Die EU-Kommission arbeitet an Vorschlägen zur Novellierung der im Mai 2018 in Kraft getretenen Datenschutzgrundverordnung (DSGVO). Nun bekannt gewordene Überlegungen sehen vor, dass Firmen mit bis zu 749 Mitarbeitern von der DSGVO-Dokumentationspflicht auszunehmen seien.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Bei Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 (siehe Hinweise zur Datenschutz-Grundverordnung (DSGVO)) hieß es, dass in einigen Jahren geschaut wird, wie die Verordnung wirkt und dann ggf, eine Novellierung erfolge. Seit dieser Zeit sorgt die DSGVO und vor allem die Umsetzung für viele Diskussionen.
Seit einigen Monaten verdichten sich die Anzeigen, dass die EU-Kommission nun endlich die Novelle aufgreifen will. Ich hatte vor einiger Zeit erstmals im Beitrag EU will DSGVO bald aufweichen über entsprechende Pläne berichtet. Ursprüngliches Ziel der Novelle ist es, die DSGVO in Europa einheitlich besser durchsetzbar zu machen. Speziell die irische Datenschutzbehörde ist oft Bremsklotz, wenn es um Verfahren gegen US-Techkonzerne geht. Die Irish Data Protection Commission (IDPC) ist zuständig, dass diese Konzerne ihren EU-Sitz in Irland haben.
Andererseits erleben wir seit Monaten, dass in der deutschen Politik über die "Einschränkungen der Datenschutzgrundverordnung" geschossen wird. Diese würde die Innovation und wirtschaftliche Entwicklung behindern und müssen angepasst werden.
Grundsätzlich wäre eine Novelle, die den Kern der DSGVO erhält, diese aber vereinfacht und für Unternehmen rechtssicherer macht, zu begrüßen. Aber wie so oft liegt des Teufels Kern in den Details. Denn im Entwurf für die Novelle wurden die ursprünglichen Ziele wohl arg ausgeweitet. Das ruft Proteste von Datenschutzorganisationen hervor, die diese Dokumente wohl einsehen konnten.
Offener Brief der EDRi gegen Änderungspläne
Die Zivilgesellschaft (EDRi), ein Zusammenschluss diverse Datenschutzorganisationen, der die Novellierungspläne der EU-Kommission wohl als Entwurf bekannt sind, hat in einem offenen Brief vom 19. Mai 2025 gegen einzelnen Inhalte dieser Novellierungspläne der EU-Kommission protestiert. In dem, von einer Reihe Datenschutzorganisationen unterzeichneten, Brief wird und argumentiert, dass die DSGVO mehr als nur eine Verordnung sei. Die DSGVO sei das Rückgrat des digitalen Regelwerks der EU, eine hart erkämpfte Errungenschaft, die hohe Standards setzt und die Würde der Menschen in einer datengesteuerten Welt schützt. Ihre Auswirkungen reichten weit über die Grenzen der EU hinaus und beeinflussen die digitale Governance weltweit.
Die Vorschläge der EU-Kommission enthalten wohl einen Vorstoß zur Änderung einiger Bestimmungen, die kleine und mittlere Unternehmen unterstützen sollen, um die Rechtssicherheit zu erhöhen und die Durchsetzung zu stärken. Diese seien in der Theorie gut, die Organisationen zeigen sich jedoch besorgt, dass die vorgeschlagenen Änderungen das Risiko bergen, das Ziel einer echten Vereinfachung zu verfehlen, und stattdessen wichtige Schutzmechanismen für die Rechenschaftspflicht zu schleifen.
Worum geht es genau?
Beim Querlesen des offenen Briefs ist mir nicht klar geworden, was angesprochen wird. Aber heise hat im Artikel Zivilgesellschaft: EU-Plan für DSGVO-Reform öffnet die Büchse der Pandora die Tage mehr Details veröffentlicht.
Artikel 30 der DSGVO-Verordnung verpflichtet Verantwortliche und Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Es ist genau aufgelistet, welche Angaben in diesen Listen zu erfolgen haben.
Für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, gelten die obigen Pflichten nicht, bzw. nur eingeschränkt. Nur wenn besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 verarbeitet werden, gilt die obige Ausnahme nicht.
Nun schreibt heise, dass im Entwurf der EU-Kommission vorgesehen ist, dass Firmen und Organisationen mit bis zu 749 Mitarbeitern von der DSGVO-Dokumentationspflicht im Hinblick auf die Verarbeitung persönlicher Daten auszunehmen seien. Dieser Kreis der Betroffenen, die solche Verarbeitungsverzeichnisse führen müssen, würde dadurch reduziert.
Datenschutzorganisationen stoßen sich nun an den Details dieser Regelung. Während die Ausweitung von 250 auf 750 Mitarbeiter theoretisch etwas zur Entbürokratisierung beitragen könnte, liegen die Risiken im Detail. Einerseits ist es hilfreich, wenn Verantwortliche wissen, welches persönlichen Daten verarbeitet werden. Spätestens bei einem DSGVO-Vorfall taucht doch die Frage auf "welche Daten wurden wo verarbeitet". Ohne Dokumentation wird es schwierig.
Datenwirtschaft würde profitieren
Weiterhin weisen beispielsweise die Grünen im EU-Parlament darauf hin, dass Firmen aus der Datenwirtschaft oft keine 750 Mitarbeiter haben und folglich kein Verarbeitungsverzeichnis mehr führen müsste. Die Ausnahme von Hochrisiko-Szenarien aus Artikel 35 DSGVO, die eine Pflicht für das Führen eines Verarbeitungsverzeichnisses begründen, träfen auf die Datenwirtschaft und die dort verarbeiteten Daten selten zu.
