EU-Datenschutz: Kommission plant drastische DSGVO-Aufweichung

Die Europäische Kommission will die Datenschutz-Grundverordnung im großen Stil reformieren – und löst damit einen Proteststurm aus. Ein durchgesickerter Entwurf zeigt: Was als Bürokratieabbau für kleine Unternehmen verkauft wird, könnte fundamentale Grundrechte aushebeln. Droht dem europäischen Datenschutz-Vorzeigeprojekt die Demontage?

Das Leak kam keine Woche vor der offiziellen Veröffentlichung. Anfang November gelangte der Entwurf für das sogenannte “Omnibus IV”-Paket an die Öffentlichkeit – und die Alarmglocken bei Datenschützern schrillen seitdem ohne Unterlass. Was die Kommission für den 19. November 2025 als Vereinfachung ankündigt, bezeichnen Bürgerrechtsorganisationen als gezielten Angriff auf die DSGVO. Der globale Goldstandard für Datenschutz steht vor seiner bislang größten Bewährungsprobe.

Im Kern geht es um Erleichterungen für kleinere und mittlere Unternehmen. Die Kommission schafft dafür eine neue Kategorie: “kleine mittelgroße Unternehmen” mit bis zu 750 Mitarbeitern, maximal 150 Millionen Euro Umsatz oder 129 Millionen Euro Bilanzsumme. Diese Firmen sollen künftig von zentralen DSGVO-Pflichten befreit werden.

Besonders brisant: Die Dokumentationspflicht für Datenverarbeitungen nach Artikel 30 würde faktisch ausgehebelt. Statt alle Verarbeitungsprozesse penibel zu erfassen, müssten betroffene Unternehmen nur noch “Hochrisiko”-Aktivitäten dokumentieren. Das Argument der Kommission klingt plausibel – Ressourcen auf das Wesentliche konzentrieren. Doch wo verläuft die Grenze zwischen Entlastung und Kontrollverlust?

Passend zum Thema Dokumentationspflichten nach Art. 30 – fehlende oder lückenhafte Verzeichnisse können Unternehmen teuer zu stehen kommen. Bußgelder von bis zu 2% des Jahresumsatzes drohen, wenn das Verarbeitungsverzeichnis nicht rechtssicher ist. Diese kostenlose Excel-Muster-Vorlage erklärt Schritt für Schritt, welche Einträge Prüfer erwarten, und enthält ein E-Book zur schnellen Umsetzung. Jetzt kostenlose Verarbeitungsverzeichnis-Vorlage herunterladen

Werbeindustrie dürfte jubeln

Noch brisanter sind die geplanten Änderungen beim Begriff der “personenbezogenen Daten”. Laut dem Leak könnten pseudonyme Kennungen wie Werbe-IDs und Cookies künftig aus dem DSGVO-Schutzbereich herausfallen – sofern sie sich nicht direkt einer Person zuordnen lassen. Was technisch klingt, hätte weitreichende Konsequenzen: Online-Tracking und Profiling, heute rechtlich heikel, wären plötzlich legal.

Für die Werbeindustrie käme das einem Freifahrtschein gleich. Für Nutzer bedeutet es: weniger Kontrolle über ihre digitalen Spuren. Datenschutzorganisationen wie noyb, European Digital Rights und der Irish Council for Civil Liberties schlagen Alarm. In einem gemeinsamen Brief warnen sie vor einer “Deregulierung der DSGVO-Kernelemente”. Ihr Vorwurf wiegt schwer: Die Kommission breche frühere Zusagen und handle ohne vorherige öffentliche Konsultation.

Cookie-Banner vor dem Aus?

Das Omnibus-Paket beschränkt sich nicht auf die DSGVO. Auch der AI Act und der Data Act sollen überarbeitet werden. Besonders pikant: Die seit Jahren verschleppte ePrivacy-Verordnung soll kurzerhand in die DSGVO integriert werden. Das würde die Cookie-Regeln fundamental verändern.

Statt des bisherigen “Opt-in”-Prinzips – Zustimmung erforderlich – könnte ein “Opt-out”-Modell kommen. Unternehmen dürften dann bestimmte Daten auf Basis eines “berechtigten Interesses” sammeln, ohne vorher zu fragen. Die nervigen Cookie-Banner verschwänden zwar. Doch der Preis wäre hoch: Nutzer müssten aktiv widersprechen, statt bewusst zuzustimmen.

Wirtschaft gegen Grundrechte?

Die Kommission navigiert hier durch ein Minenfeld. Seit Einführung 2018 spaltet die DSGVO die Gemüter. Datenschützer feiern sie als Meilenstein, Unternehmen klagen über Bürokratie-Exzesse. Mit Omnibus IV versucht Brüssel offenkundig, die Wirtschaft zu besänftigen – auf Kosten der Grundrechte?

Die Befürworter argumentieren mit Wettbewerbsfähigkeit und Innovationskraft. Tatsächlich könnten Tausende europäische Firmen Compliance-Kosten sparen. Kritiker kontern: Das Vertrauen der Bürger und rechtliche Klarheit stünden auf dem Spiel. Jahrelange Gerichtsprozesse zur Neuinterpretation zentraler Begriffe seien vorprogrammiert. Am Ende könnte mehr Chaos entstehen als beseitigt wird.

Globales Vorbild wackelt

Was in Brüssel entschieden wird, strahlt weit über Europa hinaus. Dutzende Staaten weltweit haben ihre Datenschutzgesetze an der DSGVO ausgerichtet. Eine Aufweichung des EU-Standards könnte einen globalen Domino-Effekt auslösen – mit unabsehbaren Folgen für den digitalen Grundrechtsschutz.

Die offizielle Veröffentlichung am 19. November ist erst der Startschuss. Monatelange Verhandlungen zwischen EU-Parlament und Ministerrat stehen bevor. Angesichts des heftigen Widerstands dürfte es ein zähes Ringen werden. Technologiekonzerne, Wirtschaftsverbände und Bürgerrechtsgruppen mobilisieren bereits ihre Lobbyisten.

Die entscheidende Frage bleibt: Kann Europa seinen eigenen Anspruch halten, Grundrechte über Wirtschaftsinteressen zu stellen? Oder markiert Omnibus IV eine Kehrtwende – weg vom Datenschutz als Grundrecht, hin zur Deregulierung im Namen der Wettbewerbsfähigkeit? Die Antwort wird die digitale Zukunft prägen – in Europa und darüber hinaus.

PS: Sie müssen nicht stundenlang Dokumente zusammenstellen – erstellen Sie Ihr Verarbeitungsverzeichnis in weniger als einer Stunde. Die kostenlose, vollständig editierbare Excel-Vorlage enthält alle Pflichtfelder nach Art. 30 und eine Anleitung, welche Prozesse als “Hochrisiko” gelten. Ideal für Datenschutzbeauftragte und kleine bis mittlere Unternehmen, die jetzt schnell Rechtssicherheit brauchen. Vorlage jetzt kostenlos sichern