Die Datenschutz-Grundverordnung (DSGVO) hat seit ihrem Inkrafttreten in der Europäischen Union im Jahr 2018 international große Wirkung entfaltet. Sie setzt strenge Standards für den Datenschutz und den Schutz individueller Rechte.
Gleichzeitig gab es aber auch Kritik an der komplizierten Umsetzung und den schwer verständlichen Anforderungen der DSGVO.
Besonders kleine und mittlere Unternehmen (KMU) stehen vor großen Herausforderungen, da ihnen in der Regel weniger Ressourcen für Aufgaben wie die Einholung gültiger Einwilligungen aller Nutzer:innen, sicheres Datenmanagement oder die Berichterstattung zur Verfügung stehen.
Zugleich können Geldstrafen bei Verstößen, betriebliche Störungen und Reputationsschäden gerade kleinere Unternehmen unverhältnismäßig stark treffen.
Die Regulierungsbehörden haben reagiert und vorgeschlagen, die DSGVO insbesondere für KMU zu vereinfachen. Ziel ist es, den Verwaltungsaufwand für KMU bis 2029 um 35 Prozent und insgesamt um 25 Prozent zu senken.
Gleichzeitig betont die Europäische Kommission (EK), dass der hohe Datenschutzstandard der Verordnung bestehen bleiben soll.
In diesem Artikel schauen wir uns an, welche konkreten Änderungen an der DSGVO geplant sind, wer davon profitieren könnte und welche Auswirkungen diese auf Datenschutzmaßnahmen von Unternehmen und ihr Compliance Management haben könnten.
Wer schlägt die Änderungen an der DSGVO vor?
Die EK hat einen sogenannten Omnibus-Gesetzentwurf vorgelegt, mit dem sie verschiedene Anforderungen der DSGVO vereinfachen will. Am 6. Mai 2025 informierte sie den Europäischen Datenschutzausschuss (EDSA) und den Europäischen Datenschutzbeauftragten (EDSB) in einem Schreiben über die geplanten Änderungen.
Zwei Tage später, am 8. Mai 2025, veröffentlichten EDSA und EDSB ein gemeinsames Antwortschreiben. Darin unterstützen sie die Vorschläge grundsätzlich, betonen jedoch, dass Pflichten bei risikoreichen Datenverarbeitungen unabhängig von der Unternehmensgröße weiterhin gelten müssen.
Zudem forderten sie von der Kommission konkrete Daten dazu, wie viele Organisationen tatsächlich von den vorgeschlagenen Änderungen profitieren würden und welche Auswirkungen dies auf den Datenschutz hätte. Sobald der endgültige Gesetzentwurf vorliegt, beginnt das formelle Konsultationsverfahren.
Am 25. Mai 2025 veröffentlichte die EK schließlich ihren Vorschlag zur Änderung der DSGVO. Im Fokus steht dabei die Entlastung kleiner und mittlerer Unternehmen sowie sogenannter Small- und Mid-Cap-Unternehmen (SMC), die etwa dreimal so groß sind wie klassische KMU.
Welche Änderungen an der DSGVO werden vorgeschlagen?
Die vorgeschlagenen Änderungen sind vergleichsweise geringfügig und betreffen hauptsächlich drei Artikel der DSGVO. Bis es jedoch zu einer tatsächlichen Gesetzesänderung kommt, dürfte noch einige Zeit vergehen.
Wie erwartet, gehen die Meinungen auseinander: Einige halten die Vorschläge für zu weitreichend und sehen den Datenschutz in Gefahr, andere empfinden sie als nicht ausreichend, um die Belastungen kleiner Unternehmen spürbar zu reduzieren.
Ausnahmen bei der Dokumentationspflicht
Artikel 30 der DSGVO sieht derzeit vor, dass KMU sowie andere Organisationen mit weniger als 250 Mitarbeitenden unter bestimmten Voraussetzungen kein Verzeichnis der Verarbeitungstätigkeiten führen müssen.
Der neue Vorschlag würde diese Ausnahme auf Small- und Mid-Cap-Unternehmen (SMC) sowie auf Organisationen mit bis zu 750 Mitarbeitenden ausweiten. Die Dokumentationspflicht soll künftig nur noch gelten, wenn die Datenverarbeitungstätigkeiten ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellt [Art. 30 Abs. 5 DSGVO].
