Die Datenschutzgrundverordnung (DSGVO) und viele weitere EU-Gesetze können gerade für kleine und mittlere Unternehmen eine nicht zu unterschätzende bürokratische Belastung darstellen. Deshalb plant die EU-Kommission laut einer Mitteilung vom 21.05.2025 verschiedene Entlastungsmaßnahmen, darunter auch DSGVO-Vereinfachungen, die eine Einsparung von 400 Millionen Euro im Jahr bedeuten sollen. Da die Erleichterungen auch eine der zentralen Rechenschaftspflichten der DSGVO betrifft, schlagen Datenschützer mittlerweile Alarm. Die geplante Lockerung sei ein Einfallstor für eine weitreichende Deregulierung zulasten des Grundrechtsschutzes.
Geplante Neuregelungen
Zum ersten Mal sollen die materiellrechtlichen Vorgaben der DSGVO angepasst werden. Aus datenschutzrechtlicher Sicht bezieht sich das Entlastungspaket insbesondere auf die Rechenschaftspflicht nach Art. 30 DSGVO. Diese schreibt unteranderem vor, dass jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen muss. Bislang sind Unternehmen mit weniger als 250 Beschäftigten nach Art. 30 Abs. 5 DSGVO unter gewissen Voraussetzungen von der Pflicht zur Führung eines Verzeichnisses befreit.
Der konkrete Vorschlag sieht vor, diese Schwelle deutlich anzuheben. Künftig soll die Grenze laut der Pressemitteilung der EU-Kommission bei 750 Mitarbeitenden liegen. Das sind nochmal 250 Personen mehr als zunächst die geplanten Schwelle von 500. Gleichzeitig soll auch der Maßstab für die Pflicht zur Dokumentation neu gefasst werden. Dokumentiert werden müsse soll nur, wenn ein „hohes Risiko“ für die Rechte betroffener Personen besteht. Bislang genügte jegliche Art eines Risikos, um die Ausnahmeregelung auszuschließen.
Stellungnahme des EDSA
Schon Anfang des Monats haben der Europäische Datenschutzbeauftragte (EDSB) und der Europäische Datenschutzausschuss (EDSA) in einem gemeinsamen Brief Stellung zu den geplanten Änderungen bezogen. EDSA und der EDSB äußerten grundsätzliche Zustimmung, zumindest zu den damals noch geplanten Schwellenwert von 500. Der Vorschlag werde als gezielte Maßnahme verstanden, um unnötige bürokratische Lasten insbesondere für kleinere Organisationen zu reduzieren. Die Aufsichtsorgane betonen dabei allerdings, dass die restlichen zentralen Verpflichtungen zur Einhaltung der DSGVO-Vorgaben unberührt bleiben müssen. Zudem sei es hilfreich, Zahlen zur betroffenen Unternehmenslandschaft sowie zur praktischen und datenschutzrechtlichen Reichweite der Vereinfachung zu erhalten.
Datenschutzrechtliche Kritik
Formal bleibt der gesetzgeberische Eingriff überschaubar. Die Dokumentationspflicht dient allerdings der internen Kontrolle und fördert eine datenschutzfreundliche Organisationsstruktur. In einem Kommentar von netzpolitik.org wird beispielsweise darauf hingewiesen, dass es sich nur um eine „vermeintliche Erleichterung“ handle, denn die Datenschutzvorgaben müssten weiterhin eingehalten werden und Verstöße würden trotzdem sanktioniert. Das Fehlen von sorgfältiger Dokumentation erschwere aber die Einhaltung der gesetzlichen Vorgaben. Positiv bewerte man hingegen die Anpassung des Risikobegriffs. Die bisherige Regelung führe dazu, dass die Ausnahmevorschrift selten greife, da bei Datenverarbeitungen regelmäßig ein „Risiko“ bestehe. Die Anhebung auf ein „hohes Risiko“ sei folglich sinnvoll.
Weitreichende Folgen der DSGVO-Öffnung
Unabhängig von den konkret geplanten Änderungen sehen einige Beobachter diese als Türöffner für eine umfassendere Deregulierung. Deshalb haben über 100 NGOs am 19.05.2025 in einem offenen Brief (abrufbar hier) vor den Gefahren der Öffnung der DGSVO gewarnt. Dies gelte insbesondere vor einem geopolitischen Hintergrund, der Druck auf die EU-Gesetzgebung zur Lockerung von Schutzmechanismen ausübe. Sie weisen auch darauf hin, dass schon im Herbst ein umfassendes Gesetzgebungspaket („Omnibus-IV“) folgen soll, welches noch tiefere Eingriffe in das Datenschutzrecht enthalten könnte.
Fazit
Die EU-Kommission plant DSGVO-Vereinfachungen und setzt damit ein Signal. Gerade für kleine und mittlere Unternehmen klingt der angekündigte Abbau von Dokumentationspflichten im Datenschutz zunächst verlockend. Doch die Anforderungen der DSGVO bleiben bestehen, abgesehen von weniger verpflichtender Papierarbeit. Zur Einhaltung sämtlicher Vorgaben braucht es weiterhin verlässliche und erprobte Strukturen und Verfahren. Ganz ohne Dokumentation und Datenschutzprozesse drohen weiterhin Fehler, die zu Bußgeldern führen können. Die Änderungen könnten aber die Möglichkeit eröffnen, auf die individuellen Bedürfnisse von Unternehmen zugeschnittene Lösungen zu entwickeln. Wir als Externe Datenschutzbeauftragte beraten Sie hierzu gerne.
