DSGVO: EU passt Datenschutz an

Die Europäische Kommission hat im Mai 2025 ihr viertes Omnibus-Paket vorgestellt. Es enthält erstmals eine EU-weit einheitliche Definition für „Small Mid-Caps“. Zudem sollen kleine und mittlere Unternehmen (KMU) sowie Small Mid-Caps von bestimmten Berichtspflichten und Compliance-Vorgaben befreit werden. Ein wichtiger Punkt ist auch die Erleichterung bei den Dokumentationspflichten der Datenschutzgrundverordnung (DSGVO).

Im Rahmen dieser Omnibus-Verordnung schlägt die EU-Kommission unter anderem eine umfassende Reduzierung der Dokumentationspflichten nach Art. 30 DSGVO vor. So soll beispielsweise die bisherige Ausnahme (Art. 30 Abs. 5) von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten von Unternehmen unter 250 Mitarbeitern auf Unternehmen unter 750 Mitarbeitern ausgeweitet werden. Unternehmen mit weniger als 750 Mitarbeitern müssten dieses Verzeichnis künftig nur noch für Verarbeitungstätigkeiten führen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen; dafür wäre eine Datenschutzfolgenabschätzung notwendig.

Außerdem soll die Verarbeitung sensibler personenbezogener Daten, die für die Erfüllung arbeits- oder sozialrechtlicher Pflichten (Art. 9 Abs. 2b) erforderlich ist, nicht automatisch die Pflicht zur Führung eines Verarbeitungsverzeichnisses nach sich ziehen.

Die ZDH und ZDB haben eine Stellungnahme erarbeitet, die die Pläne der EU-Kommission unterstützt und weitere Vorschläge zur Entlastung der Betriebe beim Datenschutz macht. Der „risikobasierte Ansatz“ der EU soll gestärkt werden, so dass risikoarme Datenverarbeitungen im Handwerk mit weniger Datenschutz durchgeführt werden können.

Die Vorschläge betreffen u.a.

• die Informationspflichten nach Art. 13. Danach sollen Informationspflichten eines Betriebes, der eine Mail oder einen Anruf von einem neuen Kunden erhält, bei risikoarmen Verarbeitungsprozessen abgeschafft werden bzw. in ein Auskunftsrecht des Kunden umgewandelt werden. Ein Kunde, der bestimmte Informationen wünscht, muss diese erhalten. Eine anlasslose Information über Rechtsgrundlagen, Fristen und Rechte, die den Kunden nicht interessieren, braucht es dagegen nicht.
• eine Einschränkung des Auskunftsrechts, um missbräuchliche Auskunftsverlangen zu verhindern.
• eine Vereinfachung der Weitergabe von Kunden- und Beschäftigtendaten bei der Betriebsübergabe. Überhaupt müsse das Konstrukt der „Einwilligung“ des Mitarbeiters in die Verarbeitung seiner Personendaten überarbeitet werden, weil die Einwilligung wegen der Abhängigkeit des Mitarbeiters vom Arbeitsgeber nicht rechtssicher sei.
• die Verpflichtung, Auftragsverarbeitungsverträge mit datenverarbeitenden Dienstleistern zu schließen (Art. 28 DSGVO). Diese Verpflichtung sollte auf Betriebe mit mehr als 250 Mitarbeitern eingeschränkt werden, es sei denn, es handelt sich um eine risikoreiche Datenverarbeitung.
• die Rechtsgrundlage im Art. 6 Abs. 1 f) DSGVO, das „berechtigte Interesse“ an der Verarbeitung personenbezogener Daten; es soll gestärkt werden. Dies soll auch die Nutzung risikoarmer KI-Anwendungen vereinfachen.

Über die weitere Entwicklung werden wir Sie auf dem Laufenden halten.