GDPR neu denken: Weniger Ballast für den Alltag, mehr Schutz bei echtem Risiko 

Manchmal kippt ein System, weil es zu gut gemeint ist. Genau hier setzt ein frischer Vorschlag des European Law Institute (ELI) an. Die Idee ist, Datenschutz dort zu vereinfachen, wo das Risiko gering ist, und dort gezielt zu verschärfen, wo viel auf dem Spiel steht. Ein Vorschlag mit Wirkung für alle, die Daten verarbeiten, vom Mittelstand bis zum Plattformkonzern.

Der Impuls kommt aus zwei Richtungen. Erstens die Klage vieler kleiner Unternehmen über hohen Aufwand bei Routineverarbeitung. Zweitens die Reibungen zwischen DSGVO und neuen Digitalgesetzen, besonders bei KI. Das ELI schlägt deshalb eine zielgenaue Revision der DSGVO im Rahmen des Digital Package vor. Kernstück ist ein dreistufiges Regime: ein leichtes Programm für kleine, nicht datengetriebene Akteure bei Alltagsverarbeitung, der heutige Standard für den Rest und ein erweitertes Set zusätzlicher Pflichten für große, datenintensive Player bei Hochrisikooperationen.

Gabriel Montiel
Gabriel Montiel
Berater Datenschutz
Bitkom Consult

Hinzu sollen zwei Listen kommen, die die Richtung schärfen sollen. Eine Blacklist verbietet bestimmte Praktiken grundsätzlich, etwa das Erzwingen von Datenfreigaben über manipulative Designs. Auf der anderen Seite stehen ausdrücklich ausgenommene Minimalrisiko-Fälle, etwa sehr kurzlebige Sensordaten mit wirksamer Anonymisierung oder Unternehmensdaten, die nicht auf die Person zielen. Unternehmen können damit klarer trennen, was wirklich unter die DSGVO fällt und was nicht.

Besonders praxisrelevant ist die geplante Harmonisierung von Hochrisiko-Verarbeitung. Dazu zählt das Handeln mit personenbezogenen Daten, das Profiling außerhalb vertraglich notwendiger Zwecke, die systematische Überwachung öffentlich zugänglicher Räume sowie der Umgang mit Biometrics und Gesundheitsdaten. Wer hier aktiv ist, muss mit zusätzlichen Pflichten rechnen, etwa stärkerer Transparenz und Audits. Für kleine Organisationen gilt also auch, dass sobald eine Hochrisiko-Verarbeitung vorliegt, wieder das volle Programm greift.

Zwei weitere Baustellen adressiert der Entwurf direkt. Erstens das vielzitierte Artikel-9-Problem. Der Schutzbereich für besondere Kategorien soll präziser umrissen und um klare Erlaubnistatbestände ergänzt werden, etwa wenn es um Bias-Erkennung geht. Zweitens schafft der Text mehr Rechtssicherheit für das Training von KI auf großen, heterogenen Datensätzen. So entsteht Planungssicherheit, ohne das Prinzip der Zweckbindung zu verlassen.

Europaweit operierende Unternehmen kennen die Fragmentierung der Aufsicht aus dem Alltag. Der Vorschlag setzt hier mit einem Konfliktregelwerk an und plädiert für stärker zentralisierte Zuständigkeiten bei sehr großen Akteuren. Damit würden grenzüberschreitende Prozesse einfacher, Entscheidungen einheitlicher und Time to Compliance kürzer.

Was heißt das konkret für Ihr Haus im Jahr 2026? Erstens, trennen Sie konsequent Alltagsverarbeitung von Hochrisiko-Use-Cases. Zweitens, inventarisieren Sie Datenflüsse zu Dritten, insbesondere dort, wo wirtschaftliche Gegenleistungen im Spiel sind. Drittens, prüfen Sie Einwilligungs- und Widerrufswege, auch in Richtung Intermediäre wie PIMS. Viertens, gestalten Sie Auftragsverarbeitungsbeziehungen so, dass Pflichten rechtssicher beim Richtigen liegen, ohne unnötige Papiermechanik.

Bitkom Consult unterstützt Sie dabei, die vorgeschlagenen Weichenstellungen in Governance, Prozesse und Verträge zu übersetzen. Von der Risiko-Klassifizierung über Consent-Architektur bis zur Vorbereitung auf mögliche Audits bei Hochrisiko-Szenarien.

Wenn Sie wissen wollen, was diese Reformvorschläge für Ihre Roadmap bedeuten, sprechen Sie mit uns über Ihre Compliance-Strategie unter datenschutz@bitkom-consult.de.

Share