![\"Paragraph\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" "\\"Recht\\"")
Die EU-Kommission arbeitet an Vorschl\u00e4gen zur Novellierung der im Mai 2018 in Kraft getretenen Datenschutzgrundverordnung (DSGVO). Nun bekannt gewordene \u00dcberlegungen sehen vor, dass Firmen mit bis zu 749 Mitarbeitern von der DSGVO-Dokumentationspflicht auszunehmen seien.<\/p>\n
<\/p>\n
Seit einigen Monaten verdichten sich die Anzeigen, dass die EU-Kommission nun endlich die Novelle aufgreifen will. Ich hatte vor einiger Zeit erstmals im Beitrag\u00a0EU will DSGVO bald aufweichen<\/a> \u00fcber entsprechende Pl\u00e4ne berichtet. Urspr\u00fcngliches Ziel der Novelle ist es, die DSGVO in Europa einheitlich besser durchsetzbar zu machen. Speziell die irische Datenschutzbeh\u00f6rde ist oft Bremsklotz, wenn es um Verfahren gegen US-Techkonzerne geht. Die Irish Data Protection Commission (IDPC) ist zust\u00e4ndig, dass diese Konzerne ihren EU-Sitz in Irland haben.<\/p>\n Andererseits erleben wir seit Monaten, dass in der deutschen Politik \u00fcber die \"Einschr\u00e4nkungen der Datenschutzgrundverordnung\" geschossen wird. Diese w\u00fcrde die Innovation und wirtschaftliche Entwicklung behindern und m\u00fcssen angepasst werden.<\/p>\n Grunds\u00e4tzlich w\u00e4re eine Novelle, die den Kern der DSGVO erh\u00e4lt, diese aber vereinfacht und f\u00fcr Unternehmen rechtssicherer macht, zu begr\u00fc\u00dfen. Aber wie so oft liegt des Teufels Kern in den Details. Denn im Entwurf f\u00fcr die Novelle wurden die urspr\u00fcnglichen Ziele wohl arg ausgeweitet. Das ruft Proteste von Datenschutzorganisationen hervor, die diese Dokumente wohl einsehen konnten.<\/p>\n Die Zivilgesellschaft (EDRi), ein Zusammenschluss diverse Datenschutzorganisationen, der die Novellierungspl\u00e4ne der EU-Kommission wohl als Entwurf bekannt sind, hat in einem offenen Brief<\/a> vom 19. Mai 2025 gegen einzelnen Inhalte dieser Novellierungspl\u00e4ne der EU-Kommission protestiert. In dem, von einer Reihe Datenschutzorganisationen unterzeichneten, Brief wird und argumentiert, dass die DSGVO mehr als nur eine Verordnung sei. Die DSGVO sei das R\u00fcckgrat des digitalen Regelwerks der EU, eine hart erk\u00e4mpfte Errungenschaft, die hohe Standards setzt und die W\u00fcrde der Menschen in einer datengesteuerten Welt sch\u00fctzt. Ihre Auswirkungen reichten weit \u00fcber die Grenzen der EU hinaus und beeinflussen die digitale Governance weltweit.<\/p>\n Die Vorschl\u00e4ge der EU-Kommission enthalten wohl einen Vorsto\u00df\u00a0zur \u00c4nderung einiger Bestimmungen, die kleine und mittlere Unternehmen unterst\u00fctzen sollen, um die Rechtssicherheit zu erh\u00f6hen und die Durchsetzung zu st\u00e4rken. Diese seien in der Theorie gut, die Organisationen zeigen sich jedoch besorgt, dass die vorgeschlagenen \u00c4nderungen das Risiko bergen, das Ziel einer echten Vereinfachung zu verfehlen, und stattdessen wichtige Schutzmechanismen f\u00fcr die Rechenschaftspflicht zu schleifen.<\/p>\n Beim Querlesen des offenen Briefs ist mir nicht klar geworden, was angesprochen wird. Aber heise hat im Artikel\u00a0Zivilgesellschaft: EU-Plan f\u00fcr DSGVO-Reform \u00f6ffnet die B\u00fcchse der Pandora<\/a> die Tage mehr Details ver\u00f6ffentlicht.<\/p>\n Artikel 30<\/a> der DSGVO-Verordnung verpflichtet Verantwortliche und Auftragsverarbeiter ein Verzeichnis der Verarbeitungst\u00e4tigkeiten zu f\u00fchren. Es ist genau aufgelistet, welche Angaben in diesen Listen zu erfolgen haben.<\/p>\n F\u00fcr Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter besch\u00e4ftigen, gelten die obigen\u00a0Pflichten nicht, bzw. nur eingeschr\u00e4nkt. Nur wenn besonderer Datenkategorien gem\u00e4\u00df\u00a0Artikel 9<\/a>\u00a0Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten \u00fcber strafrechtliche Verurteilungen und Straftaten im Sinne des\u00a0Artikels 10<\/a> verarbeitet werden, gilt die obige Ausnahme nicht.<\/p>\n Nun schreibt heise, dass im Entwurf der EU-Kommission vorgesehen ist, dass Firmen und Organisationen mit bis zu 749 Mitarbeitern von der DSGVO-Dokumentationspflicht\u00a0 im Hinblick auf die Verarbeitung pers\u00f6nlicher Daten auszunehmen seien. Dieser Kreis der Betroffenen, die solche Verarbeitungsverzeichnisse f\u00fchren m\u00fcssen, w\u00fcrde dadurch reduziert.<\/p>\n Datenschutzorganisationen sto\u00dfen sich nun an den Details dieser Regelung. W\u00e4hrend die Ausweitung von 250 auf 750 Mitarbeiter theoretisch etwas zur Entb\u00fcrokratisierung beitragen k\u00f6nnte, liegen die Risiken im Detail. Einerseits ist es hilfreich, wenn Verantwortliche wissen, welches pers\u00f6nlichen Daten verarbeitet werden. Sp\u00e4testens bei einem DSGVO-Vorfall taucht doch die Frage auf \"welche Daten wurden wo verarbeitet\". Ohne Dokumentation wird es schwierig.<\/p>\n Weiterhin weisen beispielsweise die Gr\u00fcnen im EU-Parlament darauf hin, dass Firmen aus der Datenwirtschaft oft keine 750 Mitarbeiter haben und folglich kein Verarbeitungsverzeichnis mehr f\u00fchren m\u00fcsste. Die Ausnahme von Hochrisiko-Szenarien aus Artikel 35 DSGVO, die eine Pflicht f\u00fcr das F\u00fchren eines Verarbeitungsverzeichnisses begr\u00fcnden, tr\u00e4fen auf die Datenwirtschaft und die dort verarbeiteten Daten selten zu.<\/p>\nBei Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 (siehe Hinweise zur Datenschutz-Grundverordnung (DSGVO)<\/a>) hie\u00df es, dass in einigen Jahren geschaut wird, wie die Verordnung wirkt und dann ggf, eine Novellierung erfolge. Seit dieser Zeit sorgt die DSGVO und vor allem die Umsetzung f\u00fcr viele Diskussionen.<\/p>\n
Offener Brief der EDRi gegen \u00c4nderungspl\u00e4ne<\/h2>\n
Worum geht es genau?<\/h2>\n
Datenwirtschaft w\u00fcrde profitieren<\/h3>\n
Stellungnahme der Verbraucherzentralen<\/h3>\n