DSGVO-Reform 2025 – echte Entlastung für KMU oder nur ein politisches Signal?
Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 das Fundament des europäischen Datenschutzrechts – und sorgt gerade bei kleinen und mittleren Unternehmen (KMU) seit jeher für Diskussionen über Bürokratie und Praxisnähe. Mit der geplanten DSGVO-Reform 2025 will die EU-Kommission diese Kritikpunkte aufgreifen und den Mittelstand entlasten. Insbesondere soll die Pflicht zur Führung eines Verarbeitungsverzeichnisses neu geregelt werden. Doch was bedeutet das wirklich für kleinere Unternehmen und Webseitenbetreiber?
Hinweis: Die folgenden Informationen basieren auf dem Stand vom 19. August 2025 und beziehen sich auf die aktuellen Reformpläne der EU-Kommission sowie die Stellungnahmen des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten (EDSB). Da sich der Gesetzgebungsprozess noch im Fluss befindet, können sich Inhalte und Auslegungen bis zur endgültigen Verabschiedung ändern.
1. Hintergrund & Ausgangslage
Im Rahmen des sogenannten 4. Omnibus-Pakets hat die Europäische Kommission bereits im Mai 2025 konkrete Vorschläge zur Vereinfachung der DSGVO vorgelegt.
„Das erklärte Ziel: den bürokratischen Aufwand für kleine und mittlere Unternehmen (KMU) spürbar zu senken und damit deren Wettbewerbsfähigkeit im europäischen Binnenmarkt zu stärken.“
Ein besonderer Schwerpunkt liegt dabei auf Artikel 30 DSGVO, der die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten regelt. Dieses Verzeichnis ist bislang ein zentrales Element der Rechenschaftspflicht und soll dokumentieren, wie und wofür personenbezogene Daten innerhalb eines Unternehmens verarbeitet werden.
Gerade für kleine und mittlere Unternehmen bedeutet diese Dokumentationspflicht jedoch häufig einen hohen organisatorischen und zeitlichen Aufwand – selbst dann, wenn die Datenverarbeitungen überschaubar sind und nur geringe Risiken für Betroffene bergen. Vor diesem Hintergrund schlägt die Kommission vor, die Anforderungen zielgerichtet zu lockern, um Unternehmen ohne komplexe Datenverarbeitung spürbar zu entlasten.
2. Die Kernpunkte des Reformvorhabens
a) Schwellenwert für Dokumentationspflicht deutlich erhöht
Bislang gilt: Bislang gilt: Unternehmen mit weniger als 250 Mitarbeitenden sind nur dann von der Pflicht befreit, ein Verarbeitungsverzeichnis zu führen, wenn ihre Datenverarbeitungen:
- lediglich gelegentlich erfolgen,
- keine sensiblen Daten wie Gesundheits- oder Religionsdaten verarbeitet werden,
- keine Informationen über Straftaten enthalten sind und
- kein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.
b) Zusatz: Definition von KMU und „SMC“ (Small Mid-Caps)
Erstmals sollen in Artikel 4 DSGVO neue Begriffsdefinitionen eingeführt werden:
-
KMU (weniger als 250 Mitarbeitende bzw. Umsatz < 50 Mio. € / Bilanzsumme < 43 Mio. €),
-
SMC (weniger als 750 Mitarbeitende, Umsatz ≤ 150 Mio. €, Bilanz ≤ 129 Mio. €)
c) Erleichterung auch bei Verhaltensregeln & Zertifizierungen
Gemäß Reformentwurf sollen Artikel 40 (Verhaltensregeln) und Artikel 42 (Datenschutz-Zertifizierungen) explizit auch SMC berücksichtigen – um passgerechtere Compliance-Instrumente zu ermöglichen.
Mit WEMAktuell immer informiert!
Verpassen Sie zukünfitg keine unserer praxisbezogenen Fachartikel und Blogbeiträge mehr. Erhalten Sie Checklisten und Leitfäden, zu den Themen Informationssicherheit, Datenschutz & DSGVO, Digitalisierung & KI, Webtechnologien, Arbeitsschutz, Normen & Compliance – verständlich erklärt, aktuell und präzise.
