{"id":629661,"date":"2025-12-07T10:45:18","date_gmt":"2025-12-07T10:45:18","guid":{"rendered":"https:\/\/www.europesays.com\/de\/629661\/"},"modified":"2025-12-07T10:45:18","modified_gmt":"2025-12-07T10:45:18","slug":"eu-datenschutz-bruesseler-reform-spaltet-europa","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/629661\/","title":{"rendered":"EU-Datenschutz: Br\u00fcsseler Reform spaltet Europa"},"content":{"rendered":"

Die EU-Kommission will die DSGVO entschlacken \u2013 und l\u00f6st damit einen Sturm der Entr\u00fcstung bei den obersten Datensch\u00fctzern aus. Was auf den ersten Blick wie b\u00fcrokratischer Pragmatismus aussieht, k\u00f6nnte das Fundament europ\u00e4ischer Datenschutzstandards ersch\u00fcttern. Denn die vorgeschlagenen \u00c4nderungen treffen ins Mark: Sie ver\u00e4ndern die Definition personenbezogener Daten und weichen zentrale Meldepflichten auf.<\/p>\n

Spannend wird es vor allem f\u00fcr deutsche und \u00f6sterreichische Unternehmen. Sie stehen zwischen zwei Fronten: Einerseits lockt die Aussicht auf weniger Compliance-Aufwand, andererseits drohen juristische Grauzonen bei Auftragsverarbeitungsvertr\u00e4gen. Kann Br\u00fcssel den Spagat zwischen Wettbewerbsf\u00e4higkeit und Grundrechtsschutz schaffen?<\/p>\n

Der Europ\u00e4ische Datenschutzausschuss (EDSA) und der Europ\u00e4ische Datenschutzbeauftragte (EDSB) schlugen am Donnerstag vergangener Woche Alarm. In einer gemeinsamen Erkl\u00e4rung warnen sie vor der sogenannten \u201cDigital Omnibus\u201d-Verordnung der EU-Kommission. Das Reformpaket soll die DSGVO verschlanken und europ\u00e4ische Firmen wettbewerbsf\u00e4higer machen \u2013 doch die W\u00e4chter der Privatsph\u00e4re sehen darin eine fundamentale Gefahr.<\/p>\n

\u201eDie vorgeschlagene \u00c4nderung der Definition personenbezogener Daten geht \u00fcber die j\u00fcngste EuGH-Rechtsprechung hinaus\u201d, kritisieren EDSA und EDSB scharf. Sie k\u00fcndigen eine umfassende Stellungnahme an. \u00dcbersetzt hei\u00dft das: Der Showdown zwischen Kommission und Datensch\u00fctzern steht bevor.<\/p>\n

F\u00fcr Compliance-Verantwortliche bedeutet das vor allem eins: Ungewissheit. Denn Auftragsverarbeitungsvertr\u00e4ge (AVV) basieren auf stabilen Definitionen und klaren Fristen. Beides k\u00f6nnte nun zur Disposition stehen.<\/p>\n

72 oder 96 Stunden? Die neue Meldefrist sorgt f\u00fcr Verwirrung<\/p>\n

Kernst\u00fcck der Reform sind zwei gravierende \u00c4nderungen, die Rechtsanwaltskanzleien wie White & Case und Faegre Drinker in der vergangenen Woche detailliert analysiert haben:<\/p>\n

Verl\u00e4ngerte Meldefristen f\u00fcr Datenpannen<\/strong><\/p>\n

Die Kommission will die Meldepflicht bei Datenschutzverletzungen von 72 auf 96 Stunden<\/strong> ausdehnen. Zudem sollen k\u00fcnftig nur noch Vorf\u00e4lle mit \u201ehohem Risiko\u201d f\u00fcr Betroffene gemeldet werden m\u00fcssen. Aktuell gilt: Jede Panne mit potenziellem Risiko muss binnen drei Tagen gemeldet werden.<\/p>\n

Anzeige<\/p>\n

Passend zum Thema Auftragsverarbeitung: Die vorgeschlagene Ausdehnung der Meldefrist auf 96 Stunden und die angedachte Neudefinition personenbezogener Daten k\u00f6nnen Ihre bestehenden AVV empfindlich treffen. Unser kostenloses E-Book erkl\u00e4rt, welche Vertragsklauseln Sie jetzt unbedingt beibehalten sollten, wie Sie Haftungsfallen vermeiden und wie Sie Prozesse zur schnellen Meldung trotz unsicherer Rechtslage gestalten. Inklusive praxisnaher Musterklauseln zum direkten Einsetzen in Ihren AVVs. Gratis-E-Book: Auftragsverarbeitung rechtssicher gestalten<\/a><\/strong><\/p>\n

