EU-Kommission will DSGVO-Bürokratie für Unternehmen abbauen

Die EU-Kommission schlägt vor, Unternehmen den Umgang mit offensichtlich missbräuchlichen Datenauskunftsersuchen zu erleichtern. Der Vorschlag ist Teil des sogenannten „Digital Omnibus“-Pakets, das diese Woche in Brüssel diskutiert wird. Während Firmen bei Zugriffsanfragen entlastet werden sollen, bleiben die strengen Löschpflichten jedoch unverändert – ein Spagat für die Compliance-Abteilungen.

Kern der geplanten Reform ist eine Änderung der Artikel 12 und 15 der Datenschutz-Grundverordnung (DSGVO). Bislang müssen Unternehmen nachweisen, dass eine Datenauskunftsanfrage (DSAR) „offensichtlich unbegründet“ ist – eine hohe Hürde. Der neue Gesetzesentwurf sieht vor, dass es künftig ausreicht, wenn Datenverantwortliche „berechtigte Gründe“ für die Annahme haben, eine Anfrage sei exzessiv oder ziele auf Geschäftsstörung ab.

Diese Anpassung ist eine direkte Reaktion auf die zunehmende strategische Nutzung von DSARs. Immer häufiger werden sie in Arbeitsstreitigkeiten oder Verbraucherklagen als taktisches Druckmittel eingesetzt, nicht aus echtem Transparenzinteresse. Die EU nähert sich damit dem im Vereinigten Königreich geltenden Standard des „angemessenen und verhältnismäßigen“ Suchaufwands an.

Lücken im Verzeichnis der Verarbeitungstätigkeiten können Ihre Verteidigung gegen exzessive DSARs schwächen. Ein praxisnahes Excel‑Muster hilft Ihnen, das Verarbeitungsverzeichnis nach Art. 30 DSGVO lückenlos und prüfungssicher zu dokumentieren – inklusive Schritt‑für‑Schritt‑Anleitung und Feldern für typische DSAR‑Fallmuster. So stellen Sie Nachvollziehbarkeit gegenüber Aufsichtsbehörden sicher und reduzieren das Risiko teurer Bußgelder. Verarbeitungsverzeichnis jetzt herunterladen

Löschkonzepte: Die „Datenfriedhöfe“ bleiben ein Risiko

Während der Zugang zu Daten erleichtert werden könnte, bleiben die Vorgaben zur Löschung (Artikel 17) und Speicherbegrenzung unverändert streng. Die Behörden ahnden Versäumnisse konsequent. Ein Beispiel ist die Geldbuße von 900.000 Euro gegen einen Inkassodienstleister Anfang 2026. Der Hamburger Beauftragte für Datenschutz stellte dort einen „Datenfriedhof“ fest, in dem sensible Schuldnerinformationen weit über die Aufbewahrungsfristen hinaus gespeichert wurden.

Die Botschaft der Aufsichtsbehörden ist klar: Wer automatische Löschroutinen für veraltete Daten vernachlässigt, riskiert hohe Strafen. Die geplante Erleichterung bei Auskunftsersuchen ist also kein Freibrief für nachlässiges Datenmanagement.

Rechtsprechung verlangt konkreten Schaden

Parallel zur Gesetzgebung entwickelt sich die Rechtsprechung weiter. Das Bundesarbeitsgericht (BAG) stellte 2025 klar, dass ein bloßes „Kontrollverlustgefühl“ oder Ärger über eine verspätete Auskunft nicht ausreicht, um immaterielle Schadensersatzansprüche nach Artikel 82 DSGVO durchzusetzen.

Stattdessen muss ein konkreter, objektiver Schaden nachgewiesen werden. Diese Rechtsprechung ergänzt den Kommissionsvorschlag. Gemeinsam deuten sie auf einen Kurswechsel hin: weg von einer strengen Haftung für Verfahrensfehler, hin zu einem schadensbasierten Ansatz.

Was kommt auf Unternehmen zu?

Der „Digital Omnibus“ wird nun vom Europäischen Parlament und dem Rat beraten. Die Debatten dürften sich im ersten Quartal 2026 zuspitzen. Datenschutzverbände werden die Definition von „missbräuchlich“ genau prüfen, um legitime Betroffenenrechte zu schützen.

Unternehmen sollten ihre Prozesse für den Umgang mit DSARs bereits jetzt anpassen. Es wird sinnvoll sein, Muster missbräuchlicher Anfragen – wie wiederholte Anträge oder solche, die mit rechtlichen Drohungen zusammenfallen – systematisch zu dokumentieren. Gleichzeitig bleibt die Säuberung veralteter Datensysteme eine Top-Priorität. Brüssel sendet ein doppeltes Signal: Der Missbrauch von Datenschutzrechten soll eingedämmt, die Hortung personenbezogener Daten aber weiterhin hart bestraft werden.

PS: Sie wollen Ihr Datenschutz‑Management schnell audit‑sicher machen? Mit der Excel‑Vorlage fürs Verarbeitungsverzeichnis erstellen Sie in weniger als einer Stunde ein prüffähiges Dokument – inklusive Anleitung, vorgefüllter Beispiele und Feldern für Löschfristen und DSAR‑Prozesse. Ideal für Datenschutzbeauftragte und Compliance‑Teams, die sich auf verschärfte Prüfungen vorbereiten. Jetzt Verarbeitungsverzeichnis in Excel sichern