Zunächst schlägt die EU-Kommission Änderungen an der DS-GVO vor, um Unternehmen mit weniger als 750 Beschäftigten zu entlasten. Diese Reform soll den Bürokratieaufwand reduzieren, ohne die Grundprinzipien der DSGVO wie Transparenz oder Datensparsamkeit zu verändern.
Ein zentrales Element ist die Einführung der Kategorie "Small Mid-Caps" (SMCs), definiert durch weniger als 750 Mitarbeiter und entweder weniger als 150 Millionen Euro Umsatz oder einer Bilanzsumme von weniger als 129 Millionen Euro. Etwa 38.000 Unternehmen würden in diese neue Kategorie fallen. Fraglich ist jedoch, ob dies auch Unternehmen zutrifft, die besondere Kategorien personenbezogener Daten verarbeiten (z. B. Gesundheitsdaten, Angaben zu Religion und Weltanschauung).
Dieser Reformvorschlag umfasst drei wesentliche Anpassungen:
Neue Begriffsbestimmungen sollen kleinere Unternehmen und SMCs definieren, Artikel 30 DS-GVO soll angepasst werden, sodass Unternehmen unter 750 Beschäftigten von der Dokumentationspflicht ausgenommen sind, falls keine hohen Risiken bestehen und Artikel 40 und 42 DS-GVO sollen geändert werden, um die Bedürfnisse von SMCs bei Verhaltensregeln und Datenschutz-Zertifizierungen zu berücksichtigen. Ob die Vorschläge zu den Anpassungen des Art. 30 DS-GVO zielführend sind, bedarf einer gesonderten Analyse; insbesondere, da die Angaben aus dem in Art. 30 DS-GVO normierten Verzeichnis eine Grundlage für die Erfüllung der Informationspflichten – zumindest bei größeren Unternehmen, wie z. B. Krankenhäusern – darstellen dürften.
Axel Voss und Max Schrems fordern eine differenzierte DS-GVO, die kleine, mittelgroße und datenintensive Unternehmen unterschiedlich behandelt. Das Modell sieht eine "Mini-DS-GVO" für kleine Organisationen vor, während mittelgroße Unternehmen den bisherigen Regelungen folgen und datenintensive Geschäftsmodelle strengeren Vorschriften unterliegen sollen.
Beide Reformvorschläge stoßen auf Widerstand von über 100 zivilgesellschaftlichen Organisationen, Wissenschaftlern und Experten.
Kritiker befürchten einen Rückschritt bei wichtigen Garantien für Rechenschaftspflicht und Compliance und warnen vor zunehmender Bürokratie statt Vereinfachung. Sie sehen zudem eine strukturelle Benachteiligung der Betroffenen gegenüber Unternehmen und zusätzliche Herausforderungen durch manuelle Aktenverwaltung statt zentraler digitaler Systeme.
Die EU-Kommission plant zudem Verfahrensreformen zur Verbesserung der Durchsetzung, da die europäische Datenschutzaufsicht uneinheitlich sei; insbesondere die irische Datenschutzbehörde wird als Flaschenhals wahrgenommen (Viele Tech-Unternehmen sind in Irland angesiedelt.) Die Reformen sollen einheitliche Vorschriften für grenzüberschreitende Beschwerden und gemeinsame Rechte auf Anhörung schaffen sowie die Zusammenarbeit der Datenschutzbehörden erleichtern. Es gibt Forderungen, den EU-Datenschutzausschuss zu entmachten und stattdessen die EU-Kommission zu stärken, was kritisiert wird, da es die Unabhängigkeit der Datenschutzbehörden gefährden könnte.
Die Reformvorschläge zeigen die Herausforderung, eine Balance zwischen praktischer Handhabbarkeit für Unternehmen und dem Erhalt nunmehr etablierter Datenschutzstandards zu finden. Während Entlastungen kleiner Unternehmen begrüßt werden, warnen Experten davor, Datenschutzpflichten allein an der Unternehmensgröße festzumachen. Sensible Daten erfordern weiterhin hohe Standards; ungeachtet ob diese in kleinen oder großen Unternehmen verarbeitet werden.
Die genaue Ausgestaltung der Reformen muss Erleichterungen schaffen, ohne das Schutzniveau abzusenken. Ein risikobasierter Ansatz erscheint sinnvoll, bedarf aber sorgfältiger Umsetzung, um Rechtsunsicherheit oder Umgehungsmöglichkeiten zu vermeiden.
Die Reformvorschläge befinden sich noch im frühen Stadium des Gesetzgebungsverfahrens aber schon jetzt erscheint es so, als würde die Reform der DS-GVO die Zukunft des europäischen Datenschutzes prägen und global Einfluss haben. Gerne unterstützen wir Sie bei allen Herausforderungen. Kommen Sie gerne auf uns zu. Jetzt Kontakt aufnehmen!