Erweiterte Anforderungen für Verhaltensregeln
Artikel 40 der DSGVO verpflichtet Verbände und andere Einrichtungen, die Verantwortliche oder Auftragsverarbeiter vertreten, zur Erstellung von Verhaltensregeln, die den spezifischen Anforderungen von KMU Rechnung tragen. Mit dem neuen Vorschlag sollen künftig auch SMC in diese Regelung einbezogen werden.
Datenschutz-Zertifizierungen für größere Zielgruppen
Artikel 42 der DSGVO fördert die Einführung datenschutzspezifischer Zertifizierungsverfahren und Datenschutzsiegeln mit besonderem Fokus auf die Bedürfnisse von KMU. Der neue Vorschlag sieht vor, diesen Anwendungsbereich auf SMC auszuweiten.
Reaktionen auf den Vorschlag
Die Vorschläge stoßen nicht nur auf Zustimmung. Die International Association of Privacy Professionals (IAPP) verglich die geplanten Änderungen mit dem Öffnen der Büchse der Pandora, die die DSGVO substanziell schwächen könnte.
Die CCIA Europe bezeichnete die Änderungen als „kosmetische Korrekturen statt struktureller Lösungen“, von denen lediglich 0,2 Prozent der EU-Unternehmen profitieren würden.
Welche Vorteile bringt eine vereinfachte DSGVO für Unternehmen?
Die offensichtlichsten Vorteile einer Vereinfachung der DSGVO liegen auf Seiten der Unternehmen, doch auch Regulierungsbehörden und Verbraucher:innen könnten profitieren.
Vorteile für Unternehmen
Die DSGVO verlangt in vielen Fällen umfangreiche Dokumentationen, um die Datenschutzkonformität nachzuweisen. Gerade für kleinere Unternehmen mit begrenzten finanziellen, technischen und personellen Ressourcen ist das Erstellen und Pflegen dieser Dokumente oft eine große Herausforderung.
Weniger Berichtspflichten und ein geringerer Dokumentationsaufwand könnten Ressourcen freisetzen, die stattdessen in das Kerngeschäft, die Kundenerfahrung und das Unternehmenswachstum fließen. Auch Kosteneinsparungen wären denkbar, etwa für Rechtsberatung oder Softwarelösungen zur Einhaltung der Vorschriften.
So könnten Unternehmen Innovationen schneller vorantreiben und dabei dennoch Datenschutz als Leitprinzip verfolgen. Auch bei der Entwicklung oder Weiterentwicklung neuer Produkte, Services oder Lösungen für das Consent Management dürfte der DSGVO-bezogene Aufwand spürbar sinken.
Außerdem könnten Unternehmen künftige DSGVO-Anpassungen leichter antizipieren und sich besser darauf vorbereiten, was die Einhaltung der Datenschutzvorgaben günstiger und planbarer macht.
Vorteile für Verbraucher:innen
Aus Sicht der Verbraucher:innen könnte die Vereinfachung dazu beitragen, die vorgeschriebene Dokumentation verständlicher zu gestalten. Zum Beispiel durch klarer formulierte Datenschutzrichtlinien und übersichtlichere Consent-Banner auf Websites und in Apps.
So könnten Unklarheiten über die Nutzung personenbezogener Daten und die Rechte der Betroffenen reduziert werden. Auch Auskunftsanfragen über personenbezogene Daten (DSAR) und andere Formen der Rechteausübung könnten durch weniger komplexe Vorgaben effizienter und schneller bearbeitet werden.
Das würde das Vertrauen der Verbraucher:innen in Unternehmen stärken und langfristige Kundenbeziehungen fördern. Gleichzeitig könnten auch die Opt-in-Raten für die Datenerhebung und -verarbeitung steigen.
Vorteile für Regulierungsbehörden
Auch für Datenschutzbehörden (DSB) könnte eine vereinfachte DSGVO eine spürbare Entlastung bedeuten. Sie müssten weniger Zeit darauf verwenden, rechtliche Anforderungen auf individuelle Geschäftsprozesse anzuwenden.
