Bericht : Die risikobasierte DS-GVO: ein Reformvorschlag : aus der RDV 3/2025, Seite 166 bis 168

Kritik an der DS-GVO

Wie könnte eine DS-GVO-Reform aussehen? Sinnvolle Reformvorschläge lassen sich am besten formulieren, indem man die wesentlichen Kritikpunkte in den Blick nimmt. Das Datenschutzrecht im Allgemeinen und die DS-GVO als dessen Flaggschiff im Besonderen stehen wie kaum ein anderes Rechtsgebiet für die Geschichte vom Regulierungsmonster aus Brüssel. Gerade in den vergangenen Jahren hat die Verbreitung Künstlicher Intelligenz zur Erkenntnis geführt, dass das europäische Datenschutzrecht nicht dazu führen darf, dass rechtmäßige Datennutzung verhindert wird. Die Kommission hat dazu ein ganzes Orchester an Daten- und Digitalrechtsakten zu dirigieren,^[8]die oft aufeinander verweisen und deren Regelungsmaterien sich noch öfter überschneiden.

Die daraus entstehenden Wirrungen gehen zulasten der Wettbewerbsfähigkeit europäischer Unternehmen, die ihre Ressourcen darauf verwenden müssen, wachsende Verzahnungen zu überblicken und die Vorgaben des Unionsrechts einzuhalten. Besonders kleine und mittlere Unternehmen mit begrenzten Ressourcen leiden unter dem Compliance-Aufwand. Gleichzeitig musste die europäische Datenschutzaufsicht in den vergangenen Jahren erkennen, dass sich die großen Technologie-Unternehmen den Vorgaben der DS-GVO immer wieder zu entziehen suchen, was angesichts teilweise erheblicher Unterschiede bei der Auslegung des Rechtsakts bisweilen auch gelingt. Während also Verantwortliche in risikoarmen Verarbeitungssituationen über einen hohen Bürokratieaufwand klagen, entgeht „Big Tech“, das im Fokus der Regulierung stand, bereits grundlegenden Pflichten.

Risikobasierter Ansatz

Um diese Diskrepanz einzuhegen, bedarf es eines risikobasierten Ansatzes. Ein solcher liegt auch dem Diskussionsentwurf für eine KI-Datenschutzverordnung (KI-VO) zugrunde, der im Dezember 2024 von Christiane Wendehorst von der Universität Wien vorgestellt wurde.^[9]

Die Vorgaben der DS-GVO müssen abhängig von der Größe des für die Datenverarbeitung verantwortlichen Unternehmens, der Art der Datenverarbeitung und den Auswirkungen auf die Privatsphäre der betroffenen Person gelten. Das Konzept einer risikobasierten Regulierung ist mittlerweile integraler Bestandteil der EU-Digitalgesetzgebung: Der Digital Services Act (DSA) sieht ein besonderes Pflichtenprogramm für die Anbieter von sehr großen Online-Plattformen und sehr großen Online-Suchmaschinen vor, Art. 33 ff. DSA, die Vorgaben der KI-VO orientieren sich an Art und Intensität der Risiken, die von KI-Systemen ausgehen können, ErwG 26 S. 2 KI-VO. Diese Ansätze lassen sich auf die DS-GVO übertragen.

Stufe 1: Mini-DS-GVO

Auf der ersten Stufe einer reformierten DS-GVO sollte ein erheblich reduziertes Pflichtenprogramm für Verantwortliche mit risikoarmen Verarbeitungstätigkeiten gelten. Als Adressaten einer solchen „Mini-DS-GVO“ kommen kleine und mittlere Unternehmen und Verantwortliche mit nicht kommerzieller Tätigkeit, zum Beispiel Vereine, in Betracht. Die Vorgaben der DS-GVO könnten sich auf dieser Stufe auf die Grundsätze der Datenverarbeitung beschränken, wie sie sich aus Art. 5 DS-GVO ergeben. Verbesserungen für die genannten Akteure ergeben sich damit insbesondere aus vereinfachten Transparenzregeln und einer Reduzierung der Dokumentationspflichten. Auch eine Verringerung der Bußgelder kommt auf dieser risikoarmen Stufe in Betracht.

