Zum Inhalt
Law Blog
Zu allen Blog-Posts
12.05.2025

Geplante Vereinfachung der Dokumentationspflichten - wird die DSGVO geändert?

Die EU-Kommission bereitet offenbar derzeit eine Änderung der Dokumentationspflichtenpflichten nach der  Datenschutz-Grundverordnung (DSGVO) vor, um bürokratische Hürden für KMUs sowie bestimmte Organisationen zu reduzieren. Dies geht aus einer gemeinsamen Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten (EDPS) hervor, wonach die EU-Kommission eine spürbare Erleichterung bei der Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO anstrebt.

Was sieht die DSGVO derzeit vor?

Verantwortliche als auch Auftragsverarbeiter sind im Rahmen der Rechenschaftspflicht nach der DSGVO verpflichtet, ein schriftliches oder elektronisches  Verzeichnis von Verarbeitungstätigkeiten zu führen. Dieses muss der Datenschutzbehörde auf Anfrage vorgelegt werden können.

Die gesetzlich vorgeschriebene Angaben im Verzeichnis von Verarbeitungstätigkeiten sind recht umfangreicht und umfassen unter anderem genaue Angaben zu Verarbeitungszwecken, betroffenen Personen, Datenkategorien und Empfängern, auch wenn sich Umfang und damit verbundener organisatorischer Aufwand deutlich zwischen Verantwortlichen und Auftragsverarbeitern unterscheidet.

Allerdings sieht die DSGVO eine Ausnahme von dieser Verpflichtung vor, wenn ein Unternehmen weniger als 250 Beschäftigte aufweist und personenbezogene Daten ausschließlich gelegentlich verarbeitet werden, keine besonderen (sensiblen) Datenkategorien betroffen waren sowie kein Risiko für die Rechte und Freiheiten der Betroffenen bestand.

Tatsächlich greift die Ausnahmebestimmung in der Praxis nicht, da typische Datenverarbeitungen wie Personalverwaltung, Kundendatenpflege oder Buchhaltung regelmäßig in den meisten modernen Unternehmen erfolgen. Dies ist auch bei KMU mit weniger als 250 Beschäftigten nicht anders.

Was soll geändert werden?

Aus der gemeinsamen, befürwortenden Stellungnahme von EDSA und EDPS geht hervor, dass der Vorschlag der EU-Kommission auf eine Reform der Ausnahmeregelung zu den Dokumentationspflichten abzielt.

Geplant sei, den bisherigen Ausschluss der Ausnahme bei „nicht nur gelegentlichen Verarbeitungen“ zu streichen. Künftig würden damit auch regelmäßig durchgeführte Verarbeitungstätigkeiten von der Ausnahmeregelung erfasst.

Zudem solle in der entsprechenden Bestimmung der Begriff „Risiko“ durch „hohes Risiko“ ersetzt werden. Verarbeitungen personenbezogener Daten wären dann nur noch dokumentationspflichtig, wenn sie voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich brächten.

„Auch die Verarbeitung besonderer Kategorien personenbezogener Daten im Bereich des Arbeitsrechts sowie des Rechts der sozialen Sicherheit und des Sozialschutzes gemäß Art. 9 Abs. 2 lit. b DSGVO solle künftig von der Pflicht zur Führung eines Verzeichnisses ausgenommen sein.

Geplant ist offenbar auch eine Anhebung des Schwellenwerts in Art. 30 Abs. 5 DSGVO, wodurch die Ausnahmeregelung künftig auch für KMU und gemeinnützige Organisationen mit bis zu 500 Beschäftigten gelten soll.

Klare Erleichterung für KMUs

Der von EDSA und EDPS beschriebene Kommissionsentwurf würde bedeuten, dass die meisten KMU mit weniger als 500 Beschäftigten nicht mehr zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet wären, solange ihre Verarbeitung personenbezogener Daten kein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt oder besondere Datenkategorien betrifft.

Künftig würde die Verarbeitung besonderer Datenkategorien allerdings keine Dokumentationspflicht mehr auslösen, sofern sie im Zusammenhang mit arbeits- oder sozialrechtlichen Verpflichtungen erfolgt.

Besondere Bedeutung für die Beurteilung der Dokumentationspflicht wird damit der Beurteilung zukommen, ob ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Im Sinne einer einheitlichen Auslegung der DSGVO können dabei die Entscheidungen und Literatur zur Benachrichtigung betroffener Personen bei einem Datenschutzvorfall (Art. 34 Abs. 1 DSGVO) und/oder zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 DSGVO) herangezogen werden, wo ebenso ein hohes Risiko Voraussetzung ist.

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.

Weitere Blog-Posts dieses Fachgebietes

Barrierefreiheitsgesetz

25.04.2025
Barrierefreiheitsgesetz und barrierefreie Zugang zu Websites

Podcast: Recht, technisch! Folge 4

12.01.2025
Podcast: Recht, technisch! Folge 4 -Geschäftsgeheimnisse richtig schützen

Änderungen des EU-Designrechts

20.11.2024
Änderungen des EU-Designrechts veröffentlicht
Weitere Blog-Posts dieses Fachgebietes

Verwendung von Cookies

Diese Website verwendet Cookies zu Analysezwecken und um die Benutzerfreundlichkeit zu erhöhen.

Sie können der Verwendung von Cookies zustimmen oder diese individuell konfigurieren.

Mehr zu unseren Datenschutzrichtlininen finden Sie auf der Seite Datenschutz.

Einstellungen

Sie können die verwendete Dienste und deren Cookies hier individuell aktivieren oder deaktivieren.

Mehr zu unseren Datenschutzrichtlininen finden Sie auf der Seite Datenschutz.

Cookies in dieser Kategorie sind für die einwandfreie Funktion der Website erforderlich und können deshalb nicht deaktiviert werden.

Cookies in dieser Kategorie dienen der Analyse des Nutzerverhaltens und helfen uns die Benutzerfreundlichkeit der Website zu verbessern.

Service zur Analyse des Nutzungsverhaltens.