R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
RdF - Recht der Finanzinstrumente
Header Pfeil
 
 
DSB 2025, 177
Piltz 

Konkrete Vorschläge im Bundesrat zum „Bürokratieabbau“ im Datenschutzrecht – Licht und Schatten

Abbildung 1

Dr. Carlo Piltz
Chefredakteur
Datenschutz-Berater

Mit dem Antrag „Bürokratieabbau und Beschleunigung von Planungs- und Genehmigungsverfahren“ (BR Drs. 292/25) vom 26. Juni 2025 hat das Land Nordrhein-Westfalen einen legislativen Aufschlag zur Reform des Datenschutzrechts gemacht. In Ziffer 12 des Antrags wird als Ausgangspunkt der Vorschläge konstatiert: „Gerade bei der europäischen Datenschutz-Grundverordnung (DS-GVO) steht das Ausmaß der Regelungen jedoch nicht immer in einem vertretbaren Verhältnis zum Nutzen.“

Die Bundesregierung wird daher aufgefordert, sich für eine umfassende Evaluierung der Verordnung auf europäischer Ebene einzusetzen. Explizit verlangt der Antrag, nicht nur die Sicht der Aufsichtsbehörden zu berücksichtigt, sondern ausdrücklich auch die der „Anwenderinnen und Anwender“.

Ziel ist es unter anderem, jene bürokratischen Hürden zu identifizieren und abzubauen, die sich im betrieblichen und institutionellen Alltag als Hemmnisse erweisen – gerade für kleine und mittlere Unternehmen (KMU), die sich mit den vielfach geforderten Nachweis-, Informations- und Dokumentationspflichten oft überfordert sehen. Die Forderung ist inhaltlich nicht unbedingt neu. In den letzten Monaten rankten sich Vorschläge zum „Bürokratieabbau“ im Datenschutz oft um Dokumentations- und Informationspflichten. Meines Erachtens sind solche Vorschläge aber nicht durchdacht: Nur, weil ein kleines Unternehmen etwa eine Datenschutzhinweise mehr vorhalten müsste, bedeutet dies ja nicht, dass es Daten verarbeiten kann, ohne hierbei andere Anforderungen der DSGVO zu beachten – etwa der Rechtsgrundlage nach Art. 6 DSGVO. Aus meiner Sicht würde eine wirkliche Reform für KMU oder etwa Vereine nur Sinn ergeben, wenn man sie entweder komplett aus dem Anwendungsbereich herausnimmt oder etwa einen Abschnitt mit „Rumpfregelungen“ schafft, der exklusiv für solche kleine private oder öffentliche Stellen gilt. Diese Rumpfregeln wären dann, im Sinne von DSGVO-Basispflichten, aber auch abschließend für die adressierten Kreise.

Weiterhin wird im Antrag etwa die Frage aufgeworfen, ob der in Art. 5 Abs. 1 lit. c DSGVO verankerte Grundsatz der Datenminimierung noch zeitgemäß ist. In datengetriebenen Geschäftsmodellen – etwa im Bereich Künstliche Intelligenz – sei es kaum möglich, mit minimalen Datenmengen zu arbeiten. Die DSGVO müsse hier flexibler werden, um Innovationen nicht systematisch auszubremsen. Der hier angesprochene Konflikt zwischen Datenminimierung und Innovation ist ebenfalls nicht neu. Aus meiner Sicht ist jedoch eine Klarstellung wichtig, die oft in dem pauschalen Kampf der Positionen zwischen „Mehr Daten“ vs. „Keine Daten“ untergeht: Die DSGVO verlangt in Art. 5 Abs. 1 lit. c DSGVO gerade nicht (!), dass keine personenbezogenen Daten verarbeitet werden. Der Grundsatz der Datenminimierung besagt, dass dem jeweils festgelegten Zweck angemessen Daten verarbeitet werden sollen. Es dürfen also auch auf Basis der Datenminimierung personenbezogene Daten genutzt werden.

Einen guten Vorschlag enthält der Antrag im Zusammenhang mit dem Thema Anonymisierung. Bekanntlich enthält die DSGVO keine Legaldefinition oder gesetzliche Leitlinien dazu, wie personenbezogene Daten verändert werden können, um als anonymisierte Daten zu gelten – es fehlt also an klaren rechtlichen Maßgaben, wann eine Anonymisierung rechtssicher vorliegt. Der Antrag fordert eine gesetzlich verankerte, praxistaugliche Regelung, die öffentlichen wie privaten Akteuren mehr Rechtssicherheit im Umgang mit anonymisierten Datensätzen verschafft. Eine solche Regelung könnte erheblich zur Nutzbarmachung von Daten in Wissenschaft, Forschung und Wirtschaft beitragen – bei gleichzeitigem Schutz der Rechte der Betroffenen.

Ebenfalls zu begrüßen ist der Vorschlag, den zunehmenden Missbrauch von Auskunftsersuchen gemäß Art. 15 DSGVO anzugehen. In der Praxis mehren sich Fälle, in denen Unternehmen oder Behörden mit kollusiven oder gezielt überzogenen Auskunftsanfragen konfrontiert werden – etwa im Kontext arbeitsrechtlicher Auseinandersetzungen oder zur gezielten Überlastung von Verwaltungsstrukturen. Der Antrag regt an, Art. 12 Abs. 5 Satz 2 DSGVO um einen klar definierten Missbrauchstatbestand zu ergänzen, um Verantwortliche besser vor solchen strategischen Anfragen zu schützen, ohne legitime Betroffenenrechte zu gefährden.

Der Antrag aus Nordrhein-Westfalen enthält aus meiner Sicht sowohl positive als auch inkonsequente Anregungen. Ob und in welcher Form diese Anregungen durch die Bundesregierung aufgegriffen werden, ist derzeit noch unklar. Für uns, als Datenschutz-Community, halte ich es für wichtig, dass wir in unserer täglichen Arbeit zeigen, dass der Datenschutz bereits jetzt nicht alles verbietet und als die Hürde für Innovation verstanden wird.

Ich hoffe, Sie können auch diesem Heft wertvolle Anregungen für Ihre eigene Tätigkeit im Datenschutzrecht entnehmen.

Ihr

Dr. Carlo Piltz

 
stats