Seit die EU-Kommission ihren Vorschlag für den Digital Omnibus veröffentlicht hat, spitzt sich die Diskussion rund um die Arbeitsbelastung der DSGVO immer weiter zu.

(WK-intern) – Die EU-Kommission will unter anderem das Recht auf Auskunft und die Definition persönlicher Daten einschränken, angeblich um den Verwaltungsaufwand zu reduzieren.

Aber tragen diese Vorschläge tatsächlich zum Bürokratieabbau in Unternehmen bei?

noyb hat eine Umfrage unter Datenschutzbeauftragten durchgeführt, um herauszufinden, welche Elemente der DSGVO die meiste Zeit in Anspruch nehmen – und wo sie am besten investiert ist, um den Datenschutz der Menschen zu gewährleisten.

Hier zeigt sich, dass die meisten Fachleute keine Einschränkung der Schutzmaßnahmen, sondern eine Reduktion der Dokumentationspflichten und des Verwaltungsaufwands wollen. In vielen Fällen fordern sie sogar klarere Gesetze statt mehr „Flexibilität“, die für die meisten Unternehmen schwer zu handhaben ist.

Informationen aus erster Hand. Das Hauptargument der EU-Kommission, die DSGVO zu ändern, ist eine Verringerung der angeblichen „regulatorischen Last“ für europäische Unternehmen. In Wirklichkeit greift die Kommission jedoch direkt in die Kernelemente des Gesetzes ein. Unter anderem schlägt sie eine Einschränkung der Definition persönlicher Daten und des Rechts auf Auskunft vor. Außerdem soll der Weg für das KI-Training geebnet werden. Das wirft die Frage auf: Helfen diese Änderungen dem durchschnittlichen europäischen Unternehmen? Werden interne Datenschutzbeuftragte und andere Compliance-Mitarbeiter:innen nun tatsächlich weniger Aufwand haben? noyb hat eine Umfrage unter Datenschutzfachleuten durchgeführt, um genau diese Fragen zu beantworten – und um mehr über die Bedürfnisse der Menschen zu erfahren, die täglich mit der DSGVO arbeiten. Hier zeigt sich ein eklatanter Unterschied zwischen ihren Einschätzungen und dem Reformansatz der EU-Kommission.

Max Schrems, Vorstandsvorsitzender von noyb: „Diese Studie zeigt eine enorme Kluft zwischen den Bedürfnissen der Menschen, die täglich mit Compliance zu tun haben, und den in der ‚Brüsseler Lobby-Blase‘ diskutierten Themen. Der Vorschlag der EU-Kommission hilft normalen Unternehmen nicht. Er schränkt oft sogar das ein, was Fachleute als nützlich erachten.“

Betroffenenrechte: Geringer Aufwand, große Wirkung. Die Mehrheit der Befragten gab an, dass Betroffenenrechte (Artikel 15 bis 21) keinen großen Arbeitsaufwand verursachen. Dabei ist besonders hervorzuheben, dass mehr als 70 % von ihnen angaben, dass das Auskunftsrecht (Artikel 15) nur „etwas“, „wenig“ oder gar keinen Aufwand verursacht. Gleichzeitig wird Artikel 15 als nützliches Instrument zum Schutz von Betroffenenrechten angesehen. Dies entspricht noybs Erfahrung aus der Praxis: Die meisten Unternehmen erhalten nur sehr wenige Auskunftsersuchen (SARs). Bestimmte Unternehmen (Big Tech, Datenbroker, Kreditauskunfteien) erhalten zwar oft sehr viele Anfragen, verfügen jedoch über automatisierte SAR-Systeme. Es ist daher überraschend, dass der Digital Omnibus eine Einschränkung von Artikel 15 DSGVO vorsieht. Dies würde es Europäer:innen erschweren, ihre Datenschutzrechte durchzusetzen.

