Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 sind europäische Unternehmen verpflichtet, umfassende Nachweise über die Einhaltung datenschutzrechtlicher Vorgaben zu führen. Auch wenn sich der grundrechtliche Anspruch auf Datenschutz seither europaweit gestärkt hat, wurde der damit einhergehende Verwaltungsaufwand, insbesondere für kleine und mittlere Unternehmen, wiederholt kritisiert. Nun hat die EU-Kommission im Rahmen einer vierten „Omnibus-Vereinfachung“ einen Vorschlag für gezielte Änderungen unterbreitet. Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) unterstützen die DSGVO-Vereinfachung in einer gemeinsamen Stellungnahme vom 09.07.2025. Sie fordern aber auch präzisere Regelungen und weitere Klarstellungen.
Was soll sich ändern?
Zum ersten Mal sollen die materiellrechtlichen Vorgaben der DSGVO angepasst werden. Aus datenschutzrechtlicher Sicht bezieht sich das Entlastungspaket insbesondere auf die Rechenschaftspflicht nach Art. 30 DSGVO. Diese schreibt unteranderem vor, dass jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen muss. Bislang sind Unternehmen mit weniger als 250 Beschäftigten nach Art. 30 Abs. 5 DSGVO unter gewissen Voraussetzungen von der Pflicht zur Führung eines Verzeichnisses befreit.
Der Vorschlag soll diese Schwelle deutlich anzuheben. Künftig soll die Grenze laut der EU-Kommission bei 750 Mitarbeitenden liegen. Das sind 250 Personen mehr als die zunächst geplanten Schwelle von 500. Gleichzeitig soll auch der Maßstab für die Pflicht zur Dokumentation neu gefasst werden. Dokumentiert werden solle nur, wenn ein „hohes Risiko“ für die Rechte betroffener Personen besteht. Bislang genügte jegliche Art eines Risikos, um die Ausnahmeregelung auszuschließen.
Gleichzeitig sieht der Kommissionsentwurf vor, in Artikel 4 DSGVO erstmals eine Definition von Kleinstunternehmen, kleinen und mittleren Unternehmen (KMU) sowie sogenannten „Small Mid-Caps“ (SMC) zu verankern. Der letzte Begriff soll künftig auch für den Anwendungsbereich von Verhaltenskodizes (Art. 40 DSGVO) und Zertifizierungen(Art. 42 DSGVO) gelten.
Ziel: Weniger Dokumentationsaufwand für den Mittelstand
Mit dem Vorschlag verfolgt die Kommission das Ziel, die DSGVO-Pflichten insbesondere für den Mittelstand praktikabler zu gestalten. Die neue Schwelle soll laut der Pressemitteilung des EDSA Unternehmen zusätzliche Flexibilität bieten, wie sie ihre datenschutzrechtlichen Nachweispflichten erfüllen, ohne dabei die Schutzziele der Verordnung aufzuweichen. Dies sei besonders wichtig, da viele kleinere Unternehmen bereits heute mit begrenzten Ressourcen den hohen Anforderungen begegnen müssen. Gleichzeitig zeigt sich aber auch, dass das Verzeichnis der Verarbeitungstätigkeiten kein Selbstzweck ist, sondern häufig die Basis für ordnungsgemäße Erfüllung weitere datenschutzrechtliche Pflichten, wie Anu Talus, Vorsitzender des EDSA, erklärt.
Bewertung durch EDSA und EDSB: Grundsätzliche Unterstützung
Schon Anfang Mai hatten EDSB und EDSA in einem gemeinsamen Brief Stellung zu den geplanten Änderungen bezogen. Die beiden EU-Einrichtungen äußerten grundsätzliche Zustimmung, zumindest zu den damals noch geplanten Schwellenwert von 500. Der Vorschlag werde als gezielte Maßnahme verstanden, um unnötige bürokratische Lasten zu reduzieren. Die Aufsichtsorgane betonten allerdings schon damals, dass die restlichen zentralen Verpflichtungen zur Einhaltung der DSGVO-Vorgaben unberührt bleiben müssen.
