Die EU-Kommission will die DSGVO entschlacken – und löst damit einen Sturm der Entrüstung bei den obersten Datenschützern aus. Was auf den ersten Blick wie bürokratischer Pragmatismus aussieht, könnte das Fundament europäischer Datenschutzstandards erschüttern. Denn die vorgeschlagenen Änderungen treffen ins Mark: Sie verändern die Definition personenbezogener Daten und weichen zentrale Meldepflichten auf.
Spannend wird es vor allem für deutsche und österreichische Unternehmen. Sie stehen zwischen zwei Fronten: Einerseits lockt die Aussicht auf weniger Compliance-Aufwand, andererseits drohen juristische Grauzonen bei Auftragsverarbeitungsverträgen. Kann Brüssel den Spagat zwischen Wettbewerbsfähigkeit und Grundrechtsschutz schaffen?
Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) schlugen am Donnerstag vergangener Woche Alarm. In einer gemeinsamen Erklärung warnen sie vor der sogenannten “Digital Omnibus”-Verordnung der EU-Kommission. Das Reformpaket soll die DSGVO verschlanken und europäische Firmen wettbewerbsfähiger machen – doch die Wächter der Privatsphäre sehen darin eine fundamentale Gefahr.
„Die vorgeschlagene Änderung der Definition personenbezogener Daten geht über die jüngste EuGH-Rechtsprechung hinaus”, kritisieren EDSA und EDSB scharf. Sie kündigen eine umfassende Stellungnahme an. Übersetzt heißt das: Der Showdown zwischen Kommission und Datenschützern steht bevor.
Für Compliance-Verantwortliche bedeutet das vor allem eins: Ungewissheit. Denn Auftragsverarbeitungsverträge (AVV) basieren auf stabilen Definitionen und klaren Fristen. Beides könnte nun zur Disposition stehen.
72 oder 96 Stunden? Die neue Meldefrist sorgt für Verwirrung
Kernstück der Reform sind zwei gravierende Änderungen, die Rechtsanwaltskanzleien wie White & Case und Faegre Drinker in der vergangenen Woche detailliert analysiert haben:
Verlängerte Meldefristen für Datenpannen
Die Kommission will die Meldepflicht bei Datenschutzverletzungen von 72 auf 96 Stunden ausdehnen. Zudem sollen künftig nur noch Vorfälle mit „hohem Risiko” für Betroffene gemeldet werden müssen. Aktuell gilt: Jede Panne mit potenziellem Risiko muss binnen drei Tagen gemeldet werden.
Anzeige
Passend zum Thema Auftragsverarbeitung: Die vorgeschlagene Ausdehnung der Meldefrist auf 96 Stunden und die angedachte Neudefinition personenbezogener Daten können Ihre bestehenden AVV empfindlich treffen. Unser kostenloses E-Book erklärt, welche Vertragsklauseln Sie jetzt unbedingt beibehalten sollten, wie Sie Haftungsfallen vermeiden und wie Sie Prozesse zur schnellen Meldung trotz unsicherer Rechtslage gestalten. Inklusive praxisnaher Musterklauseln zum direkten Einsetzen in Ihren AVVs. Gratis-E-Book: Auftragsverarbeitung rechtssicher gestalten
Was sich nach Bürokratieabbau anhört, schafft neue Probleme. Nahezu alle bestehenden AVV-Verträge schreiben Auftragsverarbeitern vor, Verstöße innerhalb von 72 Stunden (oder schneller) zu melden. Eine Gesetzesänderung würde Tausende dieser Verträge faktisch obsolet machen.
Noch heikler: Wer entscheidet, was „hohes Risiko” bedeutet? Ohne klare behördliche Leitlinien drohen Grauzonen. Ein Processor könnte eine Panne für unkritisch halten, während der Controller bereits rechtlich haftet. Haftungsstreitigkeiten wären programmiert.
Neudefinition personenbezogener Daten
Die zweite Sprengkraft entfaltet sich bei der Definition. Künftig sollen Daten nicht mehr als „personenbezogen” gelten, wenn dem Verarbeiter „keine vernünftigerweise zu erwartenden Mittel” zur Identifizierung vorliegen. Pseudonymisierte Daten ohne Zugriff auf den Schlüssel wären damit faktisch DSGVO-frei.
