Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Die DS-GVO-Reformpläne der EU-Kommission: Nutzen für Unternehmen oder Schaden des großen Ganzen?

Dr. Matthias Lachenmann ist Partner in der Kanzlei BHO Legal in Köln und Mitglied des ZD-Wissenschaftsbeirats.

ZD 2025, 365   Im Rahmen des Ziels der EU-Kommission, den Draghi-Report umzusetzen und die internationale Wettbewerbsfähigkeit der Europäischen Union zu steigern, veröffentlicht die EU-Kommission derzeit verschiedene Pläne für Gesetzesänderungen. Ein Fokus liegt auf dem Abbau von Bürokratie und der Entlastung von kleineren und mittleren Unternehmen. Dazu soll auch eine Anpassung der DS-GVO erfolgen. Der erste offizielle Änderungsvorschlag für die DS-GVO muss natürlich besonders genau bewertet werden (s. hierzu bereits das ZD-Interview mit Axel Voss und Stefan Brink, ZD 2025, 307).

Zugleich ziehen dunkle Wolken über die EU aus einer anderen Himmelsrichtung auf. Freiheitsrechte stehen durch neue politische Ziele und technologische Entwicklungen an KI-Systemen, mit denen Einschränkungen für Grundrechte der Bürgerinnen und Bürger einhergehen können, unter Druck. Die EU - und nun die DS-GVO - befinden sich in globalen Auseinandersetzungen, in denen es besonders wichtig sein wird, Interessen der Wirtschaft mit denen der Zivilgesellschaft angemessen in Einklang zu bringen.

Geplante Änderungen der DS-GVO

Der Vorschlag der EU-Kommission mit konkreten Formulierungsvorschlägen wurde am 21.5.2025 von der EU-Kommission iRd 4. Omnibus-Pakets bekannt gegeben (COM(2025) 501 final 2025/0130 (COD)). Konkret werden folgende Änderungen vorgeschlagen:

  • Ergänzungen der Begriffsbestimmungen in Art. 4 DS-GVO um zwei neue Definitionen: Zum einen sollen kleine und mittlere Unternehmen („small and medium-sized enterprises“ - SME bzw. KMU) definiert werden, unter Verweis auf die Definition aus Art. 2 Anhang der Empfehlung 2003/361/EG. Damit sind Unternehmen erfasst, die weniger als 250 Mitarbeiter und einen Jahresumsatz von unter 50 Mio. EUR bzw. eine Jahresbilanz von unter 43 Mio. EUR aufweisen. Zusätzlich soll eine neue Kategorie eingeführt werden: kleine Unternehmen mittlerer Größe („small mid-cap enterprises“ - SMC). Nach Nr. 2 Anhang der Empfehlung C(2025) 3500 final handelt es sich hierbei um Unternehmen, die größer als KMU sind, aber zugleich weniger als 750 Personen beschäftigen und einen Jahresumsatz von höchstens 150 Mio. EUR oder eine Jahresbilanzsumme von höchstens 129 Mio. EUR erzielen.
  • Erweiterung der Ausnahmeregelung zum Führen eines Verarbeitungsverzeichnisses in Art. 30 Abs. 5 DS-GVO: Ziel des Vorschlags ist, dass weniger Unternehmen als bislang dazu verpflichtet sein sollen, ein Verarbeitungsverzeichnis zu führen. Die Dokumentationspflicht soll nicht mehr bestehen, wenn ein Unternehmen weniger als 750 Beschäftigte hat. Jedoch wird eine Gegenausnahme aufgenommen: Ein Verarbeitungsverzeichnis soll weiterhin geführt werden müssen, wenn das Unternehmen Verarbeitungsprozesse mit einem hohen Risiko für die Rechte der Betroffenen gem. Art. 35 DS-GVO durchführt.
  • Ergänzung zum Code of Conduct nach Art. 40 DS-GVO: Geplant ist eine Erweiterung der Bestimmung durch einen Hinweis, dass bei der Ausarbeitung von Verhaltensregeln auch die besonderen Bedürfnisse der KMU und SMC berücksichtigt werden sollen.
  • Ergänzung zur Zertifizierung nach Art. 42 DS-GVO: Auch hier soll ein Hinweis aufgenommen werden, dass bei der Erteilung von Datenschutzzertifizierungen auch die besonderen Bedürfnisse der KMU und SMC berücksichtigt werden sollen.

