Die Europäische Kommission plant, die Pflichten zur Führung von Verzeichnissen von Verarbeitungstätigkeiten nach
Artikel 30 DSGVO zu vereinfachen.
Die Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten soll unter bestimmten Umständen entfallen, und Art 30 (5) DSGVO, der die Ausnahme regelt, soll neu gefasst werden:
’5. The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 750 persons unless the processing it carries out is likely to result in a high risk to the rights and freedoms of data subjects, within the meaning of Article 35.’;
Ziel ist es, insbesondere kleinere und mittlere Unternehmen (KMU) sowie Non-Profit-Organisationen von bestimmten bürokratischen Pflichten zu entlasten.
Kernpunkte des Kommissionsvorschlags
-
Die Ausnahme von der Pflicht zur Führung eines Verzeichnisses iSd Art 30 DSGVO soll künftig nicht nur für Unternehmen mit weniger als 250 Mitarbeitenden gelten, sondern auf Organisationen mit bis zu 750 Mitarbeitenden und einem bestimmten Umsatz ausgeweitet werden. Auch Non-Profit-Organisationen mit weniger als 750 Mitarbeitenden würden profitieren.
-
Die Ausnahme von der Ausnahme (also die Pflicht zur Führung eines Verzeichnisses trotz kleinerer Unternehmensgröße) soll künftig nur noch greifen, wenn die Datenverarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ birgt. Bisher reicht bereits ein „Risiko“ aus.
-
Die Pflicht zur Dokumentation bei gelegentlicher Verarbeitung sowie möglicherweise bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) soll entfallen, sofern die Verarbeitung zur Erfüllung gesetzlicher Pflichten im Bereich Beschäftigung, Sozialversicherung oder Sozialschutz erfolgt.
Bewertung durch EDPB und EDPS
-
Die beiden europäischen Datenschutzgremien (EDPB und EDPS) äußern sich grundsätzlich offen und unterstützen die gezielte Vereinfachungsinitiative vorläufig. Sie betonen, dass die übrigen Pflichten der DSGVO für Verantwortliche und Auftragsverarbeiter weiterhin gelten.
-
Sie fordern von der Kommission eine genauere Analyse, wie viele Unternehmen und Organisationen tatsächlich von der Vereinfachung profitieren würden und welche Auswirkungen dies auf den Datenschutz hat. Ziel ist, ein ausgewogenes Verhältnis zwischen Datenschutz und Interessen der Organisationen zu gewährleisten.
-
Besonders begrüßen die Datenschutzbehörden, dass die Pflicht zur Führung eines Verzeichnisses bei „wahrscheinlich hohem Risiko“ bestehen bleibt. Sie weisen darauf hin, dass auch kleine Unternehmen potenziell risikoreiche Verarbeitungen durchführen können, weshalb ein risikobasierter Ansatz wichtig bleibt.
-
Die Behörden erinnern daran, dass die endgültige Bewertung erst nach einer formellen Konsultation zum Gesetzesentwurf erfolgen kann.
Fazit
Die geplante Reform zielt auf Bürokratieabbau für Unternehmen mit bis zu 750 Mitarbeitenden ab, ohne die
Kernprinzipien der DSGVO aufzugeben.
Die Datenschutzgremien unterstützen eine maßvolle Vereinfachung, fordern aber eine genaue Folgenabschätzung und betonen die Notwendigkeit eines risikobasierten Ansatzes.
Die Debatte um die Balance zwischen Entlastung der Wirtschaft und Schutz der Betroffenenrechte bleibt zentral.
Kommentar schreiben
Michael Gehlert (Donnerstag, 22 Mai 2025 11:50)
Bürokratieabbau für Unternehmen mit bis zu 500 Mitarbeitenden ist ein richtiger und wichtiger Schritt - allerdings - die Mühlen (nicht nur) der EU-Bürokratie mahlen langsam.
Bleibt zu hoffen dass die Umsetzung relativ zeitnah geschieht.