Deutsch
English
Français
Die DSGVO-Reformpläne der EU-Kommission: Entlastung für kleine und mittlere Unternehmen?
Die EU-Kommission hat einen Plan vorgestellt, mit dem einzelne Änderungen an der Datenschutz-Grundverordnung (DSGVO) vorgenommen werden sollen. Wir stellen hier den Vorschlag vor und ordnen die Überlegungen ein.
Hintergrund der geplanten EU-Reformen
Die Europäische Kommission hat für die Amtszeit 2024 – 2029 einen Plan zur Stärkung der Wettbewerbsfähigkeit europäischer Unternehmen vorgestellt. Ein zentrales Element ist die Reduktion bürokratischer Lasten, insbesondere für kleine und mittlere Unternehmen. Im Rahmen ihrer Agenda für bessere Rechtsetzung stellte die Kommission 2023 fest, dass Berichterstattungsanforderungen für Unternehmen rationalisiert werden müssten, insbesondere für kleine und mittlere Unternehmen. Der Bericht von Mario Draghi zur „Zukunft der europäischen Wettbewerbsfähigkeit“ unterstreicht, dass EU-Rechtsvorschriften KMU und kleine Unternehmen mittlerer Größe (Small Mid-Caps, SMC) unverhältnismäßig stark belasten. Die vorgeschlagenen Änderungen wurden am 21.5.2025 offiziell von der Europäischen Kommission im Rahmen des 4. Omnibus-Paketes bekannt gegeben.
Geplante Änderungen der DSGVO
Konkret umfasst der Vorschlag der EU-Kommission folgende Änderungen:
1. Artikel 4 DSGVO (Begriffsbestimmungen):
Die Begriffsbestimmungen sollen um zwei neue Definitionen ergänzt werden:
• Nr. 27: „Kleinstunternehmen sowie kleine und mittlere Unternehmen“: Hier soll es sich um Unternehmen gemäß der Definition in Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission handeln, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.
• Nr. 28: „kleine Unternehmen mittlerer Größe“: So sollen Unternehmen eingestuft werden im Sinne von Nummer 2 des Anhangs der Empfehlung C(2025) 3500 final der Kommission vom 21. Mai 2025, die keine kleinen und mittleren Unternehmen sind, weniger als 750 Personen beschäftigen und einen Jahresumsatz von höchstens 150 Millionen Euro oder eine Jahresbilanzsumme von höchstens 129 Millionen Euro erzielen.
2. Artikel 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten):
• Änderung der Ausnahmeregelung in Abs. 5: Die Pflicht zur Führung eines Verzeichnisses soll nicht mehr bestehen, wenn ein Unternehmen weniger als 750 Beschäftigte hat. Die Pflicht soll aber weiterhin bestehen, wenn das Unternehmen mit weniger als 750 Mitarbeitern Verarbeitungsprozesse mit einem hohen Risiko für die Betroffenenrechte im Sinne von Art. 35 DSGVO durchführt, also wenn eine Datenschutzfolgenabschätzung durchgeführt werden muss.
3. Artikel 40 DSGVO (Verhaltensregeln/Code of Conduct):
• Erweiterung der Bestimmung, dass bei der Ausarbeitung von Verhaltensregeln auch die besonderen Bedürfnisse kleiner Unternehmen mittlerer Größe (SMC) berücksichtigt werden sollen.
4. Artikel 42 DSGVO (Zertifizierung):
• Ausweitung der Bestimmung, dass bei der Erteilung von Datenschutzzertifizierungen auch die besonderen Bedürfnisse der SMC berücksichtigt werden sollen.
Konkrete Bewertung der geplanten Änderungen
Zu berücksichtigen ist, dass das Verarbeitungsverzeichnis eine wichtige Grundlage für die Umsetzung des Datenschutzes im Unternehmen bildet. Ähnlich wie die Bestellung eines Datenschutzbeauftragten mag die Pflicht im ersten Schritt zunächst als reine Last erscheinen. Jedoch zeigt sich bei näherem Hinsehen schnell, dass beide Maßnahmen grundlegende Bestandteile zur Umsetzung der Datenschutzvorgaben im Unternehmen sind. Das Verarbeitungsverzeichnis bildet einen Pfeiler insofern als es ermöglicht, dass Unternehmen ihre Verarbeitungsschritte kennen und bewerten können. So kann sichergestellt werden, dass die Verarbeitungsvorgänge, ihre Fallstricke und umzusetzenden Pflichten bekannt sind und die Umsetzung der gesetzlichen Vorgaben gewährleistet wird. Auch für die Umsetzung der fortbestehenden Accountability-/Rechenschaftspflicht wird so eine strukturierte Dokumentation sichergestellt.
Weiterhin ist zwar als positiv zu bewerten, dass die bisherige missratene Ausnahmeregelung von Art. 30 Abs. 5 DSGVO vereinfacht werden soll. Allerdings bestehen Zweifel, ob die vorgeschlagene neue Textfassung tatsächlich zu einer Verringerung der Dokumentationspflicht führen wird. Denn der neue Vorschlag sieht vor, dass die Ausnahme nicht gelten soll, wenn eine Verarbeitung durchgeführt wird, die einer Datenschutzfolgenabschätzung gem. Art. 35 DSGVO unterliegt. Das dürfte in fast jedem Unternehmen zumindest in einem oder zwei Fällen erfolgen. Der Wortlaut ist aber unklar, ob sich die Dokumentationspflicht dann nur auf die konkreten Verfahren mit einer DSFA bezieht oder ob dann insgesamt das Verzeichnis zu führen ist. Der Wortlaut soll künftig besagen, dass die Pflicht zum Führen des Verzeichnisses nicht für KMU oder SMC besteht, außer wenn die Verarbeitung, die der Verantwortliche durchführt („the processing it carries out“) wahrscheinlich zu hohen Risiken für die Betroffenen führt. Bei der Formulierung ist unklar, ob die Dokumentation dann nur für die Art.-35-Verfahren oder generell durchgeführt werden muss, da beispielsweise keine Formulierung wie „für diese Verfahren“ oder „eines vollständigen Verarbeitungsverzeichnisses“ enthalten ist. Als Mindestanforderung an Änderungen am geplanten Neuentwurf ist also zu stellen, dass der Gesetzeswortlaut so klar gefasst wird, dass die Reichweite der Pflichten klar wird.