Ansätze einer solchen Privilegierung finden sich im Koalitionsvertrag zwischen CDU und SPD: Die kommende Bundesregierung will auf europäischer Ebene auf eine Bereichsausnahme für Verantwortliche risikoarmer Datenverarbeitungen hinwirken^.[10] Eine vollständige Befreiung von den Verpflichtungen der DS-GVO wäre angesichts der Schutzpflicht der Mitgliedstaaten sowie der Wesensgehaltsgarantie des Art. 52 Abs. 1 S. 1 GRCh allerdings schwerlich mit den europäischen Grundrechten, namentlich Art.  8 Abs.  1 GRCh, vereinbar.^[11]Zumindest die Grundsätze der Datenverarbeitung müssen daher auch für privilegierte Verantwortliche gelten.

Zu kurz greift hingegen der von der Kommission präferierte Ansatz, kleine und mittlere Unternehmen lediglich von der Pflicht zur Führung eines Verarbeitungsverzeichnisses zu befreien^.[12] Dieser Vorschlag konkurriert mit den Bedürfnissen der Praxis, da die Erfüllung anderer Vorgaben der DS-GVO ebenso wie die Organisation von Verarbeitungstätigkeiten im Einklang mit den Grundsätzen der Datenverarbeitung ohnehin die Führung eines zumindest grundlegenden Verzeichnisses von Verarbeitungstätigkeiten verlangt.

Der hiesige Vorschlag könnte als berühmter Weg der Mitte die beiden Ansätze vereinen und eine grundrechtskonforme wie praxisnahe Vereinfachung des DS-GVO-Pflichtenkatalogs für privilegierungswürdige Akteure ermöglichen.

Stufe 2: Aktualisierte DS-GVO

Auf der zweiten Stufe einer risikobasierten DS-GVO sollte der bisherige Pflichtenkatalog für größere Unternehmen sowie für kleine und mittlere Unternehmen mit risikoreichen Datenverarbeitungen fortgelten. Unter Berücksichtigung neuer Technologien sollten die geltenden Vorschriften allerdings auf ihre Zukunftstauglichkeit überprüft werden. Dabei sollte auch die Vereinbarkeit der DS-GVO mit den neuen Digitalrechtsakten sichergestellt werden.

Stufe 3: DS-GVO Plus

Schließlich sollten für bestimmte Verantwortliche besondere Vorgaben im Sinne einer DS-GVO Plus gelten. Adressaten dieser Verschärfungen könnten sehr große Online-Plattformen, Online-Werbetreibende und Datenhändler sein, kurzum alle Unternehmen, deren Geschäftsmodell grundlegend auf der Verarbeitung personenbezogener Daten beruht. Als Grenze käme beispielsweise die Verarbeitung von Daten von mehr als 10 Millionen betroffenen Personen oder von mehr als 50 % der Bevölkerung eines Landes in Betracht. Um die Durchsetzung der DS-GVO gegenüber diesen Unternehmen sicherzustellen, kommen etwa verpflichtende jährliche Berichte, verschärfte Transparenzvorgaben und eine Beweislastumkehr in Betracht: Die Verantwortlichen müssten dann die Einhaltung des Pflichtenkatalogs der DS-GVO beweisen und nicht die Aufsichtsbehörden einen Rechtsverstoß.

Fazit

 Die DS-GVO ist und bleibt ein Grundpfeiler europäischer Digitalregulierung. Damit europäische Unternehmen wettbewerbsfähig bleiben und das in der Europäischen Union geltende hohe Grundrechtsschutzniveau gehalten oder sogar verbessert werden kann, muss sie allerdings einer Reform unterzogen werden. Entsprechende Vorstöße aus der Kommission, der Wissenschaft und nunmehr auch im Koalitionsvertrag der kommenden Bundesregierung sind zu begrüßen. Sinnvoll erscheint ein risikobasierter Ansatz, der den Pflichtenkatalog insbesondere kleiner und mittlerer Unternehmen reduziert und die Durchsetzung der geltenden Pflichten gegenüber Technologie-Konzernen verbessert.

