EuGH und Datenschutzkonferenz setzen neue DSGVO-Regeln

Ein aktuelles EuGH-Urteil verschärft die Regeln für Auskunftsanträge, während Aufsichtsbehörden eine Entlastung für KMU fordern. Die Compliance-Landschaft steht vor einem Wendepunkt.

Frankfurt am Main, 26. März 2026 – Die Regeln der Datenschutz-Grundverordnung (DSGVO) werden neu justiert. Zwei parallele Entwicklungen zwingen Unternehmen und Datenschutzbeauftragte zum Umdenken: Der Europäische Gerichtshof (EuGH) hat die Hürden für Betroffenenrechte und Schadensersatz präzisiert. Gleichzeitig drängen die deutschen Aufsichtsbehörden auf praktikablere Regeln, die vor allem kleine Firmen entlasten sollen.

Lücken in der Dokumentation nach Art. 30 DSGVO können bei Prüfungen zu Bußgeldern von bis zu 2 % des Jahresumsatzes führen. Diese kostenlose Excel-Vorlage mit Schritt-für-Schritt-Anleitung hilft Ihnen dabei, Ihr Verarbeitungsverzeichnis rechtssicher und mit minimalem Zeitaufwand zu erstellen. Verarbeitungsverzeichnis nach Art. 30 DSGVO in unter einer Stunde erstellt

EuGH-Urteil: Klare Grenzen für Auskunftsbegehren

Das Urteil des EuGH vom 19. März bringt lang ersehnte Klarheit. Bislang war unklar, wann Unternehmen einen Auskunftsantrag nach Artikel 15 DSGVO als „exzessiv“ ablehnen dürfen. Der Gerichtshof stellt nun fest: Auch eine erstmalige Anfrage kann unzulässig sein, wenn ihr Hauptziel nicht die Überprüfung der Datenverarbeitung ist. Stattdessen darf sie nicht der Vorbereitung anderer Klagen dienen.

Für Arbeitgeber und Unternehmen bedeutet das eine zweischneidige Entscheidung. Einerseits erhalten sie ein schärferes Schwert gegen offensichtlich strategisch motivierte Anfragen. Andererseits liegt die Beweislast für einen Missbrauch weiterhin bei ihnen. Sie müssen objektive Anhaltspunkte sammeln und lückenlos dokumentieren. Compliance-Abteilungen sind nun gefordert, ihre internen Prozesse zur Bearbeitung von Anfragen zu überprüfen.

Zudem schärfte der EuGH die Voraussetzungen für immaterielle Schadensersatzansprüche. Ein bloßer Verstoß gegen die DSGVO reicht nicht mehr aus. Betroffene müssen einen tatsächlichen, nachweisbaren Schaden geltend machen. Diese Hürde dürfte die Flut an pauschalen Schadensersatzforderungen eindämmen.

Datenschutzkonferenz will KMU entlasten

Während der EuGH Klarheit schafft, will die Datenschutzkonferenz (DSK) die Regeln praxistauglicher machen. Das Gremium der deutschen Aufsichtsbehörden fordert in einer aktuellen Stellungnahme gezielte Anpassungen der DSGVO. Im Fokus: die Entlastung von kleinen und mittleren Unternehmen (KMU) und eine stärkere Verantwortung der Hersteller.

Bisher liegt die datenschutzrechtliche Pflicht meist beim Anwender einer Software. Die DSK will das ändern. Hersteller, Anbieter oder Importeure sollen stärker in die Pflicht genommen werden. Sie könnten künftig standardisierte Informationen für Verarbeitungsverzeichnisse oder Datenschutz-Folgenabschätzungen liefern. Für KMU wäre das eine enorme Erleichterung und würde die Rechtssicherheit erhöhen.

Angesichts der komplexen Anforderungen an Datenschutz-Folgenabschätzungen stehen viele Datenschutzbeauftragte vor einer großen Herausforderung. Dieser kostenlose Experten-Leitfaden klärt die wichtigsten Fragen zur DSFA-Pflicht und bietet praktische Muster-Vorlagen zur rechtssicheren Umsetzung. So erstellen Sie eine rechtssichere DSFA in wenigen Schritten

Ein weiteres Ziel ist der verbesserte Schutz von Kinder- und Jugenddaten. Die Vorschläge der DSK sind Teil des „Digital Fitness Checks“ der EU-Kommission. Sie sollen die DSGVO an die technologische Entwicklung – insbesondere im Bereich der Künstlichen Intelligenz – anpassen.

Compliance-Experten vor komplexer Aufgabe

Die neuen Regeln und Forderungen kommen zu einer ohnehin dynamischen Zeit. Weitere EU-Gesetze wie der AI Act, der Data Act und der Cyber Resilience Act überlagern sich mit der DSGVO. Für Datenschutzbeauftragte wird die Aufgabe immer komplexer.

Sie müssen sich vom reinen Kontrolleur zum strategischen Berater entwickeln. Gefragt ist ein integriertes Risikomanagement, bei dem Datenschutz-Folgenabschätzungen eine zentrale Rolle spielen. Gleichzeitig könnte der angekündigte Rückzug der Bundesdatenschutzbeauftragten, Prof. Dr. Louisa Specht-Riemenschneider, die Geschwindigkeit nationaler Leitlinien beeinflussen.

Die Europäische Datenschutzbehörde (EDSA) setzt 2026 einen klaren Fokus auf Transparenz. Eine europaweit koordinierte Prüfaktion zu Informationspflichten ist geplant. Unternehmen sollten ihre Datenschutzhinweise daher dringend auf Klarheit und Vollständigkeit überprüfen.

Die Botschaft ist klar: Die Zukunft der DSGVO-Compliance gehört einem proaktiven, risikobasierten Ansatz. Spezialisiertes Wissen, transparente Prozesse und kontinuierliche Weiterbildung werden für Unternehmen unverzichtbar, um in der sich wandelnden digitalen Landschaft bestehen zu können.

boerse | 68999857 |