Grundlegende Einordnung des Reformvorschlags

Die vorgeschlagenen Änderungen bewegen sich im Spannungsfeld zwischen sinnvoller Entbürokratisierung und einer Absenkung des Datenschutzniveaus. Ein grundlegender Einwand betrifft zunächst die politische Dynamik: wird einmal eine Änderung vorgenommen, könnte die DS-GVO schnell (erneut) zum Spielball verschiedener Interessengruppen werden. So könnte die Hemmschwelle, selbst größere Abschwächungen digitaler Rechte vorzunehmen, sinken. Zweifelhaft ist auch der Plan, die vorgeschlagenen Änderungen im Eilverfahren zu beschließen. Angesichts der Tragweite der geplanten Änderungen sollte aber die Zeit für umfassende Folgenabschätzungen und demokratische Debatten genutzt werden, statt ein Dringlichkeitsverfahren zu nutzen.

Der Reformvorschlag ist auch vor dem Hintergrund der Umwälzungen auf der transatlantischen Ebene zu bewerten: Derzeit ist in den USA zu erleben, wie schnell bei privaten oder öffentlichen Stellen vorhandene personenbezogene Daten zweckentfremdet werden können. Die Daten können als Ressource für KI-Training eingesetzt werden mit einem nur einmaligen Widerspruchsrecht (zB durch Meta, vgl. OLG Köln Beschl. v. 23.5.2025 - 15 UKl. 2/25, aber auch durch Training mit Behördendaten durch das angebliche US Department of Government Efficiency (DOGE), dazu zB https://futurism.com/elon-musk-doge-ai-government). Auch werden Daten inzwischen durch Behörden für neu festgelegte Zwecke eingesetzt (zB die Datenübertragung von der US-Steuerbehörde an die US-Zoll- und Polizeibehörde (Immigration and Customs Enforcement - ICE; vgl. hierzu https://americanoversight.org/heres-what-the-government-tried-to-keep-hidden-in-the-irs-ice-data-sharing-agreement/). Was in den USA zunächst als „Bürokratieabbau“ verharmlost wurde, scheint immer mehr zu einem Demokratieabbau zu werden. Daher stellt sich die Frage, wie die Grundrechte auf informationelle Selbstbestimmung und Achtung des Privat- und Familienlebens in der EU unter Druck geraten werden.

Bewertung der vorgeschlagenen Änderungen an der DS-GVO

Die vorgeschlagenen Änderungen sind einerseits minimal: Der Hinweis auf die Berücksichtigung der Interessen von KMU und SMC bei Code of Conduct und Zertifizierungen ist kaum der Rede wert, da die beiden Konstrukte in der Praxis - leider! - kaum eine Rolle spielen. Zudem ist es bereits eindeutig, dass in der DS-GVO der risikobasierte Ansatz verankert ist, die Interessen von KMU und SMC also bereits berücksichtigt werden (zB bei den technischen und organisatorischen Maßnahmen).

Auch die vorgeschlagene Ausnahmeregelung zum Verarbeitungsverzeichnis und die Gegenausnahme sind kritisch zu bewerten. Die Praxis zeigt, dass das Verarbeitungsverzeichnis zwar aufwändig erstellt und gepflegt werden muss, aber zugleich eine wichtige Grundlage für die Umsetzung des Datenschutzes im Unternehmen bildet. Denn das Verarbeitungsverzeichnis hilft Unternehmen, ihre Datenverarbeitung transparent zu erfassen, Risiken zu erkennen und gesetzliche Pflichten gezielt umzusetzen. Der Wegfall des Erfordernisses eines Verarbeitungsverzeichnisses entledigt Unternehmen nicht der Pflicht, ihre Prozesse datenschutzkonform zu gestalten. Ähnlich wie mit der Position des Datenschutzbeauftragten, mit der eine effektive Umsetzung gesetzlicher Vorgaben gewährleistet werden kann, schafft das Verarbeitungsverzeichnis die notwendige Grundlage für die Einhaltung der Rechenschaftspflicht durch strukturierte Dokumentation. Eine solche Umsetzung kann unabhängig von der Mitarbeiterzahl von Bedeutung sein, zumal die Unternehmensgröße nicht mit dem Risiko für die Betroffenen korreliert.

