{"id":22584,"date":"2025-05-22T15:59:17","date_gmt":"2025-05-22T13:59:17","guid":{"rendered":"https:\/\/www.iitr.de\/blog\/?p=22584"},"modified":"2025-09-03T13:30:16","modified_gmt":"2025-09-03T11:30:16","slug":"weniger-dokumentationspflichten-eu-plant-aenderungen-an-der-dsgvo","status":"publish","type":"post","link":"https:\/\/www.iitr.de\/blog\/weniger-dokumentationspflichten-eu-plant-aenderungen-an-der-dsgvo\/22584\/","title":{"rendered":"Weniger Dokumentationspflichten? EU plant \u00c4nderungen an der DSGVO"},"content":{"rendered":"

Die Europ\u00e4ische Kommission k\u00fcrzlich einen Vorschlag<\/a> zur \u00c4nderung der Datenschutz-Grundverordnung (DSGVO) vorgelegt, der gezielte Erleichterungen bei der Umsetzung den datenschutzrechtlichen Verpflichtungen vorsieht: Bald werden gr\u00f6\u00dfere Unternehmen, die als \u201eSmall-Mid-Cap-Unternehmen\u201c bezeichnet werden, nicht mehr verpflichtet sein, ein Verzeichnis von Verarbeitungst\u00e4tigkeiten zu f\u00fchren \u2013 es sei denn, es gibt bestimmte Ausnahmen.<\/p>\n

Der Vorschlag wurde im Rahmen des Programms der Europ\u00e4ischen Kommission zur Gew\u00e4hrleistung der Effizienz und Leistungsf\u00e4higkeit der Rechtsetzung (REFIT)<\/a> vorgelegt. Mit diesem Programm soll sichergestellt werden, dass die EU-Rechtsvorschriften ihre Ziele zum Nutzen von B\u00fcrgern und Unternehmen mit m\u00f6glichst geringem Aufwand erreichen.<\/p>\n

Wen betrifft die \u00c4nderung?<\/strong><\/h2>\n

Gem\u00e4\u00df Artikel 30 DSGVO<\/a> sind Verantwortliche und Auftragsverarbeiter bekannterweise verpflichtet, ein Verzeichnis der Verarbeitungst\u00e4tigkeiten zu f\u00fchren. Absatz 5 sieht jedoch eine Ausnahme <\/strong>f\u00fcr Unternehmen mit weniger als 250 Besch\u00e4ftigten<\/strong> vor, sofern die Datenverarbeitung keine Risiken<\/strong> f\u00fcr die Rechte und Freiheiten der betroffenen Personen birgt oder nur gelegentlich<\/strong> erfolgt oder eine Verarbeitung besonderer Datenkategorien gem\u00e4\u00df Artikel 9 Absatz 1<\/a><\/strong> betrifft. Eine Ausnahme, die bislang \u2013 zumindest in Deutschland \u2013 aufgrund der Verarbeitung solcher sensibler Daten (Stichwort: \u201eKirchensteuer\u201c) nicht zur Geltung kam.<\/p>\n

Die EU-Kommission schl\u00e4gt nun vor, diesen Schwellenwert anzuheben<\/strong> und die Regelungen im Sinne einer praxisn\u00e4heren Anwendung zu \u00fcberarbeiten:<\/p>\n

Der m\u00f6glicherweise neue Artikel 30 Abs. 5: \u201eThe obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 750 persons<\/strong> unless the processing it carries out is likely to result in a high <\/strong>risk to the rights and freedoms of data subjects, within the meaning of Article 35.\u201c<\/em><\/p>\n

Ziel ist es, die Ausnahmeregel einerseits rein zahlentechnisch deutlich zu erh\u00f6hen, als auch die Anwendbarkeit praxisrelevanter zu gestalten.<\/p>\n

Definition von SMCs<\/strong><\/h2>\n

Die EU-Kommission orientiert sich bei den Werten an bestehenden Definitionen in anderen Verordnungen. Die \u201eneuen\u201c \u201eSmall-Mid-Cap-Unternehmen\u201c (kurz SMC) sind demnach Unternehmen, die mindestens zwei der folgenden drei Kriterien erf\u00fcllen:<\/p>\n