Die Europäische Kommission legte am 21. Mai 2025 einen Vorschlag zur Änderung der Datenschutz-Grundverordnung (DSGVO) vor, der insbesondere Unternehmen mit weniger als 750 Beschäftigten entlasten soll. Während das Ziel der Entbürokratisierung auf Zustimmung stößt, sehen viele Nichtregierungsorganisationen und Datenschutzexperten die Gefahr einer Aushöhlung zentraler Schutzmechanismen.
Zentrale Punkte des DSGVO-Reformvorschlags
Mit dem Reformvorschlag (als PDF verfügbar) sollen neben neu hinzugefügten Definitionen drei DSGVO-Artikel inhaltlich angepasst werden. Im Mittelpunkt stehen dabei Erleichterungen für KMU und sogenannte Small-Mid-Cap-Unternehmen, die größenmäßig zwischen klassischen KMU und großen Unternehmen liegen. Auch sie sollen in Zukunft von Erleichterungen profitieren.
Dabei betreffen die Änderungen zwei Themengebiete:
Verzeichnisse von Verarbeitungstätigkeiten (VVT)
Art. 30 DSGVO, der die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten regelt, soll angepasst werden: Unternehmen mit weniger als 750 Beschäftigten sollen grundsätzlich von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten ausgenommen werden – es sei denn, die konkrete Datenverarbeitung birgt voraussichtlich ein hohes Risiko im Sinne von Art. 35 DSGVO. Damit würden viele Organisationen bei einer der zentralen Dokumentationspflichten der DSGVO erheblich entlastet.
Stärkere Berücksichtigung von KMU bei Verhaltensregeln und Zertifizierungen
Art. 40 und 42 DSGVO, die Verhaltensregeln und Zertifizierungen regeln, sollen dahingehend geändert werden, dass die besonderen Bedürfnisse von Small-Mid-Cap-Unternehmen bei der Entwicklung von Verhaltensregeln sowie bei Datenschutz-Zertifizierungen ausdrücklich berücksichtigt werden.
Kritik: Öffnet die DSGVO-Reform die Büchse der Pandora?
Zahlreiche Nichtregierungsorganisationen und Datenschutzexperten, wie etwa die 108 Unterzeichner des EDRi-Schreibens an die Europäische Kommission, haben sich gegen die Anpassung der DSGVO ausgesprochen. Sie befürchten, dass die Reform zentrale Datenschutzprinzipien wie die Rechenschaftspflicht untergraben und den risikobasierten Ansatz der Verordnung schwächen könnte.
Statt einer Deregulierung fordern die Kritiker eine konsequente Durchsetzung der bestehenden Regeln sowie gezielte Unterstützung für kleinere Akteure, um den Schutz der Grundrechte im digitalen Raum zu gewährleisten.
Die Bedenken sind aus zweierlei Sicht nicht unbegründet:
- Zum einem zeigte das Gesetzgebungsverfahren bei der Einführung der DSGVO, dass kaum ein anderes Thema mehr Interessenvertreter auf den Plan rufen kann. Diese könnten sich nun von der offenen Büchse der Pandora angesprochen fühlen.
- Zum anderen bilden Verzeichnisse von Verarbeitungstätigkeiten eine Grundlage für alle anderen datenschutzrechtlichen Compliance-Bemühungen von Unternehmen. Es ist fraglich, wie Unternehmen ohne diese klare Übersicht sämtlicher durch sie durchgeführten Verarbeitungen ihre sonstigen Datenschutzpflichten erfüllen sollen (siehe unten).
Offene Fragen von Datenschutzexperten
Aus unserer Sicht als Datenschutzexperten bleiben mehrere Fragen hinsichtlich des Kommissionsvorschlags zur DSGVO-Reform offen:
Unternehmen mit weniger als 750 Beschäftigten müssten nach dem Reformvorschlag nach wie vor Verzeichnisse von Verarbeitungstätigkeiten für diejenige Verarbeitungen führen, die voraussichtlich ein hohes Risiko für die Betroffenen darstellen. Es stellt sich die Frage, wie die Unternehmen dies feststellen sollen. Hierfür wird eine Bewertung sämtlicher Verarbeitungstätigkeiten notwendig sein. Im Lichte der in Art. 5 Abs. 2 DSGVO verankerter Rechenschaftspflicht ist die Vermutung naheliegend, dass diese Bewertung schriftlich erfolgen soll. Folglich werden Unternehmen zwar entlastet, aber nicht in dem Umfang, den man zunächst vermuten würde.
Verzeichnisse von Verarbeitungstätigkeiten stellen zudem eine Grundlage für alle weiteren Maßnahmen im Datenschutz dar. Dies ist besonders relevant, wenn sich ein Unternehmen auf sein berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung stützen will. In dem Fall muss es nach Art. 13 ff. DSGVO betroffene Personen etwa über das konkret verfolgte berechtigte Interesse informieren. Laut dem SNCF Connect-Urteil des Gerichtshofs der Europäischen Union können sich Verantwortliche zudem nur dann auf ein berechtigtes Interesse als Rechtsgrundlage stützen, wenn sie Betroffene zum Zeitpunkt der Datenerhebung über dieses Interesse informierten.
Wenn Unternehmen aber keine Verzeichnisse von Verarbeitungstätigkeiten führen, stellt sich die Frage, wie sie den Überblick über alle von ihnen verfolgten berechtigten Interessen behalten sollen. Dies ist ein wesentlicher Schritt, denn wenn sie dabei welche übersehen, riskieren sie nicht nur, keine gültige Rechtsgrundlage für die Verarbeitung zu haben, sondern auch, ihre Informationspflichten unzureichend zu erfüllen.
Einordnung und Ausblick zur DSGVO-Reform
Mit dem Reformvorschlag verfolgt die Europäische Kommission ihre jüngste Strategie der Überprüfung des gesetzlichen Rahmens in der EU und der vorsichtigen Deregulierung. Der Auslöser sind die geänderten Rahmenbedingungen des weltweiten Handels.
Während sich einige Organisationen gegen die DSGVO-Reform aussprechen, kann vermutet werden, dass sich Unternehmen von der Reform tiefgreifendere Entlastungen erhofft haben.
Wer sich noch an den gesetzgeberischen Verfahren bei der Einführung der DSGVO erinnert, weiß, dass in kaum einem anderen EU-Gesetzgebungsverfahren so viel Lobbyarbeit betrieben wurde. Vermutlich wird es diesmal kaum anders sein. Daher ist zu diesem Zeitpunkt noch vollständig offen, in welcher Form und wann die DSGVO-Reform letztlich verabschiedet wird.
