TL;DR: Die EU-Kommission hat 2025 eine Reform der DSGVO-Durchsetzung vorgeschlagen. Kleinere Unternehmen sollen entlastet werden, die Durchsetzung vereinheitlicht und neue Regelungen für KI-Datenverarbeitung kommen. Was das für österreichische KMU bedeutet.
Was sich an der DSGVO ändert
Die DSGVO selbst bleibt bestehen — sie wird nicht ersetzt. Aber die EU-Kommission hat erkannt, dass die Durchsetzung uneinheitlich ist und kleine Unternehmen übermäßig belastet werden. Die Reform zielt auf drei Bereiche:
1. Vereinfachung für KMU
Die größte Erleichterung: Vereinfachte Verarbeitungsverzeichnisse für Unternehmen unter 250 Mitarbeitern. Statt umfangreicher Dokumentation soll ein vereinfachtes Formular ausreichen.
Außerdem: Klarere Leitlinien zu Einwilligungen, weniger Bürokratie bei der Datenschutzfolgenabschätzung (DPIA) für Standardverarbeitungen.
2. Einheitliche Durchsetzung
Bisher: Jede nationale Datenschutzbehörde hat die DSGVO unterschiedlich ausgelegt. Irland (wo Meta, Google, Apple sitzen) war bekannt für milde Strafen, Österreich für strengere Auslegung. Die Reform soll das vereinheitlichen.
3. KI und automatisierte Entscheidungen
Neue Klarstellungen zur Verarbeitung personenbezogener Daten durch KI-Systeme — in Ergänzung zum EU AI Act.
Was das für dein Unternehmen bedeutet
Cookie-Consent bleibt
Keine Erleichterung bei Cookies. Die ePrivacy-Verordnung (der Cookie-Banner-Killer, der seit Jahren diskutiert wird) ist weiterhin nicht verabschiedet. Cookie-Banner bleiben uns 2026 erhalten.
Weniger Papierkram für KMU
Wenn die Reform durchkommt, wird die Dokumentationspflicht für KMU vereinfacht. Aber: Die Grundprinzipien der DSGVO gelten weiterhin — Einwilligung, Zweckbindung, Datenminimierung.
KI-Datenverarbeitung
Wenn du KI-Tools einsetzt, die Kundendaten verarbeiten (z.B. Chatbots, personalisierte Empfehlungen), brauchst du eine klare Rechtsgrundlage. Die Reform soll hier klarere Regeln schaffen.
Was du jetzt schon tun solltest
- Datenschutzerklärung aktuell halten — alle eingesetzten Tools und Verarbeitungszwecke auflisten
- Cookie-Consent sauber implementieren — echte Einwilligung, kein Dark Pattern
- Verarbeitungsverzeichnis führen — auch wenn die Vereinfachung kommt, die Basics müssen stimmen
- KI-Tools dokumentieren — welche Daten werden an welche KI-Dienste gesendet?
- Auftragsverarbeitungsverträge — mit allen Dienstleistern die Zugriff auf personenbezogene Daten haben
DSGVO-Checkliste für KMU-Websites
- ✅ SSL-Zertifikat (HTTPS)
- ✅ Datenschutzerklärung (vollständig, aktuell, verständlich)
- ✅ Impressum
- ✅ Cookie-Consent mit echten Optionen (nicht nur "OK")
- ✅ Kontaktformulare mit Datenschutzhinweis
- ✅ Google Analytics mit IP-Anonymisierung oder Consent-Pflicht
- ✅ Newsletter mit Double-Opt-In
- ✅ Keine Datenübertragung in Drittstaaten ohne Rechtsgrundlage
- ✅ Auftragsverarbeitungsverträge mit allen Dienstleistern
Fazit
Die DSGVO-Reform bringt hoffentlich Erleichterungen für KMU. Aber die Grundpflichten bleiben. Wer jetzt sauber aufgestellt ist, profitiert von der Vereinfachung — wer es bisher ignoriert hat, muss nachholen.
Bei r.digital implementieren wir DSGVO-konformes Tracking und Consent-Management bei jedem Website-Projekt. Kein Nachgedanke, sondern Teil des Prozesses.
Häufige Fragen
Wann tritt die DSGVO-Reform in Kraft?
Der Vorschlag ist von 2025. Erfahrungsgemäß dauert die EU-Gesetzgebung 2-3 Jahre. Realistische Erwartung: 2027-2028. Bis dahin gilt die aktuelle DSGVO unverändert.
Muss ich meinen Cookie-Banner ändern?
Stand jetzt: Nein. Die Cookie-Regelungen bleiben vorerst unverändert. Achte aber darauf, dass dein Banner den aktuellen Anforderungen entspricht: echte Ablehnung möglich, kein Dark Pattern, Consent vor Tracking.
Betrifft die KI-Regelung meinen ChatGPT-Einsatz?
Wenn du ChatGPT intern nutzt (ohne Kundendaten einzugeben): keine DSGVO-Relevanz. Wenn du einen Chatbot auf deiner Website hast, der Kundendaten verarbeitet: ja, DSGVO und AI Act relevant.
