Die EU öffnet die Büchse der Pandora
Die EU-Kommission will mehr Erleichterungen für Unternehmen beim Datenschutz. Die kleine Anpassung der DSGVO könnte der Vorbote einer größeren Deregulierungskampagne sein. Das darf nicht passieren – wenn die Verordnung schon aufgebohrt wird, muss sie verbessert werden. Ein Kommentar.
Es ist ein simpler Satz, hinter dem sich eine kleine Revolution versteckt: „Die Kommission schlägt Vereinfachungsmaßnahmen vor, um EU-Unternehmen weitere 400 Millionen Euro pro Jahr zu ersparen.“ Mit diesen Worten kündigte die EU-Kommission am Mittwoch neues Paket zum sogenannten Bürokratieabbau an. Es soll Unternehmen das Leben leichter machen. Dazu gehört ein Abbau von Dokumentationspflichten beim Datenschutz für kleine und mittelgroße Unternehmen.
Es ist das erste Mal, dass die materiellen Regeln der Datenschutzgrundverordnung inhaltlich verändert werden sollen. Das galt lange Zeit als undenkbar, zu lebhaft waren die Erinnerungen an das, was als größte Lobby-Schlacht der EU in die Geschichtsbücher eingegangen ist. Vor ziemlich genau neun Jahren, am 25. Mai 2016, ist die DSGVO in Kraft getreten, davor lagen viele Jahre heftigen Ringens zwischen den EU-Institutionen, Parteien, der Zivilgesellschaft und Lobby-Gruppen.
Ausnahmen werden ausgeweitet
Es ist deshalb wenig verwunderlich, dass die EU-Kommission jetzt nicht die gesamte Grundverordnung zur Debatte stellt, sondern erstmal nur kleinere Veränderungen ankündigt. Oder in anderen Worten: Die Büchse der Pandora erstmal einen kleinen Spalt öffnet…
Laut der Ankündigung sollen künftig nur noch Unternehmen mit mehr als 750 Beschäftigten Datenverarbeitungsverzeichnisse führen müssen. Das sind interne Übersichten darüber, welche Daten eine Organisation verarbeitet, wofür sie genutzt werden, wer Zugriff darauf hat und wie die Daten geschützt werden. Schon bisher gab es hier eine Ausnahme, die allerdings nur für kleine Unternehmen mit bis zu 250 Mitarbeitenden gilt.
Dass die Ausweitung problematisch ist, liegt auf der Hand. Die Dokumentationspflichten sind nicht eingeführt worden, um Unternehmen zu gängeln, sondern um dafür zu sorgen, dass sie ihre Verantwortung ernst nehmen. Wer ein gut gepflegtes Verarbeitungsverzeichnis führt, hat in der Regel weniger Probleme mit dem Datenschutz, berichtet Rechtsanwältin Elisabeth Niekrenz aus der Praxis. Wie sollen sich in Zukunft Unternehmen mit bis zu 750 Mitarbeitenden um den Datenschutz kümmern, wenn sie keinen Überblick haben, welche Daten sie überhaupt verarbeiten? Die vermeintliche Erleichterung wird schnell zum Eigentor, weil Strafen für Verstöße natürlich trotzdem anfallen.
Sinnvoller ist da schon die zweite vorgeschlagene Änderung. Bislang galt die Befreiung von der Dokumentationspflicht nicht für Unternehmen, die „regelmäßig“ Daten verarbeiten, mit denen ein „Risiko“ einhergeht. Doch bei jedem Unternehmen fallen regelmäßig Daten über das Personal an, durch deren Verarbeitung naturgemäß ein Risiko entsteht. Das heißt: Die Ausnahme für kleine Unternehmen griff fast nie. In Zukunft sind kleine und mittlere Unternehmen nur dann zur Dokumentation verpflichtet, wenn sie Daten mit „hohem Risiko“ verarbeiten.
Ohne die EVP geht nichts
Die digitale Zivilgesellschaft reagiert auf den Vorschlag mit geballter Ablehnung. Das liegt nicht nur an den konkreten Vorschlägen, sondern vor allem daran, dass die Datenschutzgrundverordnung jetzt überhaupt aufgemacht werden soll. Die Mini-Reform könnte sich als Vorbote einer großen Deregulierungskampagne erweisen, warnten in dieser Woche mehr als hundert europäische NGOs. Ihre Sorge: Ist die Büchse der Pandora erst einmal geöffnet, bleibt kein Stein auf dem anderen. Im Herbst will die EU ein großes Omnibus-Paket zur „Vereinfachung“ ihrer Digitalgesetzgebung vorlegen, das auch die DSGVO umfassen könnte.
