Weniger Dokumentationspflichten? EU plant Änderungen an der DSGVO
22.05.2025
Zusammenfassung
Die EU-Kommission schlägt vor, dass Unternehmen mit unter 750 Beschäftigten nur noch dann ein Verzeichnis von Verarbeitungstätigkeiten führen müssen, wenn ihre Datenverarbeitung ein hohes Risiko darstellt. Ziel ist es, mittelgroße Unternehmen zu entlasten – bei gleichzeitiger Wahrung datenschutzrechtlicher Anforderungen.
5 Minuten Lesezeit
Die Europäische Kommission kürzlich einen Vorschlag zur Änderung der Datenschutz-Grundverordnung (DSGVO) vorgelegt, der gezielte Erleichterungen bei der Umsetzung den datenschutzrechtlichen Verpflichtungen vorsieht: Bald werden größere Unternehmen, die als „Small-Mid-Cap-Unternehmen“ bezeichnet werden, nicht mehr verpflichtet sein, ein Verzeichnis von Verarbeitungstätigkeiten zu führen – es sei denn, es gibt bestimmte Ausnahmen.
Der Vorschlag wurde im Rahmen des Programms der Europäischen Kommission zur Gewährleistung der Effizienz und Leistungsfähigkeit der Rechtsetzung (REFIT) vorgelegt. Mit diesem Programm soll sichergestellt werden, dass die EU-Rechtsvorschriften ihre Ziele zum Nutzen von Bürgern und Unternehmen mit möglichst geringem Aufwand erreichen.
Wen betrifft die Änderung?
Gemäß Artikel 30 DSGVO sind Verantwortliche und Auftragsverarbeiter bekannterweise verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Absatz 5 sieht jedoch eine Ausnahme für Unternehmen mit weniger als 250 Beschäftigten vor, sofern die Datenverarbeitung keine Risiken für die Rechte und Freiheiten der betroffenen Personen birgt oder nur gelegentlich erfolgt oder eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 betrifft. Eine Ausnahme, die bislang – zumindest in Deutschland – aufgrund der Verarbeitung solcher sensibler Daten (Stichwort: „Kirchensteuer“) nicht zur Geltung kam.
Die EU-Kommission schlägt nun vor, diesen Schwellenwert anzuheben und die Regelungen im Sinne einer praxisnäheren Anwendung zu überarbeiten:
Der möglicherweise neue Artikel 30 Abs. 5: „The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 750 persons unless the processing it carries out is likely to result in a high risk to the rights and freedoms of data subjects, within the meaning of Article 35.“
Ziel ist es, die Ausnahmeregel einerseits rein zahlentechnisch deutlich zu erhöhen, als auch die Anwendbarkeit praxisrelevanter zu gestalten.
Definition von SMCs
Die EU-Kommission orientiert sich bei den Werten an bestehenden Definitionen in anderen Verordnungen. Die „neuen“ „Small-Mid-Cap-Unternehmen“ (kurz SMC) sind demnach Unternehmen, die mindestens zwei der folgenden drei Kriterien erfüllen:
- weniger als 750 Beschäftigte im Jahresdurchschnitt,
- eine Bilanzsumme von höchstens 129 Mio. EUR,
- ein Jahresnettoumsatz von höchstens 150 Mio. EUR.
Zum Vergleich: KMU gemäß EU-Verlordnung sind Unternehmen mit weniger als 250 Beschäftigten, einem Jahresumsatz bis 50 Mio. EUR oder einer Bilanzsumme bis 43 Mio. EUR.
Die Definition der “SMC” schafft nun auch im Datenschutzrecht eine abzugrenzende Gruppe von Unternehmen zwischen den klassischen KMU und den Großunternehmen.
Wesentliche Änderungen im Überblick
- Erweiterung der Ausnahmeregelung auf SMCs
Die Ausnahme von der Pflicht zur Führung eines Verzeichnisses soll künftig auch für Unternehmen mit weniger als 750 Beschäftigten gelten – allerdings nur, wenn die jeweilige Verarbeitung voraussichtlich kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Die neue Schwelle „hohes Risiko“ ersetzt die bisherige, weiter gefasste Formulierung eines „Risikos“. - Streichung des Merkmals der „gelegentlichen Verarbeitung“ und des Art. 9 Bezugs
Das bisherige Kriterium, dass die Verarbeitung nur „gelegentlich“ erfolgt, soll entfallen. Zudem soll die Verarbeitung personenbezogener Daten besonderer Kategorien nicht mehr automatisch zur Folge haben, ein Verzeichnis der Verarbeitungstätigkeiten führen zu müssen. - Code of Conduct und Zertifizierung
Die vorgeschlagenen Anpassungen betreffen nicht nur Artikel 30 der DSGVO. Die Europäische Kommission sieht auch in Artikel 40 (Code of Conduct bzw. Verhaltensregeln) und Artikel 42 (Zertifizierungsverfahren) Verbesserungsbedarf. Das Ziel besteht darin, eine gezieltere Unterstützung bei der Umsetzung der datenschutzrechtlichen Anforderungen zu bieten:
Neuer Artikel 40 Absatz 1: „The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises and of small mid-cap enterprises.“
Neuer Artikel 42 Absatz 1: „The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises and of small mid-cap enterprises shall be taken into account.“
Ob diese Änderungen in der Praxis tatsächlich Auswirkungen haben werden, bleibt abzuwarten.
Erste Einschätzungen und Kritik
EDSA und EDSB stehen der geplanten Vereinfachung grundsätzlich offen gegenüber – solange andere Verpflichtungen aus der DSGVO unberührt bleiben. Es wird jedoch auch darauf hingewiesen, dass die Auswirkungen der Änderungen auf Unternehmen mit weniger als 500 Beschäftigten genauer untersucht werden müssen, um sicherzustellen, dass ein angemessenes Gleichgewicht zwischen Datenschutz und Unternehmensinteressen erreicht wird.
Fazit
Mit dem aktuellen Vorschlag zur Änderung der DSGVO verfolgt die Europäische Kommission das Ziel, den bürokratischen Aufwand für Unternehmen in der EU zu verringern. Ob die beabsichtigte Entlastung in der Praxis tatsächlich spürbar wird, hängt wesentlich davon ab, wie die Kriterien für „hohes Risiko“ ausgelegt und dokumentiert werden müssen.
Letztlich kommen bei einer ersten Betrachtung Bedenken auf, die Änderungen würden zwar auf dem Papier Unternehmen entlasten, sind jedoch angesichts der bevorstehenden (dokumentierten) Risikoanalyse letztlich obsolet.