Für Unternehmen klingt das verlockend: Weniger Daten im Scope bedeutet weniger Compliance-Aufwand. Doch die Warnung des EDSA zeigt: Diese Interpretation könnte gegen die EU-Grundrechtecharta verstoßen. Wer jetzt auf die lockere Definition setzt, riskiert künftige Bußgelder. Wer beim strengen Standard bleibt, verschenkt Wettbewerbsvorteile.
Cookie-Banner und der Kampf gegen „Consent Fatigue”
Die Reform adressiert auch ein Massenphänomen: die Ermüdung durch endlose Cookie-Banner. Die Kommission will die Cookie-Regulierung aus der ePrivacy-Richtlinie in die DSGVO überführen und eine „Ein-Klick-Lösung” einführen. Die Entscheidung der Nutzer soll sechs Monate gültig bleiben.
Die Datenschutzorganisation noyb reagierte diese Woche skeptisch. Während vereinfachte Banner sinnvoll seien, demontiere das Gesamtpaket Kernprinzipien der DSGVO. Die Wirtschaft sieht es naturgemäß anders: Weniger Bürokratie bedeute mehr Innovation.
Hinter dem Vorschlag steht die Wettbewerbsagenda der EU. Der kürzlich vorgelegte Draghi-Bericht hatte gefordert, Compliance-Kosten für KMU und Start-ups drastisch zu senken. Das aktuelle Regulierungsgeflecht aus DSGVO, Data Act und AI Act gilt vielen als Innovationsbremse.
Deutscher Datenschutz: Zwischen Brüssel und nationaler Härte
Für Unternehmen in Deutschland und Österreich entsteht eine paradoxe Situation. Beide Länder interpretieren Datenschutz traditionell streng – deutsche Landesdatenschützer und die österreichische DSB gelten als besonders rigoros. Nun droht eine Schere: Brüssel lockert, während nationale Behörden weiter auf höchste Standards pochen.
Was bedeutet das konkret? Deutsche Firmen müssten sich auf zwei Szenarien gleichzeitig vorbereiten: mögliche Deregulierung auf EU-Ebene bei gleichzeitig unverändert strenger nationaler Durchsetzung. Ein juristischer Drahtseilakt, der Planungssicherheit zunichtemacht.
Was Unternehmen jetzt tun sollten
Die Gesetzgebung steht noch am Anfang. Nach der EDSA-Stellungnahme folgen monatelange Verhandlungen zwischen Kommission, Parlament und Rat – der sogenannte Trilog-Prozess.
Timeline der kommenden Monate:
- Dezember 2025 bis Januar 2026: EDSA und EDSB veröffentlichen detaillierte Kritik am Entwurf
- 2026: Intensive Lobby-Schlachten im Europaparlament zwischen Datenschützern und Wirtschaftsvertretern
- Ab 2027: Falls verabschiedet, folgt eine Übergangsphase
Konkrete Handlungsempfehlungen:
Compliance-Experten raten dringend davon ab, bestehende Auftragsverarbeitungsverträge voreilig anzupassen. Die 72-Stunden-Regel gilt unverändert. Unternehmen sollten jedoch:
- Risikoanalyse schärfen: Interne Prozesse darauf prüfen, wie sich eine Beschränkung auf “hohes Risiko” auswirken würde
- Pseudonymisierung prüfen: Welche Datensätze könnten unter neuer Definition aus dem DSGVO-Scope fallen?
- Vertragliche Sicherheit bewahren: Strengere Standards in AVVs bieten aktuell den besten Haftungsschutz
Kein Wunder also, dass sich die Fronten verhärten. Die “Digital Omnibus”-Reform könnte zum größten Einschnitt im EU-Datenschutz seit Einführung der DSGVO 2018 werden – und das Regelwerk für internationale Datentransfers auf Jahre hinaus neu schreiben.
Anzeige
PS: Gerade deutsche und österreichische Unternehmen stehen vor dem Dilemma, dass Brüssel lockert, nationale Aufsichten aber weiterhin streng durchgreifen. Dieser Gratis-Guide zur Auftragsdatenverarbeitung bietet Ihnen fertige Vertragsvorlagen, Checklisten für korrekte Meldefristen, Musterformulierungen zur Pseudonymisierung und klare Handlungsschritte für Controller und Processor. So vermeiden Sie Haftungsrisiken, schaffen vertragliche Sicherheit und sind für mögliche Trilog-Verhandlungen besser gerüstet. Jetzt gratis E-Book zur Auftragsverarbeitung sichern