
Brüssel, 9. Juli 2025 – Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben heute eine gemeinsame Stellungnahme zum Vorschlag der Europäischen Kommission für eine Verordnung zur Änderung bestimmter Verordnungen, einschließlich der DSGVO, abgegeben.
Der Vorschlag, der Teil der vierten Omnibus-Vereinfachung ist, zielt darauf ab, die EU-Vorschriften zu vereinfachen und den Verwaltungsaufwand zu verringern, indem bestimmte Risikominderungsmaßnahmen, die kleinen und mittleren Unternehmen (KMU) zur Verfügung stehen, auf kleine Midcap-Unternehmen (KMU) ausgeweitet werden, und umfasst weitere Vereinfachungsmaßnahmen.
Mit dem Vorschlag soll Artikel 30 Absatz 5 DSGVO geändert werden, der eine Ausnahme von der Verpflichtung zur Führung von Aufzeichnungen über Datenverarbeitungsvorgänge vorsieht. Derzeit gilt diese Ausnahmeregelung nur für Unternehmen und Organisationen mit weniger als 250 Beschäftigten, außer in bestimmten Fällen. Gemäß dem Vorschlag würde die Ausnahmeregelung für ein Unternehmen oder eine Organisation gelten, das bzw. die weniger als 750 Mitarbeiter beschäftigt, es sei denn, der durchgeführte Verarbeitungsvorgang führt wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne von Artikel 35 DSGVO.
Darüber hinaus wird mit dem Vorschlag eine Definition von KMU und SMC in Artikel 4 DSGVO eingeführt und der Anwendungsbereich von Artikel 40 Absatz 1 und Artikel 42 Absatz 1 DSGVO auf die SMC ausgeweitet, die sich auf Verhaltenskodizes und Zertifizierungen beziehen. Diese Instrumente sollen derzeit Unternehmen und Organisationen dabei helfen, die Einhaltung der DSGVO nachzuweisen, wobei der Schwerpunkt auf den spezifischen Bedürfnissen von KMU liegt.
Wojciech Wiewiórowski, EDSB, erklärte: „Wir unterstützen das allgemeine Ziel des Vorschlags, den Verwaltungsaufwand für KMU und kleine und mittlere Unternehmen zu verringern, solange dadurch der Schutz der Grundrechte des Einzelnen, insbesondere des Rechts auf Privatsphäre und des Rechts auf Schutz personenbezogener Daten, nicht beeinträchtigt wird. Zu diesem Zweck begrüßen wir, dass die vorgeschlagenen Änderungen zur Vereinfachung und Klärung der Verpflichtung, Aufzeichnungen über die Verarbeitung zu führen, zielgerichtet und begrenzt sind und sich nicht auf die Grundprinzipien und anderen Verpflichtungen gemäß der DSGVO auswirken.“
Anu Talus, Vorsitzender des EDSA, erklärte: „Der EDSA unterstützt das allgemeine Ziel des Vorschlags, den Verwaltungsaufwand für KMU und kleine und mittlere Unternehmen zu verringern und sicherzustellen, dass sie in der Praxis von der Pflicht zur Führung von Aufzeichnungen über Verarbeitungstätigkeiten ausgenommen werden können. Die derzeitige Ausnahmeregelung hat ihr Ziel nicht immer erreicht. Gleichzeitig ist die Aufzeichnung der Verarbeitungstätigkeiten ein nützliches Instrument, um die Einhaltung anderer Pflichten wie der der Transparenz zu unterstützen oder den Rechten betroffener Personen Wirkung zu verleihen. Die Vereinfachung wird KMU und kleinen und mittleren Unternehmen mehr Flexibilität bei der Wahl der am besten geeigneten Methode für die Einhaltung der Vorschriften bieten.“
In Bezug auf die Organisationen, für die die Ausnahmeregelung gilt, erwarten der EDSA und der EDSB angesichts der Tatsache, dass sich der Vorschlag auf Rechtsvorschriften in anderen Politikbereichen auswirkt, weitere Klarstellungen dazu, warum die neue Schwelle von Unternehmen oder Organisationen, die weniger als 750 Personen beschäftigen, im Rahmen der DSGVO angemessener wäre als die ursprünglich in Betracht gezogene Schwelle von 500 Beschäftigten. Darüber hinaus bezieht sich die neue Ausnahme in Artikel 30 Absatz 5 auf „Unternehmen mit weniger als 750 Beschäftigten“, ohne auf die neu eingeführten Definitionen von KMU und SMC zu verweisen, die auch finanzielle Kriterien enthalten. Um sicherzustellen, dass die Ausnahme KMU und kleinen und mittleren Unternehmen zugutekommt, empfehlen der EDSA und der EDSB in seiner gemeinsamen Stellungnahme, auf die neu eingeführten Definitionen von KMU und kleinen und mittleren Unternehmen Bezug zu nehmen.
Der EDSA und der EDSB fordern die beiden gesetzgebenden Organe ferner auf, im Vorschlag klarzustellen, dass der Begriff „Organisation“, der in den Anwendungsbereich der vorgeschlagenen Ausnahmeregelung gemäß Artikel 30 Absatz 5 DSGVO fällt, keine Behörden und Einrichtungen umfasst.
Die hier veröffentlichte Pressemitteilung wurde automatisch aus dem Englischen übersetzt. Der EDSA übernimmt keine Gewähr für die Richtigkeit der Übersetzung. Bitte beachten Sie den offiziellen Text in seiner englischen Fassung, falls Zweifel bestehen.