DSGVO-Reform: Deutsche Wirtschaft fordert radikale Entlastung

Die europäische Datenschutzdebatte spitzt sich zu. Während die EU-Kommission mit ihrem „Digital Omnibus” erstmals seit 2018 eine DSGVO-Reform vorlegt, gehen der deutschen Wirtschaft die geplanten Änderungen nicht weit genug. Eine aktuelle Bitkom-Umfrage zeigt: 79 Prozent der Unternehmen fordern grundlegende Korrekturen am Datenschutzrecht.

Der Grund für den Unmut? 97 Prozent der Betriebe empfinden ihre Compliance-Aufwände bereits heute als „hoch” oder „sehr hoch”. Und mehr noch: 77 Prozent sehen in den aktuellen DSGVO-Anforderungen eine echte Bremse für die Digitalisierung – ein deutlicher Anstieg gegenüber 70 Prozent im Vorjahr.

Am 19. November 2025 präsentierte die EU-Kommission ihr Reformpaket zur Modernisierung der Datenschutz-Grundverordnung. Das Ziel: Die DSGVO fit für das KI-Zeitalter machen. Doch reicht das aus?

Die wichtigsten Neuerungen im Überblick:

KI-Training ohne Einwilligung? Ein neuer Artikel 88c soll es Unternehmen erlauben, personenbezogene Daten zum Training, Testen und Validieren von KI-Modellen auf Basis des „berechtigten Interesses” zu nutzen – ohne strikte Nutzereinwilligung. Eine Forderung, die Tech-Konzerne seit Jahren erheben.

Passend zum Thema KI-Training und Regulierung: Seit 1. August 2024 gilt die EU-KI-Verordnung – und viele Unternehmen riskieren Bußgelder, weil sie Kennzeichnungs- und Dokumentationspflichten nicht kennen. Unser kostenloser Umsetzungsleitfaden erklärt praxisnah Risikoklassen, Kennzeichnungspflichten und welche Dokumentation Ihr KI‑Projekt benötigt – speziell mit Blick auf DSGVO‑Schnittstellen. Mit Checklisten und konkreten To‑Dos helfen wir Ihnen, Compliance-Aufwände planbar zu machen. Jetzt kostenlosen KI-Compliance-Guide herunterladen

Neubestimmung personenbezogener Daten: Die Reform übernimmt die „relative” Definition aus dem jüngsten EuGH-Urteil (SRB). Daten gelten nur dann als personenbezogen, wenn der Verarbeiter über realistische Mittel zur Re-Identifizierung verfügt. Eine Einschränkung, die den Anwendungsbereich der DSGVO deutlich verengen könnte.

Zentrale Meldestelle für Datenpannen: Künftig sollen Unternehmen Datenschutzvorfälle nur noch einmal zentral melden müssen – nicht mehr parallel an Behörden unter DSGVO, NIS2 und Cyber Resilience Act.

Rechtsexperten der Kanzlei White & Case bezeichneten die Reform am 2. Dezember als „potenziellen Paradigmenwechsel”. Tatsächlich würden zentrale Forderungen der Digitalwirtschaft erstmals rechtlich kodifiziert.

Industrie-Urteil: „Strukturelle Hürden bleiben bestehen”

Doch die Wirtschaft bleibt skeptisch. Die am 3. Dezember veröffentlichte Bitkom-Umfrage zeichnet ein ernüchterndes Bild: 71 Prozent der Unternehmen wollen eine grundlegende „Lockerung” der DSGVO.

„Wir sollten diese Bewertung ernst nehmen”, mahnte Bitkom-Vorständin Susanne Dehmel. „Mit dem Digital Omnibus hat die EU-Kommission wichtige Schritte eingeleitet. Aber die strukturellen Hürden bleiben.”

Die konkreten Forderungen der Betriebe gehen deutlich über Brüssels Vorschlag hinaus:

• 54 Prozent wollen mehr Möglichkeiten zur Datenverarbeitung ohne Einwilligung
• Ein Drittel fordert die Abschaffung der Datenschutzbeauftragten-Pflicht – besonders kleinere Firmen empfinden diese als unverhältnismäßig belastend

Kann die EU diesen Spagat schaffen – zwischen Schutz der Privatsphäre und wirtschaftlicher Wettbewerbsfähigkeit?

Der KI-Engpass: Zu wenig, zu spät?

Besonders brisant: die Schnittstelle zwischen DSGVO und Künstlicher Intelligenz. Zwar begrüßt die Industrie die geplante Erlaubnis zum KI-Training auf Basis „berechtigten Interesses”. Doch Rechtsexperten warnen bereits vor neuen Fallstricken.

Das Problem: Auch unter Artikel 88c müssen Unternehmen detaillierte Abwägungstests durchführen und Widerspruchsrechte anbieten. Die bürokratische Last verschiebt sich also lediglich – verschwindet aber nicht.

Für Entwickler von Large Language Models bedeutet das: Die erhoffte „grüne Ampel” für schnelle Innovation bleibt aus. Stattdessen droht ein neues Compliance-Labyrinth – mit anderem Namen.

Ausblick: Der Marathon beginnt erst

Die Präsentation des „Digital Omnibus” markiert lediglich den Startschuss für einen vermutlich zähen Gesetzgebungsprozess. EU-Parlament und Rat müssen den Vorschlag nun verhandeln und beschließen.

Für Unternehmen heißt das konkret: Die aktuellen Regeln gelten auf absehbare Zeit weiter. „Es geht darum, die DSGVO nach sieben Jahren praktikabel zu machen”, betonte Dehmel vergangene Woche.

Während die Verhandlungen in Brüssel 2026 Fahrt aufnehmen, dürfte der Grundkonflikt nur noch schärfer werden: Datenschutz auf höchstem Niveau – oder europäische Wettbewerbsfähigkeit im globalen KI-Rennen? Die Antwort auf diese Frage wird über die digitale Zukunft Europas entscheiden.

Übrigens: Wenn Ihr Unternehmen KI-Systeme entwickelt oder nutzt, sollten Sie die neuen Pflichten frühzeitig einplanen. Das kostenlose E‑Book zur EU-KI-Verordnung fasst übersichtlich zusammen, welche Anforderungen, Übergangsfristen und Nachweispflichten auf Sie zukommen und bietet eine praktische To‑Do‑Liste für die Umsetzung. Ideal für Entwickler, Datenschutzverantwortliche und Entscheider – inklusive Checklisten und konkreten Handlungsanweisungen. KI-Verordnung-Umsetzungsleitfaden kostenlos anfordern