Datenschutz-Streit: EU-Kommission scheitert mit Deregulierungsplänen

Die Pläne der EU-Kommission zur Aufweichung der Datenschutz-Grundverordnung (DSGVO) stoßen auf massiven Widerstand. Eine neue Umfrage unter Datenschutzbeauftragten zeigt: Unternehmen wollen klare Regeln, nicht weniger Schutz.

Die EU-Kommission steht mit ihren Deregulierungsplänen für die digitale Wirtschaft zunehmend isoliert da. Während Brüssel mit dem sogenannten Digital Omnibus die DSGVO flexibilisieren will, fordern sowohl Mitgliedstaaten als auch Compliance-Experten genau das Gegenteil: mehr Rechtssicherheit durch klare Grenzen. Die Fronten haben sich Anfang März 2026 verhärtet.

Angesichts der verhärteten Fronten in der EU-Gesetzgebung bleibt eine lückenlose Dokumentation für Unternehmen unerlässlich. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und mit minimalem Zeitaufwand zu erstellen. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

Umfrage-Ergebnis: 91 Prozent fordern klare Verbotslisten

Die Kommission argumentiert seit November 2025, ihr Gesetzespaket solle europäische Unternehmen entlasten. Doch eine am 5. März 2026 veröffentlichte Umfrage der Datenschutzorganisation noyb zeichnet ein anderes Bild. Demnach wünschen sich 91,1 Prozent der befragten Datenschutzbeauftragten eine konkrete „Blacklist“ verbotener Datenverarbeitungen. 83,3 Prozent sprechen sich für eine „Whitelist“ erlaubter Aktivitäten aus.

„Die Ergebnisse sind eindeutig“, kommentiert ein Branchenanalyst. „Unternehmen brauchen keine vagen ‚risikobasierten‘ Ausnahmen, die ständige Rechtsberatung erfordern. Sie wollen wissen, was erlaubt ist und was nicht.“ Aus Sicht der Compliance-Profis ist das Grundrecht auf Datenschutz kein Hindernis, sondern ein stabiler Rahmen – der nur funktioniert, wenn die Regeln eindeutig sind.

Mitgliedstaaten blockieren Kernänderung der DSGVO

Parallel zur Umfrage formiert sich politischer Widerstand. Bereits Ende Februar 2026 war ein geleaktes Kompromisspapier des EU-Rates an die Öffentlichkeit gelangt. Das Dokument, das unter der zyprischen Ratspräsidentschaft zirkulierte, zeigt: Die Mitgliedstaaten lehnen eine zentrale Änderung der Kommission kategorisch ab.

Konkret geht es um die Neudefinition von pseudonymisierten Daten. Brüssel wollte erreichen, dass Informationen nicht mehr als personenbezogen gelten, wenn ein bestimmtes Unternehmen die dahinterstehende Person nicht identifizieren kann – selbst wenn andere Akteure in der Datenkette sehr wohl die Möglichkeit zur Rückidentifizierung hätten.

Datenschützer warnten vor einem riesigen Schlupfloch. Unternehmen könnten sich so einfach aus der DSGVO-Pflicht verabschieden, indem sie ihre Datenverarbeitungssysteme künstlich trennen. Der Ratsentwurf streicht diesen Vorschlag nun komplett. Statt die Grundbegriffe der DSGVO umzuschreiben, verweist der Rat auf technische Leitlinien, die derzeit von den Aufsichtsbehörden erarbeitet werden.

Aufsichtsbehörden schlagen Alarm

Die Haltung der Mitgliedstaaten folgt scharfen Warnungen der obersten EU-Datenschützer. Bereits am 11. Februar 2026 hatten der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) in einer gemeinsamen Stellungnahme vor den Plänen gewarnt.

Die Behörden kritisierten, dass die Definition personenbezogener Daten durch das, was sie nicht sind, zu erheblicher Rechtsunsicherheit führen würde. Die Änderungen gingen weit über technische Anpassungen hinaus und schwächten das Schutzniveau für EU-Bürger erheblich.

Besondere Sorge gilt einer Regelung, die das berechtigte Interesse als pauschale Rechtsgrundlage für das Training von KI-Modellen mit personenbezogenen Daten festschreiben wollte. Kritiker sehen darin einen Paradigmenwechsel: Persönliche Daten würden primär als Rohstoff für den Tech-Wettlauf behandelt – auf Kosten des Grundrechts auf Privatsphäre.

Konsequenzen für die Wirtschaft: Keine Lockerung in Sicht

Für Unternehmen bedeutet die Entwicklung eine klare Wegweisung. Die rigorose Abwehr der Deregulierungsversuche zeigt: Die strengen Grundprinzipien der DSGVO bleiben erhalten.

Unternehmen sollten nicht mit einer baldigen Lockerung rechnen, insbesondere bei der Definition personenbezogener Daten oder bei Auskunftsansprüchen. Die Hoffnung, KI-Entwickler könnten personenbezogene Daten pauschal unter Berufung auf „berechtigtes Interesse“ verarbeiten, steht unter massivem rechtlichen und politischen Beschuss.

Die Konsequenz? Compliance-Strukturen müssen aufrechterhalten und investiert werden. Rechtsabteilungen sollten pseudonymisierte Daten weiterhin mit höchster Sorgfalt behandeln – Gerichte und Aufsichtsbehörden betrachten sie als vollumfänglich geschützt. Statt auf zukünftige Schlupflöcher zu hoffen, sind transparente Datenverarbeitungsverzeichnisse und robuste Einwilligungssysteme gefragt.

Da die strengen Anforderungen der DSGVO bestehen bleiben, ist die korrekte Durchführung einer Datenschutz-Folgenabschätzung für viele Projekte weiterhin Pflicht. Dieser Experten-Leitfaden klärt die wichtigsten Fragen zur DSFA und bietet direkt einsetzbare Muster-Vorlagen zur Absicherung Ihres Unternehmens. Kostenloses E-Book mit DSFA-Vorlagen jetzt sichern

Ausblick: Langer Weg für das Omnibus-Gesetz

Das Schicksal des Digital Omnibus ist Anfang März 2026 ungewisser denn je. Das Gesetzespaket muss noch komplexe Verhandlungen in Ratsarbeitsgruppen und im AStV überstehen, bevor es überhaupt das Europäische Parlament erreicht.

Der Konflikt zwischen dem Wettbewerbsdrang der Kommission und der Verteidigung der Grundrechte durch Aufseher, NGOs und die Wirtschaft selbst wird die nächste Phase der europäischen Tech-Gesetzgebung prägen. Die Botschaft an die Unternehmen ist eindeutig: DSGVO-Compliance ist keine lästige Bürokratie, die sich wegregulieren lässt. Sie ist ein Grundrecht, das kontinuierliches Engagement erfordert.