Digital Omnibus: EU will DSGVO für KMU vereinfachen

Die Europäische Kommission will die Datenschutzregeln lockern – zumindest für kleinere Unternehmen. Das heute in Brüssel vorgestellte “Digital Omnibus”-Paket soll die Bürokratie der DSGVO drastisch reduzieren, ohne die Kernprinzipien des Datenschutzes anzutasten. Kann dieser Spagat gelingen?

Im Zentrum der Reform steht eine Entlastung für kleine und mittlere Unternehmen (KMU): Die umstrittene Pflicht zum Führen eines detaillierten Verarbeitungsverzeichnisses soll deutlich entschärft werden. Brüssel reagiert damit auf jahrelange Kritik aus der Wirtschaft, die besonders kleinere Firmen durch den administrativen Aufwand der DSGVO ausgebremst sieht. Die geplanten Änderungen könnten Unternehmen Milliarden an Verwaltungskosten sparen – doch Datenschützer schlagen bereits Alarm.

Die wichtigste Neuerung betrifft Artikel 30 der DSGVO, der die Pflicht zum “Verarbeitungsverzeichnis” regelt. Bislang sind nur Organisationen mit weniger als 250 Mitarbeitern von dieser Dokumentationspflicht befreit – es sei denn, sie verarbeiten Daten regelmäßig, mit hohem Risiko oder sensible Kategorien.

Lücken im DSGVO-Verarbeitungsverzeichnis können teuer werden – Bußgelder bis zu 2% des Jahresumsatzes drohen. Gerade mit der neuen 750‑Mitarbeiter‑Schwelle bleiben viele Unsicherheiten, welche Verarbeitungsvorgänge dokumentiert werden müssen. Diese kostenlose, prüfungssichere Excel‑Vorlage nach Art. 30 plus E‑Book zeigt Ihnen Schritt für Schritt, welche Felder wirklich nötig sind und wie Sie Ihr Verzeichnis rechtssicher strukturieren. Verarbeitungsverzeichnis-Excel jetzt herunterladen

Jetzt kommt die große Kehrtwende: Die Mitarbeiterzahl für die Ausnahme steigt auf 750 Beschäftigte. Zusätzlich wird das Risikokriterium präzisiert. Künftig müssen Unternehmen ein Verarbeitungsverzeichnis nur noch dann führen, wenn ihre Datenverarbeitung voraussichtlich ein “hohes Risiko” für die Rechte und Freiheiten der Betroffenen birgt. Damit orientiert sich die Schwelle an den Vorgaben für Datenschutz-Folgenabschätzungen nach Artikel 35.

Was bedeutet das konkret? Viele mittelständische Betriebe könnten künftig auf die aufwendige Dokumentation verzichten. Die bisherige, schwammige Formulierung zur “gelegentlichen” Verarbeitung soll ebenfalls gestrichen werden – ein Schritt zu mehr Rechtssicherheit.

Langer Weg zur Reform

Die heutige Ankündigung ist das Ergebnis eines mehrmonatigen Prozesses. Den Anstoß gab eine breitere Debatte über die Wettbewerbsfähigkeit der EU, befeuert durch hochrangige Analysen wie den Draghi-Report von 2024. Im Mai 2025 legte die Kommission offiziell ihr viertes “Vereinfachungspaket” vor, das erstmals die DSGVO-Änderungen enthielt.

Am 8. Juli 2025 meldeten sich der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte zu Wort. Ihre gemeinsame Stellungnahme begrüßte zwar das Ziel der Bürokratieentlastung, forderte aber Klarstellungen zur 750-Mitarbeiter-Schwelle. Die Kernprinzipien der DSGVO dürften nicht ausgehöhlt werden, warnten die Datenschützer. Bis zum 14. Oktober sammelte die Kommission weitere Rückmeldungen von Interessengruppen. Durchgesickerte Entwürfe Anfang November lösten bereits heftige Diskussionen zwischen Datenschützern und Wirtschaftsverbänden aus.