Auch in ihrer gemeinsamen Stellungnahme (abrufbar hier) unterstützen EDSA und EDSB den Ansatz der gezielten Entlastung ausdrücklich weiter unter der Bedingung, dass die Grundrechte der betroffenen Personen dadurch nicht geschwächt werden. Die vorgeschlagene Änderung wird daher durch Wojciech Wiewiórowski, den Europäischen Datenschutzbeauftragten, grundsätzlich als „zielgerichtet und begrenzt“ bewertet. Insbesondere begrüßen die Gremien, dass sich die Reform auf eine einzelne Verpflichtung fokussiert und weder Grundprinzipien noch andere Verpflichtungen der DSGVO in Frage stellt.
Verbesserungsvorschläge von EDSA und EDSB
Gleichzeitig äußern EDSA und EDSB Bedenken hinsichtlich der begrifflichen Unschärfe des Vorschlags. So wird kritisiert, dass die neue Schwelle von 750 Beschäftigten, im Vergleich zu den vorherigen 500, nicht näher begründet ist. Zudem sei klarzustellen, dass der Begriff „Organisation“ in Artikel 30 Absatz 5 auch öffentliche Stellen, wie Behörden und Einrichtungen, erfasst. Auch werde im Vorschlag keine klare Verknüpfung zu den neu eingeführten KMU-und SMC-Definitionen hergestellt, obwohl diese auch finanzielle Charakteristika enthalten. Um gezielt den Mittelstand zu entlasten, müssten die Erleichterungen jedoch zwingend an diese neuen Definitionen anknüpfen.
Bedeutung für Unternehmen
Sollte es zur Verabschiedung der Vereinfachungen kommen, könnte das eine Entlastung für kleine und mittlere Unternehmen bedeuten. Um Risiken zu vermeiden sollten Unternehmen allerdings zunächst sorgfältig prüfen, ob sie tatsächlich von der Privilegierung aufgrund der Unternehmensgröße betroffen sind. Aber auch wenn es sich um ein KMU oder SMC handelt, kann eine Dokumentation weiterhin erforderlich sein, wenn beispielsweise sensible personenbezogene Daten verarbeitet werden oder für Betroffene das zuvor beschriebene „hohe Risiko“ besteht. Deshalb ist im nächsten Schritt eine Prüfung der konkreten Verarbeitungstätigkeit notwendig. Beispielsweise stellt die Verarbeitung von Gesundheitsdaten häufig ein hohes Risiko dar, während ein solches beim bloßen Versenden von Newslettern oft fehlt. Da es sich aber anders als bei festgeschriebenen Mitarbeiterzahlen um offene Kriterien handelt, ist eine sorgfältige Ausarbeitung des Risikoniveaus erforderlich. Deshalb empfiehlt es sich, spätestens jetzt eine Beratung durch Externe Datenschutzbeauftragte hinzuzuziehen, um langfristig rechtlich auf der sicheren Seite zu sein.
Fazit
Der Vorschlag der EU-Kommission zur Änderung des Artikels 30 Absatz 5 DSGVO stellt einen sinnvollen und praxisorientierten Schritt zur Entlastung kleiner und mittlerer Unternehmen dar. EDSA und EDSB unterstützen diese DSGVO-Vereinfachung, fordern aber auch klare Definitionen und Strukturen, etwa im Hinblick auf den konkreten Anwendungsbereich der Erleichterung. Unternehmen, gerade KMU und SMC sollten die weitere Entwicklung des Gesetzgebungsverfahrens aufmerksam verfolgen. Das gilt nicht zuletzt, um frühzeitig abschätzen zu können, ob und inwieweit sich daraus auch für ihre Datenschutzorganisation konkrete Vereinfachungen und Umstellungen ergeben könnten.