3. Stellungnahmen und Stimmen
EDSA & EDSB – vorsichtige Zustimmung
Am 9. Juli 2025 veröffentlichten der Europäische Datenschutzausschuss (EDSA) (Link zum Beitrag) und der Europäische Datenschutzbeauftragte (EDSB) eine gemeinsame Stellungnahme. Sie begrüßen die Entlastung im Allgemeinen – betonen aber die Wichtigkeit, dass Grundrechte weiterhin geschützt und zentrale DSGVO-Prinzipien nicht geschwächt werden dürfen. Zudem fordern sie eine klarere Begründung der neuen Schwelle (750 Mitarbeitende) und empfehlen, dass die neuen Definitionen von KMU/SMC unbedingt in Art. 30 referenziert werden sollten
Kritikseite – Risiko der Aushöhlung
Datenschutzexperten und NGOs warnen – etwa im offenen Brief der EDRi. Sie befürchten, dass das Vorhaben als erster Schritt zu einer schrittweisen Verwässerung der DSGVO verstanden werden könnte:
-
Das Verarbeitungsverzeichnis sei zentrale Grundlage für Transparenz, Informationspflichten und Datenschutz-Folgenabschätzungen.
-
Ohne Verzeichnis fehlt Unternehmen die Übersicht und Rechenschaftspflicht bleibt schwach – insbesondere bei darauffolgenden DSGVO-Anforderungen
4. Bedeutung der Reform für KMU & Webseitenbetreiber
Erhoffte Vorteile
Geringerer Dokumentationsaufwand
KMU mit bis zu 749 Mitarbeitenden, die kein hohes Risiko bedienen, könnten künftig auf Verarbeitungsverzeichnisse verzichten.
Gezieltere Compliance-Instrumente
SMC bekommen besseren Zugang zu Verhaltensregeln & Zertifizierungen angepasst an ihre Größe.
Wettbewerbsfähigkeit
Weniger Bürokratie kann Ressourcen freimachen für Innovation und Kundenerlebnis.
Risiko / Herausforderung
Risiko bleibt entscheidend
Auch kleinere Unternehmen müssen selbst einschätzen, ob ihre Verarbeitung „hohes Risiko“ darstellt.
Fehlende Übersicht
Ohne Verzeichnis ist Compliance schwächer, insbesondere bei Informationspflichten oder bei Kontakt mit Aufsichtsbehörden.
Unklarer Gesetzgebungsweg
Der endgültige Text ist noch offen. Stakeholder müssen Änderungen aufmerksam begleiten.
5. Empfehlung – So können Webseitenbetreiber & KMU reagieren
Risikoanalyse jetzt starten
Wer prüfen möchte, ob eine Befreiung von Art. 30 greift, muss frühzeitig dokumentieren, ob deren Verarbeitungen als „hoch riskant“ einzustufen sind (z. B. Gesundheits- oder Zahlungsdaten).
DSGVO-Organisation im Blick behalten
Die Reform ist noch nicht final. Unternehmen sollten Gesetzgebungsverfahren aktiv beobachten und gegebenenfalls kommentieren.
Zertifizierungen im Auge behalten
Entwicklung von SMC-spezifischen Verhaltensregeln oder Zertifikaten kann Compliance erleichtern.
Grundprinzipien nicht vernachlässigen
Auch ohne Verzeichnis gelten Transparenz, Zweckbindung, Datenschutz-Folgenabschätzung & Mitarbeitersensibilisierung weiter.
6. Unser Fazit und Kritik
Aus Sicht der Praxis als Datenschutzbeauftragter lässt sich sagen: Die geplante Reform klingt zwar nach einem Schritt in Richtung Entlastung, doch der tatsächliche Effekt für Unternehmen ist weitaus geringer, als es auf den ersten Blick scheint.
Zusammenfassung
Die geplante DSGVO-Reform 2025 verspricht eine deutliche Entlastung für kleine und mittlere Unternehmen, indem die Grenze für das verpflichtende Verzeichnis von Verarbeitungstätigkeiten von 250 auf 750 Mitarbeitende angehoben werden soll. Auf dem Papier klingt dies nach einer erheblichen Erleichterung. Doch die Praxis zeigt: Die entscheidenden Kriterien – regelmäßige Datenverarbeitung, sensible Daten oder Risiken für Betroffene – bleiben unverändert. Damit bleibt der tatsächliche Spielraum für eine Befreiung auch nach der Reform sehr begrenzt.
