Datenschutzgrundverordnung (DSGVO) : Kein Ausschluss von Klein- und mittelständischen Unternehmen aus der DSGVO

Personenbezogene Daten von Verbraucher:innen werden tagtäglich durch kleine und mittlere Unternehmen (KMU) verarbeitet – etwa bei Handwerkeraufträgen, durch Steuerberater:innen oder bei der Nutzung von Apps. Die Bundesregierung strebt laut Koalitionsvertrag jetzt an, KMU generell aus dem Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) auszunehmen. Das würde nicht nur die Rechte der Verbraucher:innen schwächen, sondern große Unsicherheit schaffen, wann und wo Datenschutz noch gilt. Dadurch könnte langfristig das Vertrauen in die Wirtschaft insgesamt untergraben und KMU wettbewerblich geschwächt werden.

Datenschutz ist Grundrechtsschutz

Seit der Einführung der DSGVO vor knapp sieben Jahren verlassen sich Verbraucher:innen und Unternehmen auf den Schutz, den die Regulierung ihnen bietet. Doch der Schutz personenbezogener Daten ist keine bloße Regulierungsfrage, sondern Ausdruck eines fundamentalen Grundrechts. Bereits Artikel 8 der Charta der Grundrechte der Europäischen Union garantiert jeder Person das Recht auf den Schutz ihrer personenbezogenen Daten. Dabei werden schon hier grundlegende Datenschutzprinzipien festgelegt, wie etwa die Zweckbindung, die Rechtmäßigkeit der Verarbeitung sowie grundlegende Betroffenenrechte.

Eine pauschale Ausnahme von KMU in der DSGVO, wie die Bundesregierung sie derzeit plant, würde diese Prinzipien aushöhlen – und damit europäische Grundrechte. Ob Grundrechte gelten, darf nicht von ökonomischen Kriterien wie der Betriebsgröße abhängig gemacht werden.

Keine Aussagekraft der Unternehmensgröße für Datenschutzrisiken

Neben dieser grundlegenden Unvereinbarkeit sprechen viele weitere Aspekte dagegen, KMU pauschal von Vorgaben der DSGVO zu befreien.

Zunächst ist die Annahme trügerisch, dass KMU generell ein geringeres datenschutzrechtliches Risiko bergen. In der Realität verarbeiten auch kleine Unternehmen häufig höchst sensible oder risikobehaftete personenbezogene Daten. Man denke etwa an einen Elektrikermeisterbetrieb, der moderne Smart-Home-Systeme mit Sicherheitskameras, Türsensoren und Alarmanlagen in privaten Wohnungen installiert und wartet – und dabei Zugriff auf hochsensible Daten, wie etwa Überwachungsbilder, erhält. Ähnliches gilt auch für den Ein-Mann-IT-Reparaturdienst, der Smartphones oder Laptops repariert und nicht selten vollen Zugriff auf private Fotos, Chatverläufe oder gespeicherte Passwörter hat. Auch Steuerberatungskanzleien, die als inhabergeführte KMU auftreten, haben umfassenden Einblick in die finanzielle Situation von Einzelpersonen und Unternehmen – vom Einkommen bis zu Schuldenständen. Ein zweiköpfiges Start-up, das Cloud-Software für kleine Unternehmen anbietet, agiert als Auftragsverarbeiter und hat dadurch Zugriff auf große Mengen personenbezogener Daten Dritter – etwa auf Personalakten, Kundendatenbanken oder Vertragsunterlagen. Schließlich würde sich eine solche Ausnahme für KMU auch auf unzählige App-Anbieter und Webseiten-Betreiber erstrecken, die bereits jetzt – teils bewusst, teils unbedacht – Tracking-Dienste Dritter ihn ihre Angebote einbinden.

Kurz: Die Größe eines Unternehmens ist kein tauglicher Indikator, wie datenschutzrechtlich relevant seine Tätigkeit ist.

