Die Europäische Kommission hat am 21. Mai 2025 ein viertes sogenanntes „Omnibuspaket“ zur Vereinfachung von Vorschriften und zum Bürokratieabbau für Unternehmen in der EU vorgestellt. Ziel ist es unter anderem, die jährlichen Verwaltungskosten für Unternehmen deutlich zu senken. Ein Teil dieses Pakets beinhaltet auch Vorschläge für Erleichterungen im Kontext der Datenschutzgrundverordnung (DSGVO).

Einführung einer neuen Unternehmenskategorie: „Small Mid-Caps“ (SMC)

Als SMC sollen Unternehmen gelten, die:

• weniger als 750 Mitarbeitende beschäftigen und
• entweder einen Jahresumsatz von weniger als 150 Millionen Euro erzielen oder eine Bilanzsumme von weniger als 129 Millionen Euro aufweisen.

Konkrete DSGVO-Erleichterungen für SMCs im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Die bestehende Ausnahme von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die derzeit für Unternehmen mit weniger als 250 Mitarbeitern gilt, soll auf Unternehmen mit weniger als 750 Mitarbeitern (also SMCs) ausgeweitet werden.

Zudem gibt es einen Vorschlag, die Pflicht zur Führung eines solchen Verzeichnisses generell auf Verarbeitungstätigkeiten zu beschränken, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen.

Berücksichtigung bei Verhaltenskodizes und Zertifizierungen:

Die spezifischen Bedürfnisse von SMCs sollen künftig auch bei der Erstellung von Verhaltenskodizes (Art. 40 DSGVO) und bei Zertifizierungsmechanismen (Art. 42 DSGVO) stärker berücksichtigt werden.

Key Facts

Es ist zu beachten, dass es sich hierbei um Vorschläge der EU-Kommission handelt. Diese müssen noch vom Europäischen Parlament und dem Rat der Europäischen Union beraten und angenommen werden, bevor sie in Kraft treten können. Eine Einigung und Umsetzung wird nicht vor Anfang 2026 erwartet. Zusätzlich erfüllt diese vierte Omnibus-Vereinfachung die Zusage der Kommission, die EU-Vorschriften zu vereinfachen und den Verwaltungsaufwand zu verringern.

Alle Regulierungsvorhaben sind für die Regelungsadressaten mit erheblichem Umsetzungsaufwand verbunden. Bei DORA hat der Finanzsektor den vermeintlichen Vorteil, dass mit den Anforderungen aus VAIT bzw. BAIT bereits ein in vielen Punkten ähnliches Regelwerk existiert. NIS2 hingegen dürfte gerade für „kleinere“ Unternehmen einen hohen prozessualen Aufwand bedeuten. Der CRA betrifft dagegen alle Unternehmen, die Produkte mit digitalen Elementen herstellen und erfordert somit die verbindliche Beachtung des Grundsatzes von „Security by Design“.