DSGVO-Reform: EU plant weitreichende Lockerungen für Unternehmen

Die Europäische Union steht vor einer möglichen Kehrtwende beim Datenschutz. Während italienische und finnische Aufsichtsbehörden aktuell neue Bußgelder verhängen, arbeitet die EU-Kommission im Stillen an einer umfassenden Deregulierung. Ein durchgesickerter Entwurf zum „Digital-Omnibus”-Paket zeigt: Die strengen DSGVO-Regeln könnten bald erheblich gelockert werden – vor allem für kleine und mittlere Betriebe.

Doch kann die EU wirklich gleichzeitig Grundrechte schützen und die Wirtschaft entfesseln? Die geplanten Änderungen offenbaren ein grundlegendes Dilemma zwischen Bürgerschutz und Wettbewerbsfähigkeit. Besonders brisant: Ausgerechnet im Zeitalter der künstlichen Intelligenz sollen die Regeln flexibler werden.

Um den 19. November 2025 will die EU-Kommission ihr umstrittenes Reformpaket offiziell vorstellen. Geleakte Dokumente geben bereits jetzt einen Einblick in die geplanten Änderungen – und die haben es in sich. Im Fokus steht die Entlastung von Klein- und Mittelunternehmen sowie Betrieben mit weniger als 750 Mitarbeitern. Diese „Small Mid-Caps” leiden besonders unter den bisherigen Berichtspflichten.

Die Kommission plant, gleich mehrere Digitalgesetze auf einmal zu überarbeiten: Die DSGVO, den AI Act und den Data Act. Ein besonders heikler Punkt: Die ePrivacy-Regeln, die bisher Cookie-Banner rechtfertigen, könnten direkt in die DSGVO integriert werden. Was bedeutet das konkret? Unternehmen müssten künftig nicht mehr zwingend um Einwilligung bitten, sondern könnten sich auf „berechtigtes Interesse” berufen.

Passend zum Thema KI-Regulierung – die EU-KI-Verordnung bringt seit August 2024 neue Pflichten für Anbieter und Nutzer von KI-Systemen. Während das Omnibus-Paket Änderungen ankündigt, dürfen Sie Kennzeichnungspflichten, Risikoklassifizierungen und umfassende Dokumentationsanforderungen nicht unterschätzen. Unser kostenloser Umsetzungsleitfaden erklärt praxisnah, welche Pflichten auf Ihr Unternehmen zukommen, wie Sie Bias-Korrektur rechtssicher durchführen und welche Fristen jetzt gelten. Inklusive Checklisten und Umsetzungstipps. KI-Verordnung jetzt gratis herunterladen

Noch brisanter wird es bei sensiblen Daten. Die Reform könnte es erlauben, besondere Datenkategorien nach Artikel 9 DSGVO zu verarbeiten – wenn dies der Bias-Korrektur in KI-Systemen dient. Datenschützer schlagen Alarm: Sie befürchten eine schleichende Aushöhlung der Grundrechte durch die Hintertür.

Banken im Visier: Aufsichtsbehörden zeigen keine Gnade

Während in Brüssel über Lockerungen debattiert wird, läuft die Durchsetzungsmaschinerie auf Hochtouren. Der Europäische Datenschutzausschuss meldete am 18. November gleich mehrere neue Sanktionen. Eine italienische Bank muss 100.000 Euro zahlen – Grund: Sie verletzte das Auskunftsrecht bei Aufzeichnungen von Telefonaten.

In Finnland traf es am selben Tag sogar zwei Geldinstitute wegen mangelhafter Datensicherheit. Kein Einzelfall: Bereits in der Vorwoche kassierte ein Telekommunikationsunternehmen ein Bußgeld von 4,5 Millionen Euro. Die Botschaft ist klar: Die Behörden bleiben wachsam, ungeachtet aller Deregulierungspläne.

Seit 2018 summieren sich die Strafen auf über 5,6 Milliarden Euro. Die häufigsten Verstöße? Fehlende Rechtsgrundlagen für die Datenverarbeitung, unzureichende Sicherheitsmaßnahmen und die Missachtung fundamentaler Datenschutzprinzipien. Auch vermeintlich kleine Vergehen werden konsequent geahndet – ein Signal, das bei vielen Unternehmen für Nervosität sorgt.

