Die Europäische Kommission hat am 21. Mai 2025 einen Verordnungsvorschlag zur Änderung der DSGVO vorgelegt. Unter dem Deckmantel des Bürokratieabbaus für Unternehmen mit bis zu 750 Mitarbeitenden wird die erhoffte Entlastungswirkung ausbleiben.

Dokumentationspflicht im Fokus

Die zentrale Reformbestrebung liegt auf eine Änderung des Art. 30 DSGVO, die zentrale Dokumentationspflicht des Verantwortlichen. Die geltende Vorschrift enthält bereits eine Privilegierung in Art. 30 Abs. 5 DSGVO. Diese Regelung ist tatsächlich missraten. Sie befreit Unternehmen mit weniger als 250 Mitarbeitenden nur dann von der Dokumentationspflicht, wenn es sich um eine gelegentliche Verarbeitung handelt, keine besonderen Datenkategorien betroffen sind und kein Risiko für Betroffene besteht. Die Voraussetzungen müssen kumulativ erfüllt sein, was so gut wie nie der Fall ist. Die Privilegierung läuft praktisch ins Leere.  

Die Reform ersetzt diese kumulativen Tatbestandsmerkmale dadurch, dass Unternehmen mit bis zu 750 Mitarbeitenden nur noch dann ein Verzeichnis führen müssen, wenn ihre Verarbeitung „voraussichtlich zu einem hohen Risiko“ führt.

Komplexitätsverlagerung statt echter Entlastung

Die Reform bewirkt jedoch keine echte Vereinfachung, sondern verlagert die Komplexität. Unternehmen müssen künftig präzise Schwellenwertanalysen durchführen, um beurteilen zu können, ob ihre Verarbeitungen ein hohes Risiko darstellen. Diese Risikoanalysen müssen dokumentiert werden, da andernfalls gegenüber Aufsichtsbehörden nicht nachgewiesen werden kann, warum auf ein Verzeichnis verzichtet wurde.

Paradoxerweise führt dies dazu, dass Unternehmen faktisch eine Art Verarbeitungsverzeichnis „light“ erstellen müssen, um überhaupt beurteilen zu können, ob sie zur Führung eines Verarbeitungsverzeichnisses verpflichtet sind.

In der betrieblichen Realität wird es zudem nur in homöopathischen Größenordnungen vorkommen, dass ein Unternehmen mit mehreren hundert Mitarbeitenden tatsächlich keine einzige risikoreiche Verarbeitung durchführt. Verarbeitungsverzeichnisse werden somit für die KMU nicht verschwinden.

Verpasste Chancen für echte Hilfe

Statt dieser Scheinreform hätte die Kommission an wirklichen Schmerzpunkten ansetzen können. Nur beispielhaft hätte eine Regelung, die Anonymisierungen privilegiert und hierfür keine gesonderte Rechtsgrundlage erfordert hätte, echte Erleichterung geschaffen, insbesondere im Kontext mit besonderen Kategorien von personenbezogenen Daten, bei denen auf Art. 6 Abs. 1 lit. f) DSGVO nicht zurückgegriffen werden kann. Anonymisierte Daten fallen bereits jetzt nicht in den DSGVO-Anwendungsbereich, doch der Weg dorthin ist rechtlich oft unklar.

Die Kommission hätte sich auch für den Weg entscheiden können, durch Standards Prozesse zu erleichtern. Im Trilogverfahren war seinerzeit die Möglichkeit der Konkretisierung durch delegierte Rechts- und Durchführungsrechtsakte vorgesehen. Der Vorschlag hat sich nicht durchgesetzt. Die Kommission lässt die Chance verstreichen, diesen Ansatz wieder aufzugreifen.

Die Kommission verkennt zudem die Bedeutung des Verarbeitungsverzeichnises. In Unternehmen von der Leitung und Mitarbeitern teilweise als Hinderns wahrgenommen, schafft die Auseinandersetzung mit den Funktionalitäten und den Datenflüssen von IT-Anwendungen u.a. auch Transparenz für den Verantwortlichen.  

Folglich ist der Vorschlag der Kommission bedauerlicherweise nicht mehr als Symbolpolitik.