Stellungnahme der Verbraucherzentralen
Zum 21. Mai 2025 hat der Bundesverband der Verbraucherzentralen diese Mitteilung mit einer Stellungnahme zu den EU DSGVO-Novellierungsplänen veröffentlicht. Dort findet sich die Information, dass die bisherige Ausnahme zum Führen eines Verarbeitungsverzeichnisses nicht mehr wie bisher nur kleinen und mittleren Unternehmen (KMU) bis zu einer Größe unterhalb von 250 Mitarbeitenden gewährt werden soll. Vielmehr sei eine Ausweitung auf "kleine Midcap-Unternehmen" ("small mid-caps" / SMC) mit weniger als 750 Beschäftigten und nicht mehr als 150 Millionen Euro Jahresumsatz sowie einer Bilanzsumme von maximal 129 Millionen Euro vorgesehen.
Der vzbv steht diesen Vorschlägen mit grundsätzlicher Skepsis gegenüber. Sorge bereitet dem vzbv, dass die vorgeschlagenen Anpassungen das Tor für weitergehende Aushöhlungen der DSGVO öffnen könnten. In der politischen Debatte seien etwa von Seiten der deutschen Bundesregierung Vorschläge eingebracht worden, KMU vollständig vom Anwendungsbereich der DSGVO auszunehmen.
Die Dokumentation von Verarbeitungstätigkeiten sei, so die Verbraucherzentralen, ein zentrales Element eines effektiven Datenschutzmanagements. Datenschutzrisiken lassen sich nicht in statischer Weise, sondern nur kontextuell und dynamisch beurteilen, heißt es. Risiken ergeben sich aus den konkreten Konstellationen der Verarbeitung, die sich jederzeit ändern können. Würde man den Vorschlägen im Entwurf der Novelle der EU-Kommission folgen, wäre es etwa für Ärzte oder Rechtsanwälte künftig grundsätzlich nicht mehr erforderlich, ein Verzeichnis von Verarbeitungstätigkeiten zu führen.
Statt einer pauschalen Ausnahmeregelung sollte der europäische Gesetzgeber
seine Bemühungen darauf konzentrieren, insbesondere kleinen Unternehmen
durch gezielte Aufklärung, Schulungsangebote und technische Werkzeuge zur
Führung von Verzeichnissen zu unterstützen, fordert die Verbraucherzentrale.
Die Evaluationsberichte der Europäischen Kommission sowie das in diesem Rahmen
eingebrachte Stakeholder-Feedback haben laut Bundesverband der Verbraucherschutzzentralen keinen strukturellen Reformbedarf erkennen lassen. Vielmehr wird betont, dass die Grundsätze und Regelungen der DSGVO zweckmäßig sind. Der Fokus sollte daher auf einer kohärenten Auslegung und Durchsetzung liegen, nicht auf Deregulierung, fordern die Verbraucherschützer.
PS: Da Diskussionen zu bestimmten Themen inzwischen gerne entgleisen -> Bedenkt beim Kommentieren, dass der Kontext sachlich sinnvoll und für Mitleserschaft hilfreich sein sollte. Erste Kommentare in Richtung Geldköfferchen habe ich daher als nicht zielführend rigoros gelöscht. So was kann man am Stammtisch wälzen, sollte aber nicht hier im Blog zu einem nicht öffentlichen Entwurf als Diskussionsgrundlage beigesteuert werden. Danke für das Verständnis.
MVP: 2013 – 2016
Hallo, in dem zitierten Heise-Artikel liegt eine Ungenauigkeit vor. In §30 Abs.5 DSGVO steht als Ausnahme :
"Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien"
Eigentlich heißt das in der Praxis fast immer auch unter 250 Mitarbeiter ist ein VVT zu pflegen, da die 3 genannten Ausnahmen:
– Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der Betroffenen
– Datenverarbeitung erfolgt gelegentlich
– keine Datenverarbeitung von besonderen Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO und Art. 10 DSGVO
auf wenige VT anzuwenden sind.
Und es gibt Aufsichtsbehörden, die vertreten, daß es überhaupt gar keine Datenverarbeitung geben kann, die kein Risiko für die Rechte und Freiheiten birgt, da immer etwas schiefgehen kann.
Mit Recht.
Nein. Zu behaupten, eine Norm sei nur so zum Spaß da, und sie könne nie anwendbar sein, ist ein Ermessensausfall. Das kommt eben davon, wenn man eine unglaublich schlecht formulierte Verordnung in die Welt setzt, die zum Ausgleich für alle massiven Fehler umso höhere Sanktionen hat. Kann ins NUL-device.
Wie jemand an anderer Stelle geschrieben hat, sollte man auch die Anzahl der potentiell betroffenen im Auge behalten, nicht nur die Mitarbeiter-Anzahl.
Wie ist z. B. das Verhältnis MA zu Kunden bei Waipu.TV (über 1 Mio Kd), Spotify, Netflix International B.V. (Niederlande), etc. Könnte mir vorstellen, dass dort relativ wenige Mitarbeiter nötig sind.
Da wir in Deutschland immer die Religion verarbeiten, wegen der Kirchensteuer sind alle Unternehmen mit den Artikel 9 Daten mit drin.
Das Ziel halte ich ja für richtig, aber beim Weg hätte ich andere Ideen. Hier denke ich drüber nach, wie man Verarbeitungsverzeichnis und Datenschutzerklärung zusammenlegen und radikal vereinfachen könnte, so dass sie sowohl einfacher zu erstellen als auch nützlicher werden: https://medium.com/@damiel_gc/tl-dr-9abd6621c1b0