Kohärenz europäischer Digitalpolitik

Eine Aufweichung der DSGVO würde zudem die europäische Digitalpolitik aus dem Gleichgewicht bringen. Die DSGVO bildet gemeinsam mit dem Digital Services Act (DSA), dem Digital Markets Act (DMA) und weiteren Rechtsakten vom Grundsatz her ein konsistentes Regelungsgefüge. Eine pauschale Ausnahme von KMU aus der DSGVO würde diese Kohärenz gefährden. Das würde nicht nur dem Ziel der Vereinfachung des EU-Rechts zuwiderlaufen – es gäbe auch kein einheitliches Schutzniveau mehr. Damit würde das Vertrauen in den europarechtlichen Ordnungsrahmen geschwächt und die Rechts- und Investitionssicherheit für Unternehmen untergraben werden. Gerade vor dem Hintergrund aktueller geopolitischer Herausforderungen und dem Bestreben der EU, globale Standards zu setzen, wäre ein solcher Rückschritt fatal.

Unklare Abgrenzung von KMU

Dazu kommt, dass die rechtliche Einordnung, ob ein Unternehmen als KMU gilt, keineswegs trivial ist. Unternehmensstrukturen sind häufig dynamisch, sie wachsen oder schrumpfen, sie gehen Beteiligungen ein oder gründen Tochtergesellschaften. In einem solchen Umfeld kann es für Unternehmen (und Verbraucher:innen) schnell zu Unsicherheiten kommen, ob sie unter die DSGVO fallen oder nicht. Dies hätte unmittelbare Folgen für die Rechtssicherheit im europäischen Binnenmarkt. Ein System, in dem Datenschutzpflichten von der aktuellen Unternehmensgröße abhängen, wäre instabil und kaum kontrollierbar.

Eine generelle Ausnahme von KMU könnte zudem Anreize setzen, die Unternehmensstruktur gezielt so zu gestalten, dass man sich regulatorischen Anforderungen entzieht. Ein Unternehmen könnte bewusst in mehrere kleinere Einheiten aufgeteilt werden, um die einzelnen Teile unterhalb der Relevanzschwelle zu halten. Für Datenschutzaufsichtsbehörden wäre es extrem schwer, solche Umgehungskonstruktionen aufzudecken und effektiv zu sanktionieren. Die Integrität des rechtlichen Rahmens würde dadurch massiv beschädigt.

Noch schwerer wiegt jedoch, dass eine Ausnahme von KMU für Verbraucher:innen faktisch bedeuten würde, dass sie etwa bei jedem Online-Kauf oder jeder Beauftragung von einem Handwerker überprüfen müssten, ob ihr Vertragspartner ein von der DSGVO befreites KMU ist oder nicht. Das ist mit dem grundrechtlich verankerte Schutz personenbezogener Daten unvereinbar.

Risiko des Vertrauensverlusts

Nicht zuletzt spielt auch das Vertrauen eine zentrale Rolle. Wenn Verbraucher:innen den Eindruck gewinnen, dass sie bei der Interaktion mit kleinen Unternehmen weniger Rechte haben und ihre Daten weniger sicher sind, kann dies langfristig das Vertrauen in die Wirtschaft insgesamt untergraben und KMU wettbewerblich schwächen. Das betrifft nicht nur die Anbieter direkt, sondern auch Plattformen, Marktplätze und digitale Ökosysteme, in denen KMU eingebunden sind. Eine allgemeine Skepsis gegenüber digitalen Dienstleistungen könnte zunehmen – mit negativen Folgen für die digitale Teilhabe und die wirtschaftliche Entwicklung.

Unterstützung statt Ausnahmen

Die knapp sieben Jahre alte Datenschutzgrundverordnung ist ein Meilenstein zum Schutz personenbezogener Daten. Sie schafft Sicherheit für Verbraucher:innen und Unternehmen. Eine Entlastung von KMU im Datenschutz darf jetzt nicht über pauschale Ausnahmen vom Geltungsbereich erfolgen. Das würde weit mehr Schaden anrichten, als Vorteile bringen. Vielmehr sollten KMU stärker unterstützt werden – etwa durch gezielte Informationsangebote, praxisnahe Leitlinien und digitale Hilfsmittel – ohne das grundrechtliche Schutzniveau zu untergraben oder systemische Brüche im europäischen Datenschutzrecht zuzulassen.

Michaela Schröder leitet den Geschäftsbereich Verbraucherpolitik des Verbraucherzentrale Bundesverbands (Vzbv) und verantwortet die Themenbereiche Digitales und Medien, Finanzmarkt, Gesundheit und Pflege sowie Lebensmittel. Zu ihrem Geschäftsbereich gehört zudem das Brüsseler Büro des Verbandes, das die Verbraucherpolitik auf europäischer Ebene mitgestaltet.