Das Jahr 2025 bringt erstmals seit 2018 möglicherweise Erleichterungen im Datenschutz. Dies betrifft zum einen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten und zum anderen die Pflicht von Unternehmen in Deutschland zur Bestellung eines betrieblichen Datenschutzbeauftragten.
Verzeichnis von Verarbeitungstätigkeiten
Zurzeit müssen Unternehmen, die über 250 Mitarbeiter beschäftigen, ein Verzeichnis von Verarbeitungstätigkeiten erstellen. Auch alle anderen Unternehmen sind dazu verpflichtet, soweit u.a. eine von ihnen durchgeführte Verarbeitung ein Risiko für Rechte und Freiheiten der Betroffenen birgt, nicht nur gelegentlich erfolgt oder dabei besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO verarbeitet werden. Insbesondere die beiden letzten Punkte sind in der Regel bei Unternehmen in Deutschland gegeben. Daten von Mitarbeitern, Kunden und Lieferanten werden dort regelmäßig verarbeitet. Außerdem werden zum Beispiel im Rahmen von Krankmeldungen Gesundheitsdaten oder bei der Gehaltsabrechnung Angaben zur Religionszugehörigkeit (Kirchensteuer!) verarbeitet. Damit besteht faktisch für so gut wie jedes Unternehmen in Deutschland die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten für sämtliche Standardprozesse zu führen.
Was soll sich ändern?
Im Rahmen ihrer Initiative zur Senkung des Bürokratieaufwands für Unternehmen (Omnibus IV) beabsichtigt die die EU-Kommission, die Mitarbeitergrenze von 250 auf 750 hochzusetzen. Darüber hinaus soll eine Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten nur noch dann greifen, wenn – und soweit – eine Verarbeitung personenbezogener Daten mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen im Sinne von Art. 35 DSGVO verbunden ist. Und besonders wichtig für Unternehmen in Deutschland: Die Rückausnahmen bezüglich der Verarbeitung besonderer Kategorien personenbezogener Daten und der nicht nur gelegentlichen Verarbeitung sollen entfallen.
Selbst wenn also ein Unternehmen künftig insgesamt von der Pflicht zur Führung eines Verarbeitungsverzeichnisses befreit ist, muss nach dem Vorschlag der EU-Kommission für einzelne besonders risikoreiche Verarbeitungsvorgänge ein solches Verzeichnis geführt werden. Das betrifft vor allem Fälle, in denen die Art, der Umfang, die Umstände oder der Zweck der Verarbeitung potenziell erhebliche Folgen für die Rechte der Beschäftigten oder anderer Betroffener haben können – etwa bei der Einführung von umfassenden Überwachungssystemen, beim Einsatz von Künstlicher Intelligenz zur Leistungsbewertung oder bei groß angelegten Gesundheitsdatenauswertungen.
Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) begrüßen diese Änderung ausdrücklich. Da mit Ausnahme weniger Marktteilnehmer diese deutliche Reduzierung bürokratischen Aufwands europaweit uneingeschränkt auf Zustimmung stoßen dürfte, ist nicht davon auszugehen, dass diese Initiative im Sande verläuft. Diese Vereinfachung führt auch nicht zu einem von manchen befürchteten Absenken des Datenschutzniveaus, denn alle sonstigen Anforderungen der DSGVO an die Verarbeitung personenbezogener Daten bleiben bestehen. Unternehmen müssen insbesondere weiterhin sicherstellen – und im Rahmen ihrer Rechenschaftspflicht gfls. auch nachweisen können – dass die Verarbeitung personenbezogener Daten zulässig ist. Dieser Nachweis konnte mit dem Verzeichnis von Verarbeitungstätigkeiten nicht geführt werden. Daher folgt aus der Abschaffung der umfassenden Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten keinesfalls eine Reduzierung des Datenschutzniveaus – auch nicht in Deutschland.
Betrieblicher Datenschutzbeauftragter
Gemäß der DSGVO sind Unternehmen zu einer Bestellung eines Datenschutzbeauftragten nur unter engen Voraussetzungen verpflichtet. Der deutsche Gesetzgeber hat die Bestellungspflicht eines Datenschutzbeauftragten in § 38 BDSG erheblich erweitert. Danach müssen nämlich alle Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen, die mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. In Zeile 1905ff des Koalitionsvertrag von CDU/CSU und SPD wird die Absicht bekundet, „bis Ende des Jahres 2025, insbesondere mit Blick auf kleine und mittlere Unternehmen, Verpflichtungen zur Bestellung von Betriebsbeauftragten ab[zu]schaffen“. Ob die Koalitionäre damit tatsächlich auch den betrieblichen Datenschutzbeauftragten adressieren, wird sich womöglich erst in 2026 zeigen. Ganz neu und überraschend wäre dies allerdings nicht, denn schon 2024 hatte der Innenausschuss des Bundesrats eine Streichung des § 38 BDSG gefordert. Wenn § 38 BDSG entweder ganz aufgehoben oder der in § 38 BDSG genannte Schwellenwert erheblich angehoben würde, könnten viele Unternehmen in Deutschland künftig auf die Bestellung eines betrieblichen Datenschutzbeauftragten verzichten. Diese Entwicklung ist uneingeschränkt zu begrüßen, da hierdurch die in vielen Fällen durch externe Datenschutzbeauftragte abgerechnete monatliche „Bestellungs-Pauschale“ entfällt.
Wir werden die weiteren Gesetzgebungsverfahren zum EU Omnibus IV und zum BDSG beobachten und Sie informieren, sobald es tatsächlich zu entsprechenden Änderungen kommt.