Ein Blick auf die politischen Mehrheitsverhältnisse in der EU zeigt, dass die Sorgen berechtigt sind. Seit dem Rechtsruck bei der letzten Europa-Wahl hat die konservative EVP-Fraktion im Parlament die Oberhand. Sie lässt wenig Zweifel daran, dass sie wirtschaftlichen Interessen alles andere unterordnet.
Schon in der letzten Legislaturperiode war die EVP die stärkste Kraft, doch wenn sich die Kräfte in der Mitte und links davon zusammentaten, konnten sie Gesetze auch gegen den Willen der Konservativen durchbringen. Das ist jetzt vorbei. Wenn die demokratischen Parteien nicht spuren, könnte die EVP gemeinsame Sache mit den ebenfalls erstarkten EU-Feinden und Rechtsradikalen machen. Dass das für die Konservativen kein theoretisches Szenario, sondern eine echte Option ist, ist ein Skandal für sich. Es ändert jedoch nichts daran, dass ohne die EVP im Parlament nichts geht.
Eine große Reform der DSGVO unter diesen Vorzeichen – das kann nur zu Lasten von Grundrechten gehen. Denn seit ihrer Einführung steht die Verordnung unter Beschuss aus der Wirtschaft, inzwischen ist sie zum Sündenbock für alles geworden, was bei der Digitalisierung schiefläuft. Mit Venture-Kapital vollgepumpte US-Konzerne sind erfolgreicher als die heimische Wirtschaft? Der Datenschutz ist schuld! Der Staat scheitert an der Verwaltungsdigitalisierung? Der Datenschutz ist schuld! Die Milch im Kühlschrank ist sauer geworden? Der Datenschutz ist schuld!
Wo wirklich was zu tun wäre
Dabei geraten nicht nur die Erfolge der DSGVO aus dem Blick, sondern auch der tatsächliche Reformbedarf für einen wirksamen Grundrechtsschutz. Wir berichten auf netzpolitik.org immer wieder über Probleme, die tatsächlich gefixt werden müssten, damit die DSGVO für Bürger:innen als echter Gewinn wahrgenommen wird. An erster Stelle: die informierte Einwilligung.
Immer wieder zeigen unsere Recherchen, wie Unternehmen Menschen über den Tisch ziehen, um an den vermeintlichen Blankoscheck fürs Datensammeln zu gelangen. Egal ob Websites und Apps, die Menschen mit manipulativem Design von Consent-Bannern auf „alles akzeptieren“ lenken oder Bank-Filialen und Handyshops, die Kreuzchen für ihre Kund:innen setzen, ohne sie zu fragen. Auch die unkontrollierten Datensammlungen der Werbeindustrie, die uns in hunderttausende Kategorien steckt und unsere genauen Bewegungsdaten vertickt, werden durch das Feigenblatt der „informierten Einwilligung“ gerechtfertigt.
Hier und an anderen Problemen müsste eine Reform ansetzen, die diesen Namen verdient hat. Die Verordnung aufzubohren und zu verändern ist nur dann zu rechtfertigen, wenn der Datenschutz für die Menschen wirklich verbessert wird. Alles andere darf man getrost als das bezeichnen, was es ist: Geschenke an die Wirtschaft.
Ingo Dachwitz ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Er schreibt häufig über Datenmissbrauch und Datenschutz, Big Tech, Plattformregulierung, Transparenz, Lobbyismus, Online-Werbung, Wahlkämpfe und die Polizei. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet. Ingo ist Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. Seit 02/2025 ist sein Buch erhältlich: “Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen” Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.
Bravo, kurz und knapp den Nagel auf den Kopf!
Schon 2007 hat Google in seinem Börsenbericht als größtes Geschäftsrisiko mögliche Regulierungen in Europa benannt.
Ich bin schon sehr lange von der Sachlichkeit und Fachkompetenz der netzpolitik-Kolleg*inn*en beeindruckt. Erst spät habe ich in deren Impressum im Kleingedruckten entdeckt, dass deren Texte – wenn nicht anders vermerkt – immer mit einer CC-Lizenz versehen sind. Seitdem übernehme ich hier ausgewählte Texte, die ich für besonders relevant und weiterführend halte. Eine Bereicherung der Publizistik, die das in ihrem heutigen Stadium dringend braucht.