Im Idealfall verringern sich dadurch Unsicherheiten, Prüfungen laufen effizienter ab, und die einheitliche Anwendung der DSGVO in den EU-Mitgliedstaaten wird gestärkt.
Wenn Unternehmen die Vorschriften besser verstehen und umsetzen können, reduziert das Nachfragen und den Aufwand für Aufklärung seitens der Behörden.
Auch das Risiko unbeabsichtigter Verstöße und damit verbundener Bußgelder oder Sanktionen dürfte sinken. Gleichzeitig wäre die Zusammenarbeit mit Unternehmen bei der Behebung von Verstößen und der Aufrechterhaltung der Datenschutzkonformität effizienter.
All diese Überlegungen verfolgen das zentrale Ziel des DSGVO-Vereinfachungsprojekts, EU-Unternehmen weltweit wettbewerbsfähiger zu machen. Darüber hinaus könnten die vorgeschlagenen Änderungen Hemmnisse für ausländische Investitionen und Partnerschaften in der EU abbauen.
Welche Bedenken gibt es bezüglich der vorgeschlagenen DSGVO-Änderungen?
Die Hauptsorge des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten (EDSB) ist, dass der Kern der DSGVO nicht abgeschwächt oder grundlegend verändert wird und der starke Schutz personenbezogener Daten sowie der Privatsphäre der Einzelnen in der EU erhalten bleibt.
Jedoch weckt die Diskussion um Änderungen an der DSGVO – ähnlich wie bei ihrer ursprünglichen Ausarbeitung – Befürchtungen vor intensiver Lobbyarbeit und möglichen übermäßigen Schwächungen der endgültigen Verordnung.
Technologieunternehmen investierten während der Entstehung der DSGVO enorme Ressourcen, um europäische Behörden zu beeinflussen und die Regelungen zugunsten ihrer Interessen zu gestalten.
Viele dieser großen Tech-Konzerne gehören zu den weltweit finanzstärksten Unternehmen und haben ein starkes Interesse daran, möglichst wenige Einschränkungen beim Zugriff auf Nutzerdaten, gezielter Werbung und anderen durch die DSGVO regulierten Funktionen zu haben.
Einige Interessenverbände reichen regelmäßig Beschwerden im Zusammenhang mit der DSGVO und mutmaßlichen Verstößen ein. Kritiker:innen und Datenschutzaktivist:innen befürchten, dass der Abbau rechtlicher Anforderungen zu weiteren Problemen führen und damit die Zahl rechtlicher Auseinandersetzungen erhöhen könnte.
Es ist jedoch wichtig zu betonen, dass die Grundregeln der DSGVO sehr schwer abschaffbar sind, da der Schutz personenbezogener Daten als unveräußerliches Recht in der Charta der Grundrechte der EU verankert ist.
Wie wirken sich die vorgeschlagenen Änderungen auf den Datenschutz aus?
Die grundlegenden Anforderungen der DSGVO würden unverändert bleiben. Organisationen müssten Nutzer:innen weiterhin über ihre Rechte und die Nutzung ihrer Daten informieren sowie deren Einwilligung zur Erhebung und Verarbeitung personenbezogener Daten einholen.
Wie bereits erwähnt, könnte sich die Nutzererfahrung in Bezug auf Datenschutz verbessern, wenn Datenschutzerklärungen, Hinweise und andere verpflichtende Informationen für Betroffene vereinfacht und übersichtlicher gestaltet werden.
Da sich die geplanten Änderungen vor allem an KMU richten, besteht allerdings das Risiko, dass sich langfristig eine Art zweistufige DSGVO entwickelt. Große Unternehmen müssten dann womöglich strengere Anforderungen erfüllen, was Wachstum und Innovation bremsen könnte, während kleinere Firmen weniger Auflagen hätten und dadurch flexibler und wettbewerbsfähiger agieren könnten.
Trotz anhaltender Lobbyarbeit – insbesondere aus der Tech-Branche – zur Abschwächung der DSGVO-Anforderungen gibt es ebenso starke Gegenstimmen, die sich dafür einsetzen, dass Datenschutzrechte und der Schutz personenbezogener Daten unter der DSGVO uneingeschränkt erhalten bleiben.
