Formale Vorgaben sollen erst einmal helfen, also zum Beispiel Strukturen schaffen. Aber Formalien dürfen nicht wichtiger sein als der Inhalt, das wissen auch die Aufsichtsbehörden. Sie haben deshalb schon mehrfach selbst Hinweise gegeben und Vorschläge gemacht, wie sich formale Vorgaben leichter umsetzen lassen, um so auch Aufwände zu reduzieren. 

Diese Wahrnehmung, dass die vielen formalen Vorgaben aus der DSGVO den notwendigen Datenschutz behindern gibt es durchaus - sie greift aus meiner Sicht aber zu kurz. Ja, die formalen Vorgaben der DSGVO werden oft als bürokratisch empfunden (z. B. in der Verwaltung habe ich das häufiger erlebt) und das kann dazu führen, dass Datenschutz als Hindernis wahrgenommen wird und nicht als Unterstützung.

Gleichzeitig sind diese Vorgaben kein Selbstzweck. Sie sollen Transparenz schaffen, Verantwortlichkeiten klären und einen bewussteren Umgang mit personenbezogenen Daten fördern. Vielleicht ist eigentliche Problem weniger die DSGVO als selbst als ihre Umsetzung: Wenn Datenschutz vor allem als "formale Pflichtübung" verstanden wird, kann der Blick für die tatsächlichen Risiken verloren gehen.

Richtig angewendet behindern die Vorgaben den Datenschutz nicht, sondern können ihn strukturieren. Ich denke, es ist relevant sie praxisnah zu interpretieren, verständlich zu vermitteln und in den Arbeitsalltag zu integrieren – dann können sie helfen, Datenschutz wirksam umzusetzen.