Am 4. Juli 2025 veröffentlichte die dänische Regierung ein sogenanntes Non-Paper, das in der europäischen Datenschutzwelt für Aufsehen sorgte. Es enthält Vorschläge zur gezielten Lockerung der DSGVO (Datenschutz-Grundverordnung) und der ePrivacy-Richtlinie. Ziel: Die Entlastung kleiner und mittlerer Unternehmen (KMU) bei gleichzeitiger Wahrung eines angemessenen Datenschutzniveaus. Was auf den ersten Blick wie ein Hoffnungsschimmer für kleine Unternehmen aussieht, birgt auch Risiken – und ist Anlass für eine genauere Betrachtung der aktuellen Rechtslage.
Warum ist das jetzt relevant?
Dänemark hat zum 1. Juli 2025 die Ratspräsidentschaft der Europäischen Union übernommen. Damit hat die dänische Regierung für sechs Monate eine zentrale Rolle im EU-Gesetzgebungsverfahren – auch in Fragen des Datenschutzes. Das jetzt veröffentlichte Non-Paper ist ein politisches Signal: Es zeigt die Bereitschaft, die DSGVO in Teilen zu lockern, um Unternehmen in Europa wieder wettbewerbsfähiger zu machen.
In der gleichen Zeit plant auch die EU-Kommission eine umfassende Überprüfung der digitalen Gesetzgebung – das sogenannte Fitness-Check sowie ein Digital Omnibus Package. Es ist also gut möglich, dass die vorgeschlagenen Änderungen Einfluss auf die kommende Rechtsentwicklung haben.
Die Kernpunkte der dänischen Vorschläge im Überblick
Im Folgenden fassen wir die wichtigsten Änderungswünsche zusammen und erläutern ihre Bedeutung für Unternehmen – insbesondere für kleine Betriebe, Selbstständige und Organisationen in Mecklenburg-Vorpommern.
1. Lockerung der DSGVO: Cookie-Einwilligungspflicht
Artikel 5 Abs. 3 der ePrivacy-Richtlinie verpflichtet Betreiber von Webseiten dazu, bei der Speicherung oder dem Zugriff auf Informationen auf Endgeräten (z. B. Cookies) die Einwilligung der Nutzer:innen einzuholen – außer, es handelt sich um „unbedingt erforderliche“ Cookies.
Die dänische Regierung schlägt vor, zusätzliche Ausnahmen zu schaffen – etwa für Fälle, in denen Kommunikationsdaten lediglich für „technische Zwecke oder einfache Statistiken“ erhoben werden. Das würde insbesondere kleinen Website-Betreibern helfen, den Aufwand für Cookie-Banner zu reduzieren.
Kontext: Schon heute ist unklar, wie weit die Einwilligungspflicht tatsächlich reicht. Viele Datenschutzbehörden vertreten sehr strenge Auffassungen. Eine Klarstellung auf EU-Ebene wäre daher aus Sicht vieler Unternehmen wünschenswert.
2. Mindestgrenze für Betroffenenrechte
Die Artikel 12 bis 20 der DSGVO regeln die Rechte von Betroffenen – etwa auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung. Der dänische Vorschlag will hier eine Bagatellgrenze einführen. Betroffenenrechte sollen nur dann gelten, wenn eine gewisse Schwelle überschritten wird.
Kontext: Für kleine Betriebe bedeutet jeder einzelne Antrag einen spürbaren Aufwand. Ob die Einführung einer Mindestgrenze rechtlich haltbar ist, ist allerdings fraglich – denn die Rechte auf Datenschutz sind Grundrechte.
3. Abschaffung des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
Dieses Recht verpflichtet Unternehmen, personenbezogene Daten auf Wunsch in einem strukturierten, gängigen und maschinenlesbaren Format bereitzustellen. Die dänische Regierung hält dieses Recht offenbar für wenig praxisrelevant und schlägt dessen Abschaffung vor.
Kontext: Gerade für kleine Unternehmen ist die technische Umsetzung oft schwierig. Dennoch war das Recht ursprünglich gedacht, um z. B. einen Anbieterwechsel zu erleichtern – also für Verbraucher durchaus nützlich.