Deutscher Koalitionsvertrag und Datenschutz
Im Mai 2025 hat die neue Bundesregierung in Deutschland einen Koalitionsvertrag unterzeichnet. Die beteiligten Parteien haben sich dabei auf eine gemeinsame politische Agenda, Prioritäten und Gesetzesinitiativen verständigt.
Der Vertrag schafft Transparenz gegenüber der Öffentlichkeit hinsichtlich der Ziele und Vorhaben der Regierung, die sich auch auf den Datenschutz und die Rechte von Einzelpersonen auswirken können. Besonders relevante und potenziell weitreichende Punkte für den Datenschutz in Deutschland im Zusammenhang mit den geplanten DSGVO-Änderungen sind:
- Der Ausschluss von KMU aus bestimmten Anwendungsbereichen der DSGVO bei gleichzeitiger Wahrung hoher Datenschutzstandards
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) soll zentralisiert werden
- Die Einführung einer europäischen Brieftasche für die digitale Identität (EUDI)
Darüber hinaus werden weitere Themen diskutiert, auch wenn es hierzu bislang keine konkreten Gesetzesentwürfe oder Beschlüsse gibt:
- Ein „Single Sign-on“-Prinzip, bei dem Einzelpersonen ihre Daten nur einmal bei öffentliche Behörden angeben müssen und diese dann (mit entsprechender Einwilligung und Zugriffskontrolle) von den Behörden geteilt werden
- Die Einführung von Opt-out-Lösungen für Datenverarbeitung bei staatlichen Dienstleistungen
- Die Abschaffung des deutschen Lieferkettengesetzes zugunsten einer weniger bürokratischen Alternative
- Der Ausbau Deutschlands zu einem führenden Standort für den Einsatz und die Weiterentwicklung von KI, vor allem im öffentlichen Sektor
Best Practices zur Stärkung von Datenschutz und Wettbewerbsfähigkeit
Die zentralen Anforderungen und Ziele der DSGVO sollten unbedingt erhalten bleiben, da sie die Grundlage für den Schutz von Nutzer:innen und Unternehmen in der EU bilden. Diese Prinzipien haben auch weltweit großen Einfluss auf Datenschutzgesetze gehabt, weshalb andere Länder die Weiterentwicklung der DSGVO genau beobachten und mögliche Anpassungen als Orientierung für ihre eigenen Gesetze nutzen.
Auch wenn sich viele Unternehmen über weniger bürokratische Hürden freuen würden, bieten die Kernanforderungen der DSGVO klare Vorteile, sowohl für Unternehmen als auch für deren Kund:innen. Entscheidend ist dabei, dass Unternehmen ihre internen Prozesse, Technologien und Kundschaft genau kennen. Wer DSGVO-Datenschutzmaßnahmen gezielt umsetzt, kann den Ressourcenbedarf gering halten und gleichzeitig ein positives Nutzererlebnis schaffen.
Eine Consent Management Platform (CMP) spielt hier eine zentrale Rolle. Sie informiert Nutzer:innen transparent über die Datenverarbeitung, bietet echte Wahlmöglichkeiten beim Consent Management und sorgt für sichere Speicherung sowie einfache Dokumentation der Historie der Einwilligungen. So können Unternehmen Auskunftsanfragen und Prüfungen effizienter bearbeiten.
Da sich Technologien und Verbraucherbedürfnisse ständig weiterentwickeln, wächst auch der Druck durch den globalen Wettbewerb. Gleichzeitig nimmt die Menge an digitalen personenbezogenen Daten, die Menschen online erzeugen, stetig zu – genauso wie die Nachfrage nach deren Nutzung.
Die große Herausforderung für Regulierungsbehörden besteht darin, Gesetze zu schaffen, die stark und gleichzeitig flexibel genug sind, um mit diesen Entwicklungen Schritt zu halten. Glücklicherweise bieten Unternehmen wie Usercentrics KMU und Großunternehmen die passenden Tools, um langfristig rechtskonform zu bleiben und gleichzeitig eine vertrauensvolle Marke aufzubauen.
Werden Sie jetzt Teil unserer wachsenden Gemeinschaft von Datenschutz-Enthusiasten. Abonnieren Sie den Usercentrics-Newsletter und erhalten Sie die neuesten Updates direkt in Ihren Posteingang.