Editorial : VVT im Omnibus – bitte vorsichtig fahren! : aus der RDV 4/2025, Seite 171 bis 172

Die EU-Kommission plant in sogenannten Omnibus-Paketen EU-Rechtsvorschriften zu vereinfachen und zu harmonisieren. Im Omnibus Pakt IV soll die neue Unternehmenskategorie: „Small Mid-Caps“ (SMC) eingeführt werden, die SMC Unternehmen erfassen, die weniger als 750 Mitarbeiter beschäftigen und entweder einen Jahresumsatz von weniger als 150 Millionen Euro erzielen oder eine Bilanzsumme von weniger als 129 Millionen Euro aufweisen.

Die bestehende Ausnahme von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DS-GVO, die derzeit für Unternehmen mit weniger als 250 Mitarbeitern gilt, soll auf Unternehmen mit weniger als 750 Mitarbeitern ausgeweitet werden, sofern die Verarbeitung kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Damit würde selbst für größere mittelständische Unternehmen die Basis der Datenschutzorganisation entzogen werden.

Das VVT stellt die Grundlage für die Rechenschaftspflicht gem. Art. 5 Abs. 2 und für das Datenschutzmanagement gem. Art. 24 DS-GVO dar. Im VVT beinhaltet die datenschutzrelevanten Aspekte der Geschäftsprozesse. Es dokumentiert die Rechtmäßigkeit der Datenverarbeitungen und die Angemessenheit der technischen und organisatorischen Maßnahmen gem. Art. 32 DS-GVO. Zudem erleichtert es die Bearbeitung von Betroffenenrechten wie Auskunftsersuchen und die Klärung von Datenpannen. Für eine Entbürokratisierung ist die geplante Regelung damit sogar kontraproduktiv.

Das VVT wird dann bürokratisch und unproduktiv, wenn es in den Geschäftsprozessen zu kleinteilig angelegt ist und ausgehend von der einzelnen Verarbeitung jede IT-Anwendung erfasst. Der Wortlaut des Art. 30 Abs. 2 DS-GVO könnte hier in der Sache irreführend sein, in dem er auf einzelne „Verarbeitungen“ abstellt. Der Vorgänger der DS-GVO, die EU-Datenschutzrichtlinie (95/46/EG), forderte in Art. 19 eine Meldepflicht für eine Vielzahl von Verarbeitungen, die zur Realisierung eines oder mehrerer verbundener Zweckbestimmungen dienen. Die Umsetzung in § 4d BDSG a.F. sah konsequenterweise eine Meldepflicht von „Verfahren automatisierter Verarbeitungen“ vor.

Eine Entlastung der Unternehmen könnte dadurch erreicht werden, dass im VVT wieder auf eine Bündelung von Verarbeitungen zu verbundenen Zwecke im Sinne von „Verfahren“ abgestellt wird. Diese Begriffsbestimmung nähert sich damit auch der betriebswirtschaftlichen Definition des Geschäftsprozesses an.

Die europäische Dachorganisation CEDPO, deren Vorsitz z.Z. die GDD hat, wird diesen Vorschlag der EU-Kommission unterbreiten als praxisnaher Beitrag zum Bürokratieabbau ohne in die Substanz der Datenschutzorganisation einzugreifen.