EDSA und EDSB zur Lockerung der Rechenschaftspflichten

16. Mai 2025

Die EU-Kommission plant eine gezielte Entlastung kleiner und mittlerer Unternehmen bei der Dokumentation ihrer Datenverarbeitung. Im Zentrum steht eine geplante Änderung des Art. 30 Datenschutzgrundverordnung (DSGVO), die im Rahmen des vierten Omnibus-Pakets verabschiedet werden soll. Der Vorschlag sieht vor, die bestehenden Ausnahmen von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten auszuweiten. Das soll insbesondere für Unternehmen mit bis zu 500 Beschäftigten gelten. Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben insofern zur Lockerung der Rechenschaftspflichten nun in einem Brief vom 08.05.2025 Stellung genommen. Sie zeigen sich offen für eine maßvolle Vereinfachung, knüpfen ihre Unterstützung jedoch an klare Bedingungen.

Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten

Art. 30 DSGVO schreibt vor, dass jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen muss. Außerdem müssen Auftragsverarbeiter ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten führen. Das Verzeichnis kann schriftlich oder elektronisch geführt werden und muss der Aufsichtsbehörde auf Anfrage vorgelegt werden.

Unternehmen mit weniger als 250 Beschäftigten sind jedoch nach Art. 30 Abs. 5 DSGVO grundsätzlich von der Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten befreit. Anderes gilt etwa, wenn sie personenbezogene Daten nicht nur gelegentlich oder in risikobehafteten Konstellationen verarbeiten.

Vorschlag der Kommission im Überblick

Die geplante Gesetzesänderung zielt nun darauf ab, diesen Schwellenwert auf Organisationen mit bis zu 500 Mitarbeitenden auszudehnen. Damit würde die Ausnahmeregelung auch für sogenannte „small mid-cap companies“ (SMCs) mit einem gewissen Umsatz und für bestimmte gemeinnützige Organisationen gelten, sofern deren Mitarbeiterzahl unterhalb der neuen Grenze liegt.

Zugleich plant die Kommission eine inhaltliche Präzisierung. Die Ausnahme soll künftig nur dann nicht greifen, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ birgt. Bislang genügte jegliche Art eines Risikos, um die Ausnahmeregelung auszuschließen. Ferner soll die Bedingung entfallen, wonach die Verarbeitung nur gelegentlich erfolgen darf. Auch die bisherige Rückausnahme für besondere Datenkategorien könnte gegebenenfalls entfallen. Zudem werde erwogen, durch einen Erwägungsgrund klarzustellen, dass bestimmte gesetzlich vorgeschriebene Verarbeitungen sensibler Daten – etwa im Arbeitsrecht – nicht unter die Dokumentationspflicht fallen sollen.

Stellungnahme von EDSA und EDSB

In ihrer gemeinsamen Stellungnahme zum Entwurf zur Lockerung der Rechenschaftspflichten äußern der EDSA und der EDSB grundsätzliche Zustimmung. Der Vorschlag werde als gezielte Maßnahme verstanden, um unnötige bürokratische Lasten insbesondere für kleinere Organisationen zu reduzieren. Die Aufsichtsorgane betonen dabei allerdings, dass die restlichen zentralen Verpflichtungen zur Einhaltung der DSGVO-Vorgaben unberührt bleiben müssen.

Zudem sei es hilfreich, Zahlen zur betroffenen Unternehmenslandschaft sowie zur praktischen und datenschutzrechtlichen Reichweite der Vereinfachung zu erhalten. Nur so lasse sich abschätzen, ob die Maßnahme insgesamt zu einer ausgewogenen Balance zwischen Datenschutzinteressen und wirtschaftlicher Entlastung für SMCs führt.

Deutlich unterstützen beide Institutionen das Vorhaben, dass die Ausnahme in jedem Fall nicht gelten soll, wenn eine Verarbeitung voraussichtlich mit einem hohen Risiko für die Rechte betroffener Personen verbunden ist. Zentraler Ankerpunkt in der Bewertung bleibt für EDSA und EDSB der risikobasierte Ansatz der DSGVO. Auch sehr kleine Organisationen könnten Datenverarbeitungen vornehmen, die ein hohes Risiko bergen.

Weiterer Gesetzgebungsprozess

Die jetzt übermittelte Stellungnahme von EDSA und EDSB verstehe sich als vorläufige Rückmeldung auf einen noch nicht veröffentlichten Entwurf der Kommission. Beide Institutionen gehen davon aus, dass nach Veröffentlichung des offiziellen Vorschlags eine formelle Konsultation gemäß Art. 42 Abs. 2 der Verordnung (EU) 2018/1725 erfolgen wird. Diese biete dann die Gelegenheit zu einer vertieften juristischen und praktischen Analyse. Ein Beschluss ist laut des Briefs (abrufbar hier) für Mai 2025 erwartet.

Fazit

Laut der Stellungnahme von EDSA und EDSB zur Lockerung der Rechenschaftspflichten sind die geplante Erweiterung auf Unternehmen mit bis zu 500 Mitarbeitenden ein legitimes Ziel, sofern die datenschutzrechtlichen Risiken nicht aus dem Blick geraten. EDSA und EDSB unterstützen das Vorhaben grundsätzlich, machen ihre Zustimmung aber von einer sorgfältigen Folgenabschätzung abhängig. Für Unternehmen im Mittelstand eröffnet sich die Perspektive auf eine spürbare Erleichterung.

Kategorien: Aufsichtsbehördliche Maßnahmen · DSGVO · EDSA · Europäische Union · Gesetzesvorhaben · Verzeichnispflicht