Unsere Kritik
Bei näherem Hinsehen wird deutlich: Für Kleinstunternehmen und klassische KMU, also die breite Basis der deutschen Wirtschaft mit weniger als 25 Mitarbeitenden, ändert sich durch die Reform faktisch nichts. Sie müssen weiterhin alle wesentlichen Dokumentations- und Rechenschaftspflichten erfüllen – angefangen beim Verarbeitungsverzeichnis.
Die Reform wirkt daher mehr wie ein politisches Signal, um Bürokratieabbau zu kommunizieren, ohne tatsächlich Entlastungen für die kleineren Unternehmen zu schaffen, die am stärksten von Bürokratie belastet sind. Insbesondere für kleine Handwerksbetriebe, Praxen, Agenturen oder Onlineshops bringt die neue Regelung keinen echten Vorteil.
Vergleich: Pflicht in der Praxis
Rein rechtlich gibt es Ausnahmen (Art. 30 Abs. 5 DSGVO). In der Praxis sind diese aber so eng gefasst, dass fast jedes Unternehmen in Deutschland ein Verarbeitungsverzeichnis benötigt:
Unternehmen mit Webseiten
– Wer Cookies setzt, IP-Adressen speichert oder Kontaktformulare nutzt, verarbeitet personenbezogene Daten regelmäßig → Ausnahme greift nicht.
Arbeitgeber
– Schon die Verarbeitung von Mitarbeiterdaten (z. B. Lohnabrechnung, Krankmeldungen) macht ein Verarbeitungsverzeichnis notwendig.
Sensible Daten
– Gesundheitsdaten, Religionszugehörigkeit oder Zahlungsinformationen führen automatisch zur Pflicht.
Konkret: Fast jeder gewerbliche Webseitenbetreiber muss ein Verarbeitungsverzeichnis führen.
Private Webseiten (z. B. Hobby-Blogs, ohne Werbung oder geschäftlichen Zweck) sind durch die Haushaltsausnahme (Art. 2 Abs. 2 lit. c DSGVO) nicht betroffen. Sobald aber eine Webseite gewerblich betrieben wird oder Marketing/Tracking einsetzt, greift die Pflicht.
Abschließende Bewertung
Die Reform 2025 sollte deshalb nur in Anführungszeichen als „Reform“ bezeichnet werden. Sie erleichtert den Mittelstand auf dem Papier, löst aber nicht das Kernproblem: dass kleine Unternehmen mit minimaler Datenverarbeitung faktisch genauso streng behandelt werden wie große Konzerne. Damit bleibt der Eindruck zurück, dass es sich eher um eine politische Botschaft handelt, als um einen echten Bürokratieabbau im Alltag der KMU.
-
Für Kleinst- und Kleinunternehmen: keine faktische Entlastung, nur Papier.
-
Für Mittelständler mit 300–700 MA: ja, eine gewisse reale Entlastung.
-
Für die öffentliche Wahrnehmung: es klingt größer, als es ist.
Am Ende bleibt die Frage offen, ob die Reform ein echter Fortschritt ist – oder ob es dafür in Zukunft nicht mutigere Schritte braucht, die die Realität der kleinen Unternehmen wirklich berücksichtigen.
Kontaktieren Sie uns jetzt für ein unverbindliches Erstgespräch! Gemeinsam erhöhen wir die Sicherheit in Ihrem Betrieb – effektiv, rechtssicher und praxisorientiert.
Weitere Beiträge, die Sie interessieren könnten:

Psychische Belastung am Arbeitsplatz – Prävention, Schutz und Lösungswege im Rahmen des Arbeitsschutzes
Psychische Belastung - ein oft unterschätzes Thema Psychische Belastungen am Arbeitsplatz sind längst kein Randthema mehr. Stress,...

Digitaler Wandel bei Arbeitsverträgen: Digitale Unterschriften rechtssicher nutzen – so geht’s
Warum digitale Signaturen jetzt wichtiger sind denn je Hybrides Arbeiten, mobiles Onboarding, digitale Unterweisungen – Unternehmen stehen...

Lithium-Akkus: Die unterschätzte Gefahr im Betrieb
Warum dieses Thema aktueller ist denn je Lithium-Ionen-Akkus sind aus dem Unternehmensalltag nicht mehr wegzudenken: Sie stecken in...