Die vorgeschlagene Formulierung der Gegenausnahme weckt Zweifel, ob das Ziel wirklich erreicht werden kann. Denn die Dokumentation soll weiterhin erfolgen, wenn eine Verarbeitung stattfindet, die ein hohes Risiko für Betroffenenrechte birgt und daher eine Datenschutzfolgenabschätzung (DSFA) erfordert. Im Zweifel werden Unternehmen gezwungen sein, alle Verarbeitungstätigkeiten zu bewerten und zu dokumentieren, um nachzuweisen, dass mit der Verarbeitung keine hohen Risiken bestehen. Ein widersprüchliches Ergebnis, das keine Verbesserung schaffen würde. Auch der Wortlaut zu den Anschlussproblemen ist unpräzise: Präzisierende Formulierungen wie „für diese Verfahren“ oder „eines vollständigen Verarbeitungsverzeichnisses“ fehlen. Insofern bleibt unklar, ob eine DSFA-pflichtige Verarbeitung im Unternehmen dazu führt, dass nur für das konkrete Verfahren ein Verzeichnis geführt werden muss oder ob dadurch für das gesamte Unternehmen ein Verzeichnis zu führen ist. Mindestens wäre also eine Klarstellung des Wortlauts wünschenswert, da sonst die Lage mit der jetzigen Situation vergleichbar wäre, dass sich fast niemand auf die Ausnahme stützen würde.

Eine Vereinfachung wäre in Bezug auf das Verarbeitungsverzeichnis aber sinnvoll: Art. 30 Abs. 2 DS-GVO könnte gestrichen werden. Die Norm verpflichtet Dienstleister, ein weiteres Verarbeitungsverzeichnis zu führen, das sich auf im Auftrag eines Verantwortlichen durchgeführte Verarbeitungstätigkeiten bezieht. Die Pflicht muss als unnötige Förmelei bezeichnet werden, da die Informationen sowieso dokumentiert sind - im Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DS-GVO und im Auftragsverarbeitungsvertrag mit seinen Anlagen. Daher wäre die Norm des Art. 30 Abs. 2 DS-GVO eine gute Möglichkeit für einen Bürokratieabbau.

Vorschläge für praxisnähere Anpassungen

Die Praxis der letzten Jahre zeigte, dass der Abbau bürokratischen Aufwands an der DS-GVO möglich wäre, ohne das Schutzniveau für betroffene Personen zu senken. Einzelne Ideen seien hier aufgeführt:

  • Der Anwendungsbereich der DS-GVO sollte eingeschränkt werden durch Erweiterung der sog. Haushaltsausnahme. Bei gemeinnützigen Vereinen sind Erleichterungen sinnvoll, indem die Pflichten auf ein Minimum zurückgeführt und offizielle Muster bereitgestellt werden.
  • Datenschutzerklärungen haben oft einen immensen Umfang, was aus der Nutzung von Generatoren folgt, die deutlich mehr als das gesetzliche Mindestmaß darstellen, aber auch aus unnötigen Vorgaben der Art. 13 f. DS-GVO. ZB kann die ständige Wiederholung der bestehenden Betroffenenrechte gestrichen werden. Stattdessen könnte mit den in der DS-GVO vorgesehenen Piktogrammen gearbeitet werden.
  • Bei der Interessenabwägung wäre eine Einschränkung der Transparenzvorgaben möglich, die durch den EuGH zuletzt verschärft wurden (zB EuGH ZD 2025, 267 mAnm Hanloser Rn. 44 ff.). Dazu könnte klargestellt werden, dass die Beschreibung grundlegender Informationen zur intern dokumentierten Interessenabwägung ausreichend ist.
  • Die abstrakten Vorgaben an die Datenminimierung in Art. 25 DS-GVO sind weitgehend zahnlos. Denkbar wäre es, die Norm vollständig oder zumindest für KMU und SMC zu streichen, da die Vorgaben in der Erforderlichkeitsprüfung berücksichtigt bleiben.
  • Der erhebliche Aufwand der Verhandlung und Dokumentation von Auftragsverarbeitungsverträgen könnte abgesenkt werden, indem die EU ein rechtsverbindliches Muster bereitstellt, das die Parteien zwingend nutzen müssen. So könnte verhindert werden, dass Dienstleister „durch die Hintertür“ Einschränkungen ihrer vertraglich geschuldeten Rechte vornehmen; der Aufwand des Vertragsabschlusses wäre deutlich reduziert.

Fazit zu den Reformplänen

Die geplanten Änderungen der DS-GVO verfolgen das richtige und wichtige Ziel, KMU und SMC zu entlasten. Jedoch würde der notwendige Bürokratieabbau mit dem aktuellen Vorschlag kaum umgesetzt: Die gesetzlichen Vorgaben müssen auch ohne Verarbeitungsverzeichnis eingehalten werden, während sich gleichzeitig die Datengrundlage im Unternehmen verschlechtern würde. Die EU-Kommission sollte ihre Reformbemühungen darauf ausrichten, Veränderungen zu definieren, die Grundrechte nicht absenken, aber dennoch bürokratischen Aufwand für Unternehmen verringern.

 


Anzeigen:

 

beck-online DatenschutzR

Teilen:

Menü