Einheitliche Plattform für Datenpannen

Das Digital Omnibus-Paket geht über die Verarbeitungsverzeichnisse hinaus. Ein weiterer Schmerzpunkt für Unternehmen: die Meldepflichten bei Cyberangriffen und Datenlecks. Derzeit müssen Firmen oft mehrere Behörden parallel informieren – je nach DSGVO, NIS2-Richtlinie oder dem Digital Operational Resilience Act (DORA). Gerade in den kritischen Stunden nach einem Vorfall führt dieser Flickenteppich zu Verwirrung und Zeitverlust.

Die Lösung der Kommission: eine zentrale Meldeplattform. Die EU-Agentur für Cybersicherheit (ENISA) soll eine Art “One-Stop-Shop” entwickeln, über den Unternehmen alle relevanten Behörden gleichzeitig informieren können. Keine Zettelwirtschaft mehr, keine parallelen Meldevorgänge in verschiedenen Mitgliedstaaten – so zumindest die Vision aus Brüssel.

Zwischen Wettbewerbsfähigkeit und Datenschutz

Die Reaktionen auf die Reform fallen gemischt aus. Mittelstandsverbände und IT-Branchenvertreter wie Bitkom begrüßen die Initiative. Seit Jahren fordern sie, dass die DSGVO-Bürokratie besonders kleinere Unternehmen überfordert, denen es an spezialisierten Rechts- und Compliance-Abteilungen fehlt. Die Vereinfachungen könnten Ressourcen für Innovation und Wachstum freisetzen.

Doch Datenschützer zeigen sich skeptisch. Verbraucherschützer und Aktivisten befürchten, dass die höhere Ausnahmeschwelle Kontrolllücken schaffen könnte. Besonders die durchgesickerten Entwürfe nährten Sorgen über mögliche Schlupflöcher bei der Verarbeitung pseudonymisierter oder sensibler Daten. Die Kommission kontert: Es handele sich um gezielte Klarstellungen, der “Kern bleibe völlig intakt”.

Kein Wunder also, dass die Diskussion hitzig werden dürfte. Die EU-Gesetzgeber stehen vor einer Gratwanderung: Wie lässt sich die Wirtschaft entlasten, ohne das Grundrecht auf Datenschutz zu verwässern – jenes Markenzeichen der europäischen Digitalpolitik?

Der Weg bis zur Umsetzung

Mit der Veröffentlichung des Pakets beginnt erst der eigentliche Gesetzgebungsprozess. Europäisches Parlament und Rat der EU werden die Vorschläge nun debattieren, ändern und aushandeln. Dieses Mitentscheidungsverfahren dürfte mehrere Monate in Anspruch nehmen. Die finale Fassung könnte deutlich vom Kommissionsentwurf abweichen.

Für Unternehmen heißt das: beobachten, aber vorerst nichts ändern. Alle aktuellen DSGVO-Pflichten bleiben in Kraft, bis die neuen Regeln formell beschlossen werden und in Kraft treten – voraussichtlich 2026. Ob die Reform ihr Ziel erreicht, wird sich daran messen lassen, ob sie tatsächlich spürbare Erleichterung bringt, ohne das Vertrauen zu untergraben, das die DSGVO im europäischen Binnenmarkt schaffen sollte.

PS: Sie wollen das Verzeichnis schnell und korrekt erstellen? Mit der kostenlosen Excel‑Vorlage und der praktischen Anleitung erstellen Datenschutzbeauftragte und Verantwortliche ein prüfungsfestes Verzeichnis in unter einer Stunde. Ideal für kleine und mittlere Unternehmen, die Ressourcen sparen wollen und gleichzeitig DSGVO‑Anforderungen erfüllen müssen. Laden Sie die Vorlage inklusive Anleitung direkt herunter und vermeiden Sie typische Dokumentationsfehler. Kostenlose Verarbeitungsverzeichnis-Vorlage & Anleitung sichern