Weniger Bürokratie für kleine Unternehmen? Was die geplante VVT-Lockerung wirklich bedeutet
Geschrieben von Laura Stöhr, veröffentlicht am 07.08.2025Die EU-Kommission will die Datenschutz-Grundverordnung (DSGVO) anpassen, und zwar an einer Stelle, die vor allem kleine und mittlere Unternehmen (KMU) betrifft: Künftig soll erst ab 750 Mitarbeitenden (statt bisher 250) die Pflicht bestehen, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen. Klingt nach echter Entlastung. Doch wie so oft steckt der Haken im Detail.
Gilt die Ausnahme für alle kleinen Unternehmen?
Nein. Die geplante Lockerung greift nur dann, wenn keine Daten mit voraussichtlich hohem Risiko verarbeitet werden. Und genau da liegt das Problem: Wer Gesundheitsdaten verarbeitet, regelmäßig Beschäftigtendaten auswertet oder Kundendaten systematisch nutzt, wie etwa für Marketing oder Profiling, bleibt auch bei weniger als 750 Mitarbeitenden in der Pflicht.
Für viele KMU wird sich durch die Neuregelung also wenig ändern.
Was bringt das Verzeichnis – außer Arbeit?
Mehr, als viele denken. Das Verarbeitungsverzeichnis ist kein bloßes Pflichtdokument. Richtig genutzt, ist es ein zentrales Werkzeug für wirksames Datenschutzmanagement. Es hilft Unternehmen,
- den Überblick über ihre Datenverarbeitung zu behalten,
- interne Zuständigkeiten zu klären,
- Risiken frühzeitig zu erkennen,
- und bei Anfragen oder Kontrollen strukturiert zu reagieren.
Gerade in kleineren Unternehmen, wo Prozesse oft informell laufen, schafft ein gut gepflegtes VVT Transparenz und schützt so vor bösen Überraschungen.
Ja, die Erstellung kostet Zeit: Datenflüsse erfassen, Prozesse dokumentieren, Löschfristen und Sicherheitsmaßnahmen festhalten. Aber dieser Aufwand zahlt sich aus. Ein solides Verzeichnis senkt Risiken, verbessert Abläufe und signalisiert gegenüber Aufsichtsbehörden: Datenschutz ist kein Nebenthema.
Kein Grund, das VVT abzuschaffen – sondern besser nutzen
Ob die geplante Schwelle bei 750 Mitarbeitenden tatsächlich Bürokratie abbaut, ist fraglich. Entscheidend bleibt, wie eng der Risikobegriff gefasst wird. Wahrscheinlich werden viele KMU auch weiterhin nicht unter die Ausnahme fallen.
Doch unabhängig davon gilt: Ein gut geführtes Verzeichnis bringt echten Mehrwert – nicht nur zur Erfüllung der DSGVO, sondern für mehr Struktur, Sicherheit und Kontrolle im Unternehmensalltag.
Veröffentlicht am 6. August 2025
Sprechen Sie uns gerne an, bei Fragen zu Weniger Bürokratie für kleine Unternehmen? Was die geplante VVT-Lockerung wirklich bedeutet
Laura Stöhr,
Juristin mit Schwerpunkt Datenschutzrecht. Sie unterstützt unsere Consultants durch wissenschaftliche Arbeit zu aktuellen rechtlichen Fragestellungen.
Auf unserem Blog schreibt sie über Themen rund um Datenschutz, die KI-Verordnung und Informationssicherheit.
Weitere Artikel
- Tracking-Werbung auf dem Prüfstand: EU-Gericht erklärt gängige Praxis für rechtswidrig
- KI-Modelle mit systemischem Risiko: Warum Cybersicherheit und robuste Infrastruktur zur Pflicht werden
- Leitlinien zum Umgang mit Hinweisgebern und Hinweisen
- Die Umsetzung von NIS 2: Herausforderungen und Lösungsansätze
- Wenn Googeln zur datenschutzrechtlichen Falle wird: Der Fall Düsseldorf
- Ransomware-Zahlungen: Was zeigt die aktuelle Forschung?
Verwandte Artikel
- Fiese neue Betrugsmasche mit PayPal: Fake-Support lauert hinter echter Mail
- Signal-Messengerkonto „geklaut“ – was Sie jetzt tun sollten
- Voraussetzungen für „berechtigtes Interesse“ im Überblick
- Neuer Leitfaden – Methodik Grundschutz++
- Claude Mythos: Ist das neue KI-Modell ein Sicherheitsrisiko oder ein PR-Gag?
- Achtung, iPhone-User: DarkSword-Malware auf GitHub aufgetaucht