Konkret schlägt die Kommission mit dem Omnibus IV-Paket eine Definition von Small Midcap Companies (SMC) vor, worunter Unternehmen fallen, die weniger als 750 Beschäftigte haben, deren Umsatz unter 150 Mio. Euro liegt und deren Bilanzsumme weniger als 129 Mio. Euro beträgt. Neben einer Empfehlung zur SMC-Definition möchte die Kommission acht bestehende EU-Rechtsakte ändern, darunter auch die Datenschutzgrundverordnung (DSGVO). Insgesamt erwartet sich die Kommission durch die Deregulierungsmaßnahmen des Omnibus IV-Paketes jährlich 400 Mio. Euro an Einsparungen für Unternehmen. Die Forderung nach der Einführung einer SMC-Definition hatte der Bericht zur Zukunft der europäischen Wettbewerbsfähigkeit von Mario Draghi im September 2024 erhoben. Darin wurde argumentiert, EU-Regulierung belaste kleine und mittlere Unternehmen (KMU) und SMC proportional stärker als größere Unternehmen.

Bis 25. August hat nun die Kommission eine Konsultation zum Omnibus IV-Paket durchgeführt, an welcher sich auch die AK mit grundsätzlichen Anmerkungen und einer Stellungnahme zur DSGVO beteiligt hat. Die AK spricht sich gegen eine weitere faktische Ausweitung der Definition von KMU durch die Ergänzung der neuen SMC-Definition aus. Im Omnibus IV-Paket soll diese neue Kategorie offenbar dazu dienen, den Abbau von Rechtsvorschriften ohne umfassende Folgenabschätzung durchzuführen. Gerade in Österreich mit einer überwiegenden KMU-Struktur besteht dadurch aber auch die Gefahr, dass kleine Unternehmen (etwa auch 1-Personen-Unternehmen) gegenüber großen Unternehmen benachteiligt werden.

Änderung der DSGVO – Ausnahmeregelung zusätzlich für SMC

Konkret schlägt die Kommission mit dem Omnibus IV auch eine Änderung der DSGVO vor. Die Änderung betrifft das Führen eines Verarbeitungsverzeichnisses, also eines Dokuments, das einen Überblick über alle Datenverarbeitungsvorgänge innerhalb eines Unternehmens bietet. Geht es nach den Vorstellungen der Kommission, soll es in Zukunft nicht nur wie bisher eine Ausnahmeregelung für KMU (bis 250 Beschäftigte) geben, sondern auch für SMC, sofern deren Datenverarbeitung kein „hohes Risiko“ für die Rechte und Freiheiten von Betroffenen darstellt. Faktisch würde dadurch der Adressat:innenkreis für die Ausnahmeregelung auf etwa 99 % aller Unternehmen in der EU erweitert. Die vorgeschlagenen Änderungen werden mit möglichen Einsparungen in Höhe von 66 Mio. Euro begründet.

Aus Sicht der AK bedeutet das Nicht-Führen eines Verarbeitungsverzeichnisses eine massive Aushöhlung des Datenschutzes, da zu befürchten ist, dass Unternehmen ihren Informationspflichten gegenüber Betroffenen nicht mehr ordnungsgemäß nachkommen können. Dies könnte auch dazu führen, dass Unternehmen keine oder falsche Datenschutzmaßnahmen ergreifen, weil sie den Überblick über ihre Verarbeitungstätigkeiten verlieren. Auch die Kontrolle durch die Aufsichtsbehörden und die Rechtsdurchsetzung ist ohne Verarbeitungsverzeichnis nicht mehr uneingeschränkt möglich. Die im Omnibus IV-Vorschlag vorgesehene Regelung, dass Unternehmen selbst zwischen „hohem“ und „sehr hohem“ Risiko zuverlässig differenzieren können, scheint zudem auch nicht praxistauglich.

Grundrecht auf Datenschutz in Konkurrenz zu möglichen Einsparungen für Unternehmen

Insgesamt ist das Führen eines Verarbeitungsverzeichnisses oft der erste und einzige Anlass für Unternehmen, sich mit dem Thema Datenschutz zu beschäftigen und eine Datenschutzstrategie zu entwickeln. Gerade in Zeiten des vermehrten Einsatzes von KI-Anwendungen hat das Thema Datenschutz erhöhte Priorität: Die nun vorgeschlagene Zweigleisigkeit der Risikoeinstufung durch das KI-Gesetz und den Omnibus IV-Vorschlag birgt die Gefahr, dass Unternehmen ihre KI als risikolos einstufen und dadurch zu dem falschen Ergebnis kommen, auch keine Datenschutzmaßnahmen mehr ergreifen zu müssen. Hier ist nicht nachvollziehbar, warum das Grundrecht auf Geheimhaltung von 448 Mio. Menschen für eine Einsparung von 66 Mio. Euro auf Unternehmensseite geopfert werden soll. Wichtiger wäre die Bereitstellung von Musterdatenbanken, digitalen Verarbeitungsverzeichnissen und KI-gestützten Werkzeugen, die Unternehmen dabei helfen, Datenschutzvorgaben einzuhalten.

Weiterführende Informationen:

AK EUROPA: Konsultation zum 4. Omnibus-Paket: Öffnung der DSGVO
Europäische Kommission: Omnibus IV
BEUC: EU simplification plans should keep GDPR and on-product labelling strong (nur Englisch)
AK EUROPA: Rules to Protect. Kritik an den Omnibus-Paketen der Kommission und Alternativen zur Deregulierung