Von Meta bis Vodafone: Die Milliardenstrafen der letzten Jahre

Die Rekordliste der DSGVO-Bußgelder liest sich wie ein Who-is-Who der Technologiebranche. An der Spitze steht Meta mit einer beispiellosen Strafe von 1,2 Milliarden Euro im Mai 2023. Der Vorwurf: unzulässige Datenübermittlung in die USA. Für den Konzern war es ein finanzieller Schlag – und ein Warnsignal an die gesamte Branche.

LinkedIn folgt mit 310 Millionen Euro im Oktober 2024, TikTok musste 2023 rund 345 Millionen Euro berappen. Diese Summen demonstrieren eindrücklich den sogenannten „Brussels Effect”: EU-Regulierungen entwickeln sich faktisch zum globalen Standard, dem sich selbst US-Giganten beugen müssen.

Auch deutsche Unternehmen bleiben nicht verschont. Vodafone traf es im Juni 2025 mit 45 Millionen Euro – eine der höchsten nationalen Sanktionen überhaupt. Die Aufsichtsbehörden haben in den vergangenen Jahren ihre Schlagkraft systematisch ausgebaut. Was einst als zahnloser Papiertiger belächelt wurde, entpuppt sich zunehmend als schlagkräftiges Regulierungsinstrument.

Zwischen Innovation und Überwachung: Der Spagat wird größer

Die EU-Kommission steht vor einer kaum zu lösenden Aufgabe. Einerseits fordern Unternehmen seit Jahren Erleichterungen. Besonders KMU klagen über lähmende Dokumentationspflichten und komplexe Compliance-Anforderungen. Die wirtschaftliche Wettbewerbsfähigkeit Europas, so die Argumentation, leide unter der Regulierungswut aus Brüssel.

Andererseits hat sich die EU mühsam einen Ruf als Vorreiterin im digitalen Grundrechtsschutz erarbeitet. Dieses Image aufs Spiel zu setzen, wäre politisch riskant. Datenschutzverbände und sozialdemokratische Abgeordnete im EU-Parlament haben bereits angekündigt, jeden Versuch einer „Erosion der Grundprinzipien” zu bekämpfen. Sie warnen vor einer Verwässerung der Definition personenbezogener Daten.

Besonders heikel wird die Debatte beim Thema künstliche Intelligenz. Die geplanten Lockerungen bei sensiblen Daten zur Bias-Korrektur klingen technisch sinnvoll – öffnen aber potenziell Schlupflöcher für weitreichende Datenverarbeitung. Kann man KI wirklich „fair” trainieren, ohne dabei die Privatsphäre der Bürger systematisch zu unterhöhlen?

Was kommt jetzt? Das Ringen um die Zukunft des Datenschutzes

Nach der offiziellen Vorstellung des Omnibus-Pakets beginnt der eigentliche Kraftakt. Der Entwurf muss die Verhandlungen zwischen Europäischem Parlament und den Mitgliedstaaten durchlaufen – ein Prozess, der Monate dauern und den Vorschlag grundlegend verändern könnte. Intensive Lobbyarbeit von allen Seiten ist garantiert.

Parallel plant der EDPB für 2025 eine koordinierte Prüfungsaktion zum „Recht auf Löschung”. Unternehmen sollten sich darauf einstellen, dass die Behörden gerade in dieser Übergangsphase besonders genau hinschauen. Wer jetzt auf baldige Lockerungen spekuliert und die Compliance vernachlässigt, geht ein hohes Risiko ein.

Die kommenden Monate werden zeigen, ob Europa den Spagat schafft – oder ob am Ende eine der beiden Seiten, Wirtschaft oder Bürgerrechte, das Nachsehen hat. Die jüngsten Bußgelder sind jedenfalls eine unmissverständliche Botschaft: Bis die Reform in Kraft tritt, gilt die DSGVO unverändert. Und die wird mit aller Konsequenz durchgesetzt.

Übrigens: Viele Bußgelder entstehen nicht durch bewusste Verstöße, sondern durch lückenhafte Dokumentation. Wenn Aufsichtsbehörden Prüfaktionen zum Recht auf Löschung und anderen Rechten starten, ist ein vollständiges Verarbeitungsverzeichnis nach Art. 30 DSGVO Ihre beste Absicherung. Unser kostenloses Excel-Muster führt Sie Schritt für Schritt durch die erforderlichen Einträge, schließt häufige Lücken und hilft, teure Sanktionen zu vermeiden. Verarbeitungsverzeichnis kostenlos herunterladen