4. Weniger Dokumentationspflichten für KMU
Konkret geht es hier um:
- Artikel 30(5) DSGVO: Gemäß DSGVO gelten umfassende Dokumentationspflichten. Auch wenn es speziell für kleine und Kleinstunternehmen effiziente Lösungen zur Erfüllung dieser Anforderungen wie die prima Datenschutz App gibt, bedeuten diese Dokumentationspflichten Arbeitsaufwand. Gemäß dänischem Vorschlag sollen Ausnahmebedingungen, die Kleinstunternehmen von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten ausnehmen, ausgeweitet werden.
- Artikel 24(1) DSGVO: Hier fordert Dänemark eine Lockerung der Rechenschaftspflicht – also weniger Pflicht zur internen Dokumentation für KMU.
Kontext: Die Dokumentationspflichten stellen eine der größten Herausforderungen im Alltag kleiner Unternehmen dar. Weniger Pflichten könnten hier deutlich entlasten – allerdings könnte dies auch zu einem Rückgang der Datenschutzqualität führen, wenn nicht sorgfältig abgegrenzt wird.
5. Vereinfachung der Meldepflicht bei Datenpannen
Nach Artikel 33 DSGVO müssen viele Datenpannen der Aufsichtsbehörde gemeldet werden – auch wenn kein ernsthafter Schaden entsteht. Dänemark schlägt vor, „einfache und klar abgegrenzte“ Vorfälle von der Meldepflicht auszunehmen.
Kontext: Eine sinnvolle Idee, die vor allem kleineren Betrieben helfen könnte, Ressourcen zu sparen. Es bleibt aber die Frage, wie „einfach“ und „klar“ eine Panne sein muss, um unter die Ausnahme zu fallen.
6. Vereinfachung bei Datenschutz-Folgenabschätzungen (DPIA)
Artikel 35 DSGVO verpflichtet Unternehmen zur Durchführung einer Datenschutz-Folgenabschätzung, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt. Dänemark möchte klarere Regeln und mögliche Ausnahmen für KMU einführen.
Kontext: Auch hier könnten klare, praxistaugliche Kriterien helfen, den Aufwand zu senken – ohne den Schutz zu gefährden.
7. Bedingungen für Beschwerden bei der Aufsichtsbehörde
Laut Artikel 77 DSGVO kann jede betroffene Person sich direkt bei der Datenschutzaufsicht beschweren. Dänemark schlägt vor, dies an Bedingungen zu knüpfen – etwa dass der oder die Betroffene zunächst den Verantwortlichen (z. B. das Unternehmen) kontaktiert, bevor eine Beschwerde zulässig ist.
Kontext: Dies könnte insbesondere kleinen Unternehmen helfen, unkomplizierte Beschwerden zunächst selbst zu klären, bevor ein förmliches Verfahren eröffnet wird.
Was bedeutet das für Unternehmen in Mecklenburg-Vorpommern?
Zunächst: Noch ist nichts beschlossen. Die Vorschläge der dänischen Ratspräsidentschaft sind politische Denkanstöße, die in den kommenden Monaten im EU-Rahmen diskutiert werden. Dennoch lohnt es sich, schon jetzt über mögliche Folgen nachzudenken:
- Entlastung möglich: Wenn die Vorschläge umgesetzt würden, könnten viele Unternehmen von weniger Bürokratie profitieren.
- Aber auch Unsicherheiten: Manche der vorgeschlagenen Änderungen könnten den Schutz von Betroffenen schwächen – das könnte zu Reputationsrisiken führen.
- Regionale Unterschiede bleiben relevant: Auch bei gelockerten EU-Vorgaben kann es Unterschiede in der nationalen Umsetzung geben. In Deutschland bleibt die Position der Datenschutzaufsichtsbehörden (z. B. in MV: Landesbeauftragter für Datenschutz Mecklenburg-Vorpommern) zentral.
Fazit: Informiert bleiben und vorbereitet sein
Für Unternehmen in Mecklenburg-Vorpommern bleibt es entscheidend, die Entwicklungen im Datenschutzrecht aufmerksam zu verfolgen. Auch wenn die DSGVO möglicherweise gelockert wird, bedeutet das nicht, dass Datenschutz unwichtig wird – im Gegenteil. Kunden, Geschäftspartner und Mitarbeitende erwarten einen verantwortungsvollen Umgang mit Daten.
Die Datenschutzexperten von Datenschutz Nordost halten sie wie immer über alle relevanten Änderungen auf dem Laufenden. Wenn Sie Fragen zur aktuellen Rechtslage oder zu Ihrer konkreten Datenschutzpraxis haben, stehen wir Ihnen als regionale Datenschutz-Agentur jederzeit zur Seite.