Was sich nach B\u00fcrokratieabbau anh\u00f6rt, schafft neue Probleme. Nahezu alle bestehenden AVV-Vertr\u00e4ge schreiben Auftragsverarbeitern vor, Verst\u00f6\u00dfe innerhalb von 72 Stunden (oder schneller) zu melden. Eine Gesetzes\u00e4nderung w\u00fcrde Tausende dieser Vertr\u00e4ge faktisch obsolet machen.<\/p>\n

Noch heikler: Wer entscheidet, was \u201ehohes Risiko\u201d bedeutet? Ohne klare beh\u00f6rdliche Leitlinien drohen Grauzonen. Ein Processor k\u00f6nnte eine Panne f\u00fcr unkritisch halten, w\u00e4hrend der Controller bereits rechtlich haftet. Haftungsstreitigkeiten w\u00e4ren programmiert.<\/p>\n

Neudefinition personenbezogener Daten<\/strong><\/p>\n

Die zweite Sprengkraft entfaltet sich bei der Definition. K\u00fcnftig sollen Daten nicht mehr als \u201epersonenbezogen\u201d gelten, wenn dem Verarbeiter \u201ekeine vern\u00fcnftigerweise zu erwartenden Mittel\u201d zur Identifizierung vorliegen. Pseudonymisierte Daten ohne Zugriff auf den Schl\u00fcssel w\u00e4ren damit faktisch DSGVO-frei.<\/p>\n

F\u00fcr Unternehmen klingt das verlockend: Weniger Daten im Scope bedeutet weniger Compliance-Aufwand. Doch die Warnung des EDSA zeigt: Diese Interpretation k\u00f6nnte gegen die EU-Grundrechtecharta versto\u00dfen. Wer jetzt auf die lockere Definition setzt, riskiert k\u00fcnftige Bu\u00dfgelder. Wer beim strengen Standard bleibt, verschenkt Wettbewerbsvorteile.<\/p>\n

Cookie-Banner und der Kampf gegen \u201eConsent Fatigue\u201d<\/p>\n

Die Reform adressiert auch ein Massenph\u00e4nomen: die Erm\u00fcdung durch endlose Cookie-Banner. Die Kommission will die Cookie-Regulierung aus der ePrivacy-Richtlinie in die DSGVO \u00fcberf\u00fchren und eine \u201eEin-Klick-L\u00f6sung\u201d einf\u00fchren. Die Entscheidung der Nutzer soll sechs Monate g\u00fcltig bleiben.<\/p>\n

Die Datenschutzorganisation noyb<\/strong> reagierte diese Woche skeptisch. W\u00e4hrend vereinfachte Banner sinnvoll seien, demontiere das Gesamtpaket Kernprinzipien der DSGVO. Die Wirtschaft sieht es naturgem\u00e4\u00df anders: Weniger B\u00fcrokratie bedeute mehr Innovation.<\/p>\n

Hinter dem Vorschlag steht die Wettbewerbsagenda der EU. Der k\u00fcrzlich vorgelegte Draghi-Bericht hatte gefordert, Compliance-Kosten f\u00fcr KMU und Start-ups drastisch zu senken. Das aktuelle Regulierungsgeflecht aus DSGVO, Data Act und AI Act gilt vielen als Innovationsbremse.<\/p>\n

Deutscher Datenschutz: Zwischen Br\u00fcssel und nationaler H\u00e4rte<\/p>\n

F\u00fcr Unternehmen in Deutschland und \u00d6sterreich entsteht eine paradoxe Situation. Beide L\u00e4nder interpretieren Datenschutz traditionell streng \u2013 deutsche Landesdatensch\u00fctzer und die \u00f6sterreichische DSB gelten als besonders rigoros. Nun droht eine Schere: Br\u00fcssel lockert, w\u00e4hrend nationale Beh\u00f6rden weiter auf h\u00f6chste Standards pochen.<\/p>\n

Was bedeutet das konkret? Deutsche Firmen m\u00fcssten sich auf zwei Szenarien gleichzeitig vorbereiten: m\u00f6gliche Deregulierung auf EU-Ebene bei gleichzeitig unver\u00e4ndert strenger nationaler Durchsetzung. Ein juristischer Drahtseilakt, der Planungssicherheit zunichtemacht.<\/p>\n

Was Unternehmen jetzt tun sollten<\/p>\n

Die Gesetzgebung steht noch am Anfang. Nach der EDSA-Stellungnahme folgen monatelange Verhandlungen zwischen Kommission, Parlament und Rat \u2013 der sogenannte Trilog-Prozess.<\/p>\n

Timeline der kommenden Monate:<\/strong><\/p>\n