Autonomer Verkehr

Weniger Bürokratie, klarere Regeln, mehr Praxistauglichkeit im Datenschutz?

/in /von

Weniger Aufwand bei Auskunftsanfragen, klarere Regeln für Standardsoftware, mehr Spielraum für Aufsichtsbehörden. Der Bundesrat hat am 27. März 2026 seine Empfehlungen zur geplanten DSGVO Reform verabschiedet (Drucksache 34/26).

Der Bundesrat belässt es nicht bei einer Bewertung des Kommissionsvorschlags und setzt eigene Themen. Einige davon würden den Arbeitsalltag in Unternehmen spürbar verändern. Wir haben die relevantesten Punkte zusammengestellt.

Artikel 9 neu gedacht. Autonomes Fahren als Treiber

Der Bundesrat fordert eine grundlegende Klarstellung bei Artikel 9 DSGVO. Die Vorschrift regelt die Verarbeitung von Daten, die als besonders sensibel gelten und stellt hier strengere Anforderungen. Sie greift auch schon beim Verarbeiten des Merkmals „Brille“ auf einem Foto, da dies Rückschlüsse auf eine Sehbeeinträchtigung zulässt und damit ein Gesundheitsdatum ist.

Der Vorschlag erfolgt mit Blick auf das autonome Fahren. Derartige Fahrsysteme brauchen Video und Bilddaten, um Personen im Straßenverkehr als „Person“ zuverlässig zu erkennen. Ohne diese Daten funktioniert die Technik nicht. Gleichzeitig fallen dabei zwangsläufig besondere Kategorien personenbezogener Daten an. Kinder, Menschen mit Beeinträchtigungen, Fußgänger mit Gehhilfen.  Die aktuelle Rechtslage macht den Einsatz solcher Systeme in Europa herausfordernd.

Der Bundesrat schlägt deshalb vor, dass Artikel 9 nur dann greifen soll, wenn aus den verarbeiteten Daten tatsächlich besonders schützenswerte Merkmale abgeleitet werden sollen. Das Kriterium der „Direktheit“ fehlt bisher im Kommissionsvorschlag.

Außerdem soll ein neuer Erlaubnistatbestand in Artikel 9 Absatz 2 aufgenommen werden. Dieser soll die Verarbeitung besonderer Kategorien personenbezogener Daten erlauben, wenn sie zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.

Nicht nur beim autonomen Fahren, auch wenn Sie in der Personalverwaltung oder in der Versicherungsbranche tätig sind, vereinfacht das Ihre Vertragsabwicklung. Bisher fehlte für viele alltägliche Verarbeitungen eine passende Rechtsgrundlage in Artikel 9.

Auskunftsrecht soll praxistauglicher werden

Das Auskunftsrecht nach Artikel 15 DSGVO gehört zu den aufwändigsten Pflichten im Tagesgeschäft. Der Bundesrat schlägt zwei konkrete Entlastungen vor.

Zum einen soll die kostenfreie Auskunft auf einmal innerhalb von zwei Jahren begrenzt werden. Weitere Anfragen dürfen kostenpflichtig gestellt werden. Zum anderen sollen Daten und Kopien, die der Betroffene selbst zur Verfügung gestellt hat, vom Auskunftsanspruch ausgenommen werden können. Denn wer dem Unternehmen selbst ein Schreiben geschickt hat, kennt dessen Inhalt.

Zusätzlich fordert der Bundesrat, dass das Kopierecht nach Artikel 15 Absatz 3 ausgeschlossen werden kann, wenn die Erteilung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert.

Insbesondere für Unternehmen im B2C-Geschäft dürfte dies eine deutliche Entlastung bringen. Der Aufwand für das Schwärzen von Drittdaten in selbst eingereichten Dokumenten und die „Archivfunktion“ für den Betroffenen würden entfallen.

Exzessive Anträge klarer definieren

Die DSGVO erlaubt es Verantwortlichen schon heute, exzessive Anträge von Betroffenen abzulehnen. In der Praxis besteht aber Unsicherheit, wann ein Antrag tatsächlich als exzessiv gilt. Der Bundesrat fordert, Artikel 12 Absatz 5 DSGVO um weitere Beispiele zu ergänzen.

Auch Artikel 57 Absatz 4 DSGVO soll entsprechend angepasst werden. Aufsichtsbehörden sollen bei rechtsmissbräuchlichen Anfragen oder offensichtlich fehlendem öffentlichen Interesse eine Gebühr verlangen oder die Bearbeitung verweigern können.

