EU plant DSGVO-Reform zur Entlastung von KMU
Die Europäische Kommission hat im Mai 2025 eine umfassende Reform der Datenschutz-Grundverordnung (DSGVO) vorgeschlagen – mit dem Ziel, insbesondere kleine und mittlere Unternehmen (KMU) zu entlasten. Im Mittelpunkt steht dabei die Vereinfachung von Dokumentationspflichten, eine klarere Definition von Unternehmensgrößen und neue Ansätze zur Zertifizierung datenschutzkonformer Produkte.
Begriffsdefinitionen sollen präzisiert werden
Bislang war der Begriff der Kleinstunternehmen in der DSGVO zwar mehrfach genannt, jedoch nie konkret definiert. Deshalb wurde bislang auf die EU-Empfehlung 2003/361/EG zurückgegriffen, die für die Einstufung eines Unternehmens als KMU die Anzahl der Mitarbeiter, den Jahresumsatz un die Bilanzsumme abstellt. Künftig sollen Begriffe wie „kleine Unternehmen“ und „Unternehmen mittlerer Größe“ explizit aufgenommen werden. Grundlage ist eine neue Empfehlung der Kommission, die eine modernisierte Einteilung der Unternehmensgrößen vorsieht.
Dies bedeutet mehr Rechtssicherheit – etwa durch die Aufnahme neuer Begriffsnummern (Nr. 27 und 28) in Art. 4 DSGVO. Für Unternehmen bringt das eine bessere Einordnung ihrer Pflichten und Privilegien mit sich.
Lockerung der Dokumentationspflichten?
Ein Kernelement der geplanten Reform ist die Änderung von Art. 30 Abs. 5 DSGVO. Unternehmen mit weniger als 750 Mitarbeitenden sollen künftig kein Verzeichnis der Verarbeitungstätigkeiten mehr führen müssen – außer, es bestehen hohe Risiken für die Rechte der betroffenen Personen.
Doch hier regt sich Kritik: Auch ohne formelle Dokumentation bleiben die Grundpflichten bestehen. Unternehmen müssen weiterhin die Datenverarbeitung rechtskonform gestalten, Informationspflichten erfüllen und sich an die Prinzipien des Datenschutzes halten. Der Wegfall der Dokumentationspflicht alleine dürfte also kaum spürbare Entlastung bringen – jedenfalls nicht, ohne gleichzeitig auf Klarheit und Ordnung zu verzichten. Denn ohne einen geordneten Überblick über die im Unternehmen vorhandenen Prozesse, in denen personenbezogene Daten verarbeitet werden, ist es weder möglich, den Informaitonspflichten ordnungsgemäß nachzukommen, noch Auskunftsansprüche vollständig zu erteilen oder auch ein vollständiges Löschkonzept zu erstellen. Denn Grundlage für diese Dokumentationen ist ein aktuelles Verarbeitungsverzeichnis.
Datenschutz fängt beim Produkt an
Ein echter Gamechanger wäre hingegen die Einbeziehung der Hersteller von EDV- und Softwareprodukten in die Verantwortung. Bisher liegt die komplette datenschutzrechtliche Verantwortung beim Anwender – also dem Unternehmen. Dabei wäre es nur konsequent, wenn Softwareanbieter ihre Produkte von vornherein DSGVO-konform entwickeln müssten, insbesondere im Hinblick auf das Datenschutzprinzip „Privacy by Design“.
In diesem Sinne schlägt die Kommission vor, zertifizierte Produkte mit einer CE-Kennzeichnung nach Art. 42 DSGVO zu versehen. Diese sollen ein sogenanntes „Musterverzeichnis der Verarbeitungstätigkeiten“ enthalten. Unternehmen könnten damit DSGVO-konforme Software einsetzen und das Verzeichnis mit minimalem Aufwand übernehmen. Ein echter Gewinn – gerade für KMU ohne große IT-Abteilungen.
Zertifizierung schafft Vertrauen
Ein zentrales Ziel der Reform ist es, Datenschutz-Zertifizierungen für Produkte als Standard zu etablieren. Dadurch sollen Unternehmen klar erkennen können, welche Softwarelösungen den gesetzlichen Anforderungen entsprechen. Die Verantwortung würde zu einem guten Teil vom Anwender auf den Hersteller übergehen – was auch die Datenschutzbehörden entlasten dürfte.
Für den Markt könnte das erhebliche Vorteile bringen: Anbieter zertifizierter Software stärken ihre Position, Kunden profitieren von mehr Sicherheit und weniger bürokratischem Aufwand.
Fazit: Viel Potenzial, aber nicht ohne Kritik
Die vorgeschlagenen Änderungen bieten viele Chancen – insbesondere, wenn der Fokus auf datenschutzkonforme Produkte gelegt wird. Die bloße Lockerung von Dokumentationspflichten greift allerdings zu kurz. Entscheidend ist, dass Verantwortlichkeiten fair verteilt und technische Ansätze zum Teil der Lösung werden.
Sollten diese Ideen konsequent umgesetzt werden, könnte der Datenschutz nicht nur effizienter, sondern auch praxisnäher werden – ganz im Sinne der kleinen und mittleren Unternehmen, die mit begrenzten Ressourcen konform arbeiten wollen.
Sie haben Fragen zur Umsetzung der DSGVO oder zur erforderlichen Dokumentation? Sprechen Sie uns an – wir beraten Sie gern persönlich und kompetent.