DSGVO-Grundsätze: erheblicher Aufwand, großer Nutzen. Erwartungsgemäß verursachen die Grundsätze gemäß Artikel 5 bis 11 DSGVO (z.B. Grundsätze für die Verarbeitung persönlicher Daten oder Bedingungen für die Einwilligung) einen erheblichen Arbeitsaufwand. Die Befragten stuften diese Vorschriften jedoch auch als zweitwichtigstes Element zum Schutz von Betroffenenrechten ein. Das Gleiche gilt für die Transparenzpflichten gemäß Artikel 13 und 14.  welche die EU-Kommission ebenso einzuschränken möchte.

Echte Vereinfachung: Abkehr vom „one size fits all“-Ansatz. Der „risikobasierte Ansatz“ der DSGVO wurde als Möglichkeit angesehen, die Belastung für kleinere Unternehmen im Rahmen eines „one size fits all“-Gesetz zu begrenzen. Fachleute berichten jedoch genau das Gegenteil: Es wird häufig beklagt, dass große Unternehmen mit unklaren Texten und interpretierbare „Risikobewertungen“ umgehen können, während kleineren Unternehmen dafür die Ressourcen fehlen. Die Befragten bevorzugten ganz klar ein System mit Schwellenwerten ( basierend auf relevanten Kennzahlen wie Nutzer:innenzahlen.  Ein Großteil der Befragten vertreten größere Unternehmen (500+ Beschäftigte). Dennoch gaben 70 % von ihnen an, dass es strengere Regeln für große Unternehmen braucht. 

Max Schrems: „Seit vielen Jahren wird darüber diskutiert, Unternehmen in der DSGVO in verschiedene Klassen  zu unterteilen. Derzeit unterliegt ein kleiner Verein wie noyb im Allgemeinen denselben Vorschrifen wie Google und Co. Statt einer klaren Unterteilung will die EU-Kommission flexible „Risikoelemente“ zum Gesetz hinzufügen. Das bedeutet, dass die meisten Unternehmen Jurist:innen benötigen würden, um zu wissen, ob ein DSGVO-Artikel überhaupt auf sie zutrifft.“

Weniger „Risiko“, mehr Klarheit durch Whitelists und Blacklists. Die meisten Teilnehmer:innen (83,3 %) sprechen sich für eine Whitelist für Datenverarbeitungen aus, während 91,1 % eine Blacklist befürworten. Eine große Mehrheit ist der Ansicht, dass solche Listen den Unternehmen „viel Arbeit“ ersparen würden und Rechtssicherheit schaffen würden. Überraschenderweise sind die befragten Datenschutzbeauftragten nicht der Meinung, dass eine Blacklist (ähnlich wie in Artikel 5 AI Act) Unternehmen zu sehr einschränken würde. Es scheint, dass Rechtssicherheit gegenüber flexiblen Gesetzen bevorzugt wird.

Reduzierung der B2B-Compliance-Kosten. Überraschenderweise verursacht die DSGVO auch hohe Compliance-Kosten zwischen Unternehmen (B2B). Es werden Millionen Verträge zwischen Unternehmen ausgearbeitet und verwaltet. Wenn man das Gesetz direkt auf Anbieter wie Cloud-Hyperscaler anwenden würde, könnte man Millionen von Arbeitsstunden einsparen und den Datenschutz verbessern. Datenschutzbeauftragte würden eine solche Vereinfachung sehr begrüßen.

Max Schrems: „Der Digital Omnibus ist nicht nur für Nutzer:innen, sondern auch für die meisten Unternehmen der falsche Weg. In vierlelei Hinsicht haben wir hier einen Vorschlag, bei dem alle verlieren.“

Beginn einer breiteren Debatte. Die in dieser Umfrage angesprochenen Punkte markieren lediglich den Beginn einer größeren Debatte, die durch den Digital Omnibus ausgelöst wurde. Wir sind jedoch davon überzeugt, dass evidenzbasierte Änderungen der DSGVO für alle von Vorteil sein könnten: für Unternehmen, betroffene Personen und Behörden. Wir hoffen, dass diese ersten Ergebnisse dabei helfen, nützlichen Lösungen für tatsächliche Problem zu finden, anstatt nur Schlagworten hinterherzujagen.