Eine Erweiterung der Kriterien würde die Rechtssicherheit bei der Beurteilung erleichtern, ob ein Antrag als exzessiv eingestuft werden kann. Bisher war das eine Grauzone. Und auch die Aufsichtsbehörden dürfte eine Anpassung von Artikel 57 begrüßen.

Hersteller und Anbieter in die Pflicht nehmen

Bisher liegt die datenschutzrechtliche Verantwortung fast vollständig bei den Verantwortlichen und Auftragsverarbeitern. Wer Standardsoftware einsetzt, muss selbst dafür sorgen, dass alles DSGVO konform läuft. Der Bundesrat will das ändern.

Nach dem Vorbild des Cyber Resilience Acts und der KI-Verordnung sollen auch Hersteller und Anbieter von Softwarelösungen gewährleisten, dass ihre Produkte standardmäßig datenschutzkonform betrieben werden können.

Wenn Sie Microsoft 365, Salesforce oder andere Standardlösungen einsetzen, tragen Sie aktuell das volle Compliance Risiko. Künftig müssten die Hersteller selbst sicherstellen, dass ihre Produkte datenschutzkonform funktionieren. Das reduziert Ihren Prüfaufwand.

Aufsichtsbehörden bekommen mehr Spielraum

Aktuell bleibt Datenschutzbehörden als mildeste Reaktion auf eine Beschwerde nur die Verwarnung. Der Bundesrat schlägt vor, Artikel 58 DSGVO so zu ändern, dass Behörden Verfahren aus Opportunitätserwägungen einstellen können.

Ergänzend dazu soll eine Verjährungsfrist für Datenschutzverstöße eingeführt werden. Und bei parallellaufenden gerichtlichen Verfahren sollen Behörden Beschwerden zurückstellen können. Das verhindert widersprüchliche Entscheidungen und entlastet die Aufsicht.

Bagatellbeschwerden, die heute noch ein vollständiges Aufsichtsverfahren auslösen, können so künftig eingestellt werden. Das senkt das Risiko, dass Ihr Unternehmen wegen geringfügiger Verstöße in ein aufwändiges Verfahren hineingezogen wird.

Benachrichtigung bei Datenschutzverletzungen erweitern

Wenn ein Datenschutzvorfall eintritt, müssen Verantwortliche betroffene Personen benachrichtigen. Der Bundesrat hält die bisherigen Vorgaben für unzureichend und fordert eine Ergänzung von Artikel 34 Absatz 2 DSGVO. Die Benachrichtigung soll künftig auch die Kategorien der betroffenen personenbezogenen Datensätze enthalten.

Die Anforderungen an Ihre Meldeprozesse würden hiermit steigen. Ihre internen Abläufe bei Datenpannen müssten zukünftig so aufgestellt sein, dass Sie schnell feststellen können, welche Datenkategorien betroffen sind.

Entlastung für KMU und Ehrenamt

Kleine und mittlere Unternehmen sowie ehrenamtlich tätige Organisationen sollen gezielt entlastet werden. Der Bundesrat fordert vereinfachte Dokumentations und Transparenzpflichten bei risikoarmen Tätigkeiten.

Bürokratische Pflichten und die Zersplitterung der Zuständigkeiten für verschiedene EU Datenrechtsakte erschweren gerade kleineren Organisationen die Umsetzung. Digitale Meldeportale und One Stop Shop Lösungen sollen als Standard etabliert werden.

Wenn Sie ein KMU führen, könnten Dokumentationspflichten auf ein angemessenes Maß reduziert werden. Statt mehrere Anlaufstellen für verschiedene EU Rechtsakte bedienen zu müssen, soll ein zentrales Portal genügen.

Wie geht es weiter?

Der Bundesratsbeschluss ist eine Empfehlung an die EU Kommission. Ob und in welcher Form die Vorschläge in die finale Verordnung einfließen, entscheidet sich in den kommenden Monaten in Brüssel. Unternehmen sollten die Entwicklung verfolgen. Einige der vorgeschlagenen Änderungen würden bestehende Prozesse vereinfachen. Andere, wie die erweiterte Benachrichtigungspflicht bei Datenpannen, erfordern Anpassungen.

Wir beobachten das Gesetzgebungsverfahren und informieren Sie, sobald sich konkrete Änderungen abzeichnen. Wenn Sie Fragen haben, wie sich die geplante Reform auf Ihr Unternehmen auswirkt, sprechen Sie uns an. Auch als externe Datenschutzbeauftragte sind wir für Sie da.