Axel Voss, Mitglied des Europäischen Parlaments für die EVP, war Berichterstatter seiner Fraktion für die Datenschutz-Grundverordnung. Moritz Köhler ist wissenschaftlicher Mitarbeiter der Kölner Forschungsstelle für Medienrecht an der TH Köln und beobachtet für die Gesellschaft für Datenschutz und Datensicherheit das politische Geschehen in Brüssel.

^{[1] Zum Ganzen DataAgenda Datenschutz Podcast, Folge 70, abrufbar unter https://dataagenda.de/folge-70-mini-DS-GVO-im-omnibus-bekommt-daseu-datenschutzrecht-ein-facelifting/ (Stand: 25.04.2025).}

^{[2] Draghi, The future of European competitiveness. Part B, https://commission.europa.eu/document/download/ec1409c1-d4b4-4882-8bdd-3519f86bbb92_en?filename=The%20future%20of%20European%20competitiveness_%20In-depth%20analysis%20and%20recommendations_0.pdf (Stand: 25.04.2025), S. 79, 83.}

^{[3] Jaspers/Schwartmann/Thüsing, Die Entbürokratisierung des Datenschutzes, F.A.Z. v. 07.04.2025, 18.}

^{[4] Kommission, Commission proposes to cut red tape and simplify business environment, https://commission.europa.eu/news/commission-proposes-cut-redtape-and-simplify-business-environment-2025-02-26_en (Stand: 25.04.2025).}

^{[5] Brandstätter, GDPR to undergo simplification process, Commissioner McGrath says, https://www.mlex.com/mlex/data-privacy-security/articles/2310472/gdpr-to-undergo-simplification-process-commissionermcgrath-says (Stand: 25.04.2025)}

^{[6] Bertuzzi, EU AI Act simplification feedback might lead to amendments, https://www.mlex.com/mlex/artificial-intelligence/articles/2323032/eu-ai-act-simplification-feedback-might-lead-to-amendments (Stand: 25.04.2025). Dazu Kafsack, EU-Kommission will KI-Gesetz vereinfachen, F.A.Z. v. 10.04.2025, 16.}

^{[7] Verantwortung für Deutschland, Koalitionsvertrag zwischen CDU, CSU und SPD, https://www.cdu.de/app/uploads/2025/04/Koalitionsvertrag-2025.pdf (Stand: 25.04.20}

^{[8] Vgl. dazu bereits Albrecht/Voss, Das verflixte siebte Jahre: Die DS-GVO zwischen Datenschutz und Datenwirtschaft, EuDIR 2025, 2.}

^{[9] Wendehorst, Tentative Academic Discussion Draft (version 1.1) of a Regulation on the protection of personal data in the context of artificial intelligence and the data economy and amending Regulation (EU) 2024/1689 (‘AI Data Protection Regulation’), https://zivilrecht.univie.ac.at/fileadmin/user_upload/i_zivilrecht/Wendehorst/Workshop_Datenschutz/Draft_AI_Data_Protection_Regulation_WENDEHORST_24-12-20.pdf (Stand: 25.04.2025)}

^{[10] Verantwortung für Deutschland, Koalitionsvertrag zwischen CDU, CSU und SPD, https://www.cdu.de/app/uploads/2025/04/Koalitionsvertrag-2025.pdf (Stand: 25.04.2025), Z. 2103-2}

^{[11] Vgl. EuGH, Urt. v. 16.07.2020 – C-311/18, ECLI:EU:C:2020:559, Rn. 176; EuGH, Urt. v. 08.04.2014 – C-293/12 und C-594/12, ECLI:EU:C:2014:238, Rn. 52.}

^{[12] Brandstätter, GDPR to undergo simplification process, Commissioner McGrath says, https://www.mlex.com/mlex/data-privacy-security/articles/2310472/gdpr-to-undergo-simplification-process-commissioner-mcgrath-says (Stand: 25.04.2025); s. auch McGrath im Interview mit dem Wadhwani, AI Center at the Center for Strategic and International Studies (CSIS) v. 13.03.2025, abrufbar unter https://www.youtube.com/watch?v=wR4cjgXo5lk (Stand: 25.04.2025), Minute 4:41-5:13.}