KMU-Datenschutz: Weniger Bürokratie, mehr Verantwortung

Die letzten Tage des Jahres 2025 bringen eine Zäsur für den Datenschutz kleiner und mittlerer Unternehmen. Während ein EU-Gesetzesvorschlag Erleichterung verspricht, schärfen neue Gerichtsurteile die Haftung in der Praxis.

Die Diskussion um das „Digital Omnibus“-Paket der EU-Kommission erreicht ihren Höhepunkt. Analysen namhafter Kanzleien vom vergangenen Wochenende zeigen: Der Entwurf könnte die Dokumentationspflicht für Tausende KMU in Deutschland, Österreich und der Schweiz massiv reduzieren. Kern ist eine Änderung von Artikel 30 der DSGVO, der das „Verzeichnis von Verarbeitungstätigkeiten“ regelt.

Bisher sind Unternehmen mit unter 250 Mitarbeitern weitgehend befreit – doch viele Ausnahmen machten die Regel oft wirkungslos. Der neue Vorschlag sieht eine Schwelle von 750 Mitarbeitern vor. Voraussetzung: Die Datenverarbeitung birgt kein „hohes Risiko“ für die Betroffenen.

„Das ist ein fundamentaler Wechsel von ‚Dokumentation als Standard‘ zu ‚Dokumentation nach Risiko‘“, kommentieren Rechtsexperten. Für KMU könnte das hunderte Verwaltungsstunden pro Jahr sparen. Der Teufel steckt jedoch im Detail: Was genau ein „hohes Risiko“ ist, bleibt unklar. Eine erste Risikobewertung – und deren Dokumentation – wird auch befreite Unternehmen nicht erspart bleiben.

Viele KMU sind unsicher, welche Verarbeitungstätigkeiten sie wirklich nach Art. 30 DSGVO dokumentieren müssen — gerade jetzt, wo die Schwelle und die Risikodefinition neu diskutiert werden. Eine sofort einsetzbare Excel‑Vorlage macht Ihr Verzeichnis prüfungssicher, erklärt Pflichtfelder Schritt für Schritt und spart Stunden an Dokumentationsarbeit. Ideal für kleine Unternehmen, die schnell rechtssicher handeln wollen. Verarbeitungsverzeichnis nach Art.30 jetzt downloaden

Parallel zur legislativen Entlastung schafft die Justiz Klarheit bei bestehenden Pflichten. Das Verwaltungsgericht Berlin urteilte am 19. Dezember zugunsten von KMU mit Marketing-Aktivitäten. Konkret ging es um ein Theater, das einen Adressbroker mit dem Versand von Werbung beauftragt hatte.

Die Datenschutzbehörde sah darin eine „gemeinsame Verantwortlichkeit“ nach Artikel 26 DSGVO, weil das Theater die Zielgruppenkriterien vorgegeben hatte. Das Gericht widersprach: Allein das Definieren von Parametern und die Beauftragung eines Dienstleisters begründen keine gemeinsame Verantwortung, wenn der Auftraggeber keinen Einfluss auf die konkrete Verarbeitung hat und keinen Zugang zu den Daten erhält.

Für KMU ist das ein wichtiger Sieg. Er bedeutet: Für standardmäßige Marketingdienstleistungen sind nicht immer komplexe Vereinbarungen zwischen gemeinsam Verantwortlichen nötig. Oft reicht ein einfacher Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO aus. Das reduziert den bürokratischen Aufwand erheblich.

OGH-Urteil gegen Meta: Warnschuss für die Lieferkette

Während Berlin die Zügel lockert, zieht Österreich sie straffer. Der Oberste Gerichtshof (OGH) entschied ebenfalls am 19. Dezember, dass das Geschäftsmodell von Meta – die Nutzung personenbezogener Daten für personalisierte Werbung ohne spezifische Einwilligung – nach der DSGVO rechtswidrig ist. Meta muss Nutzern nun innerhalb von 14 Tagen vollen Zugang zu ihren Daten und der zugrundeliegenden Logik gewähren.

Was bedeutet das für KMU? Die Entscheidung trifft zwar einen Tech-Giganten, hat aber direkte Auswirkungen auf alle, die dessen Plattformen für Werbung nutzen. Nach dem Grundsatz der Rechenschaftspflicht muss ein Unternehmen nachweisen können, dass seine Dienstleister Daten rechtmäßig verarbeiten. Wenn das Einwilligungsmodell von Meta für ungültig erklärt wird, steht die Rechtsgrundlage für alle darauf aufbauenden Werbemaßnahmen auf wackeligen Beinen.

KMU müssen nun dringend prüfen:
1. Einwilligungs-Tools: Verlassen sich die eigenen Cookie-Banner noch auf die nun widerlegten „berechtigten Interessen“ für Werbung Dritter?
2. Lieferantenbewertung: Wie ist das Risiko einzuschätzen, US-basierte Werbeplattformen zu nutzen? Diese Bewertung muss dokumentiert werden.

BFH: Klarer Weg bei Schadensersatz gegen Finanzbehörden

Ein drittes Urteil des Bundesfinanzhofs (BFH) vom 19. Dezember bringt Verfahrenssicherheit. Der BFH stellte klar: Bevor Bürger oder Unternehmen wegen eines Datenschutzverstoßes gegen eine Finanzbehörde auf Schadensersatz klagen können, müssen sie ihren Anspruch zunächst direkt bei der Behörde geltend machen. Eine Klage ohne diesen vorherigen Schritt ist unzulässig.

Für KMU, die sensible Finanzdaten an Behörden übermitteln, schafft das ein klares Prozedere. Die Dokumentation der Beschwerde und ihrer Ablehnung durch die Behörde wird zur zwingenden Voraussetzung für den anschließenden Rechtsweg.

Ausblick 2026: Übergangsphase mit neuen Prioritäten

Die Entwicklungen zeichnen ein paradoxes Bild: Weniger Formalpflichten durch die Politik, aber mehr inhaltliche Verantwortung durch die Gerichte. Für 2026 sollten sich KMU auf eine Übergangsphase einstellen.

• Erstes Quartal 2026: Das „Digital Omnibus“-Paket durchläuft die letzten legislativen Stufen. KMU sollten ihre Verzeichnisse nach Artikel 30 nicht vernichten, können die Pflege für risikoarme Tätigkeiten aber zurückstellen.
• Sofortiger Handlungsbedarf: Marketingabteilungen müssen ihre Abhängigkeit von Meta-Werbetools überprüfen. Die Dokumentation alternativer Rechtsgrundlagen wird bei Prüfungen im Januar priorisiert.
• Langfristiger Trend: Die Entwicklung geht hin zur „substanziellen Rechenschaftspflicht“ – weniger reine Formulare, aber höhere Haftung für die Wahl der falschen Partner.

Zum 22. Dezember 2025 zeichnet sich der neue Standard für KMU ab: weniger Bürokratie, aber mehr eigenverantwortliches Handeln und tiefgreifendes Verständnis der Datenflüsse im eigenen Unternehmen und seiner Lieferkette.

PS: Sie wollen bei anstehenden Prüfungen und Gesetzesänderungen auf Nummer sicher gehen? Sichern Sie sich eine praxiserprobte, fertig aufgebaute Excel‑Vorlage für das Verzeichnis von Verarbeitungstätigkeiten plus erläuterndes E‑Book – speziell für KMU. Die Vorlage zeigt Ihnen genau, welche Angaben Prüfende erwarten und hilft, Ihre Dokumentation schnell prüfungssicher zu machen. Jetzt Verarbeitungsverzeichnis-Template sichern