Nicht zuletzt ist dem Plan, die geplanten Änderungen im Eilverfahren zu beschließen, mit großer Skepsis zu begegnen. Nach der Geschäftsordnung des Europäischen Parlaments sind sogenannte Dringlichkeitsverfahren möglich. Dieses gekürzte Verfahren soll bei den vorgeschlagenen Änderungen angewendet werden. Angesichts der Tragweite der geplanten Änderungen sollte das verkürzte Verfahren nicht in Betracht gezogen werden und stattdessen sollten ausführliche Folgenabschätzungen und demokratische Debatten selbstverständlich sein. Das gilt insbesondere, da der Entfall einer Dokumentationspflicht zwar ein neuer politische Wille sein kann, es aber keinen Grund gibt, die Reform nicht dem üblichen gesetzlichen Verfahren zu unterwerfen.
Grundlegende Einordnung der geplanten Änderungen
Die von der EU-Kommission vorgeschlagenen Änderungen zur DSGVO stehen im Spannungsfeld zwischen dem Wunsch nach Entbürokratisierung und der Gefahr einer systematischen Schwächung des Datenschutzes. Der Ansatz, administrative Lasten für kleinere Unternehmen zu reduzieren, ist natürlich berechtigt. Die bisherige Praxis hat gezeigt, dass gerade KMU oft unverhältnismäßig von Compliance-Anforderungen betroffen sind, ohne dass sich dadurch das Datenschutz-Niveau erhöht.
Jedoch ist die große Besorgnis vieler Datenschutzexpert:innen in Bezug auf die vorgeschlagenen Änderungen nachvollziehbar: Der wohl gewichtigste Einwand betrifft die politische Dynamik: Einmal angestoßen, könnte die DSGVO zum Spielball verschiedener Interessengruppen werden. Die DSGVO-Reform steht nicht isoliert, sondern ist Teil einer umfassenderen Deregulierungsagenda der EU. Dadurch kann schnell der Eindruck erweckt werden, dass die Änderung fundamentaler Regularien zur Disposition steht. Die Hemmschwelle, selbst größere Änderungen vorzunehmen, sinkt.
Im Rahmen der Deregulierungsmaßnahmen ist die vorgeschlagene Änderung des Art. 30 DSGVO besonders problematisch. Die Annahme, dass die Unternehmensgröße automatisch mit dem Datenschutzrisiko korreliert, ist fragwürdig. Ein Unternehmen mit 500 Mitarbeitern, das sich beispielsweise auf personalisierte Werbung spezialisiert, kann durchaus erhebliche Risiken für Betroffenenrechte schaffen. Die geplante Erhöhung der Schwelle auf 750 Mitarbeiter erscheint vor diesem Hintergrund willkürlich und nicht einzelfallgerecht. Zudem ist der Begriff „hohes Risiko“ schwammig und interpretationsbedürftig. Ohne klare Kriterien droht eine Rechtsunsicherheit, die letztendlich weder Unternehmen noch Betroffenen hilft. Die bisherige Ausnahmeregelung war bereits so unklar formuliert, dass sie in der Praxis kaum anwendbar war, so dass nun ein weiterer offener Rechtsbegriff ebenso wenig sinnvoll sein kann.
Fazit zu den DSGVO-Reformplänen der EU-Kommission
Die geplanten DSGVO-Änderungen überzeugen in dieser Form nicht. Zwar ist die Unterstützung von KMU durch eine Reduzierung von bürokratischen Anforderungen wünschenswert. Es ist allerdings nicht ersichtlich, dass die aktuell vorgeschlagenen Maßnahmen dazu beitragen könnten. Denn die gesetzlichen Vorgaben müssen auch weiterhin eingehalten werden, gleichzeitig wäre die Datengrundlage im Unternehmen deutlich schlechter. So würde bei den Verantwortlichen eher der Eindruck trügerischer Sicherheit entstehen als eine echte Entlastung.
Sinnvoller wäre die Reduzierung von Aufwänden, die Unternehmen treffen und Betroffenen keinen Vorteil bringen. Beispielsweise betrifft das Datenschutzerklärungen, die eine Vielzahl immer gleicher Informationen enthalten müssen. Die im Entstehungsprozess zur DSGVO angedachte Möglichkeit, Standardverarbeitungen mit Piktogrammen darzustellen, wäre auch ein Gedanke, der wieder aufgegriffen werden und echte Mehrwerte bringen könnte. Auch eine bessere Strukturierung von Auftragsverarbeitungsverträgen und bei den Vorgaben an internationale Datentransfers könnte den Verwaltungsaufwand oft senken, ohne Einschränkungen für die Betroffenenrechte zu bedeuten.
Ihr Ansprechpartner für Datenschutzrecht:
Dr. Matthias Lachenmann
Tel.: +49 221 / 270 956 – 180; E-Mail: matthias.lachenmann@bho-legal.com