kommission scheint Bereitschaft zu zeigen, eine Überarbeitung der DSGVO bald in Angriff zu nehmen. Warum wird die DSGVO als reformbedürftig angesehen und wie sehen konkrete Lösungsvorschläge für bestehende Probleme aus?

Ist die DSGVO reformbedürftig?

Auf EU-Ebene wird insbesondere angeführt, dass die mit erheblichen Kosten verbundene, komplexe und fragmentierte Umsetzung der DSGVO die Wettbewerbsfähigkeit von Unternehmen in der EU behindere. Des Weiteren besteht der Wunsch nach einer einheitlichen und ausgewogenen Durchsetzung der Regelungen zum Datenschutz durch eine gelungene Koordinierung sowohl auf Länder- als auch auf EU-Ebene. Die teilweise sehr unterschiedliche Auslegung und Anwendung der DSGVO durch Aufsichten und Gerichte führt zu Rechtsunsicherheit, so dass eine Harmonisierung notwendig erscheint. Dass kleine und mittlere Unternehmen nach der DSGVO dieselben Pflichten wie große Konzerne einzuhalten haben, wird oft als ungerecht kritisiert. Die EU-Kommission scheint es auch im Zusammenhang mit ihrer aktuellen Gesetzgebung im Rahmen der Digitalisierung nun für den richtigen Zeitpunkt zu halten, eine Reform der DSGVO in Angriff zu nehmen.

Wir lassen es zunächst dahingestellt, ob wir diese Bedenken für durchgreifend halten. Jedenfalls gibt es mittlerweile offenbar recht konkrete Pläne für eine Anpassung des Gesetzes.

Wie sehen aktuelle Pläne aus?

Stufenmodell

Ein erster konkreter Vorschlag für eine Reform kam Anfang März vom EU-Parlamentarier Axel Voss. In einem LinkedIn-Beitrag empfiehlt er für den Datenschutz das folgende dreistufige Modell und betont, dass diese Idee auch vom Datenaktivisten Max Schrems befürwortet wird.

1. Für 90 % aller Unternehmen (Einzelhändler und kleinere Betriebe, die nur kleine Mengen personenbezogener Daten und keine sensiblen Daten verarbeiten) soll eine „DSGVO Mini“ mit weniger Dokumentations- und Informationspflichten sowie ohne Bestellpflicht eines betrieblichen Datenschutzbeauftragten gelten.
2. Für Unternehmen, die große Mengen personenbezogener Daten oder sensible Daten verarbeiten, soll eine „DSGVO Normal“ gelten.
3. Für Unternehmen, deren Geschäftsmodell wesentlich auf der Verarbeitung personenbezogener Daten beruht, wie große Online-Plattformen, soll eine „DSGVO Plus“ mit zusätzlichen Pflichten, wie mehr Transparenzpflichten und externen Audits, gelten.

Mit diesem Stufenmodell soll der bislang geltende einheitliche Ansatz der DSGVO abgeschafft werden und die damit verbundene, oftmals als unverhältnismäßig empfundene Belastung kleinerer und mittelständischer Unternehmen verringert werden.

Kritik am Stufenmodell

Die Entlastung kleinerer Unternehmen wird zwar ganz überwiegend begrüßt, dennoch regt sich gegen eine solche Vorgehensweise auch Kritik. Vor allem wird davor gewarnt, die Datenschutzpflichten allein an der Größe eines Unternehmens festzumachen. Die genaue Ausgestaltung, wann auch kleinere Unternehmen bei der Verarbeitung sensibler Daten verstärkt in die Pflicht zu nehmen sind, könnte sich sehr komplex gestalten, um ein einheitliches Schutzniveau sicherzustellen. Auch Dr. Stefan Brink, Leiter des wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt in Berlin (LfDI BaWü a. D.), betont in seinem Vortrag „Und sie bewegt sich doch! Die DSGVO-Reform kommt in Gang“ im Rahmen der Veranstaltungsreihe „Datenschutz am Mittag“ der Stiftung Datenschutz vom 7. April 2025, dass der „all size fits all“ Ansatz seine Vorteile hat. Nach seiner Auffassung sollte sich eine Reform der DSGVO besser die Ausarbeitung eines risikobasierten Ansatzes vornehmen. Die Aufzeichnung des einstündigen Vortrags und die Präsentation können unter folgendem Link angesehen werden.

Wie passt das zu den Plänen der Koalition?

Die Pläne der mutmaßlich nächsten deutschen Regierung gehen sogar noch weiter als das oben vorgestellte Stufenmodell. Danach sollen kleine und mittelständische Unternehmen sowie „risikoarme Verarbeitungen“ offenbar komplett vom Anwendungsbereich des Datenschutzrechts ausgenommen werden. Hierfür will sich die Koalition bei der EU stark machen und trifft im Hinblick auf die aktuelle Reformwilligkeit der EU-Kommission unter Umständen genau den richtigen Zeitpunkt. Über weitere Maßnahmen, die die Koalition im Hinblick auf den Datenschutz plant, berichten wir in unserem Blog-Beitrag „Verantwortung für Deutschland: Auch beim Datenschutz?“.

Fazit

Es bleibt spannend zu beobachten, wie zusätzlich zum Stufenmodell weitere Vorschläge für eine Reform der DSGVO aussehen werden, um die bestehenden Schwierigkeiten auch im Hinblick auf die Harmonisierung der Anwendung und Durchsetzung der DSGVO anzugehen. Eine Ausnahme bestimmter Unternehmen vom Anwendungsbereich des Datenschutzrechts ist unseres Erachtens nicht sinnvoll und mit Blick auf die Verankerung von Datenschutzrechten in Verfassung und EU-Charta kaum möglich. Vielversprechender ist der Ausbau des risikobasierten Ansatzes. So könnten z. B. bestimmte Dokumentationspflichten in risikoarmen Bereichen aufgeweicht werden.

Wie es auch kommt, wird im ersten Schritt aber zunächst ein Mehr an Aufwand auf Unternehmen zukommen, denn diese werden prüfen müssen, welche Vorschriften sie denn nun wie umzusetzen haben.

Wir werden Sie über die weiteren Entwicklungen auf dem Laufenden halten. Abonnieren Sie gerne unseren Newsletter, um bei allen Themen rund um den Datenschutz immer auf dem aktuellen Stand zu sein.