Dass die DSGVO vielleicht nicht in allen Punkten ganz praxisnahe ist, ist auch ausserhalb der Schweiz eine verbreitete Auffassung. Die DSGVO befindet sich deshalb auf die Liste regulatorischer Vereinfachungen, die die EU-Kommission derzeit zur Stärkung der Wettbewerbsfähigkeit verfolgt, gemäss einer Mitteilung des EU-Kommissars Michael McGrath. Erwartet wird ein breiteres Paket mit Vereinfachungen, die die DSGVO einschliessen.
Der EDSA und der EDPS haben in diesem Kontext einen Brief an McGrath geschrieben. Sie beziehen sich darin auf ein Vorhaben, die Ausnahmen von der Pflicht zur Führung eines Verarbeitungsverzeichnisses auszuweiten:
- Die KMU-Grenze von heute 250 Mitarbeitenden (Art. 30 Abs. 5 DSGVO) soll demnach auf 500 Mitarbeitende angehoben werden, verbunden mit einer Umsatzschwelle;
- diese Ausnahme soll nicht wie heute schon dann entfallen, wenn Verarbeitungen zu Risiken führen, sondern erst bei “hohen” Risiken, und nicht mehr bei jeder Verarbeitung besonders schützenswerter Personendaten.
EDSA und EDPS bringen vorsichtige Zustimmung zu diesem Vorschlag zum Ausdruck:
Based on the information available, and subject to a full analysis of the specific proposal, the EDPB and EDPS can express preliminary support to this targeted simplification initiative, bearing in mind that this would not affect the obligation of controllers and processors to comply with other GDPR obligations. […]
Die Schweiz sollte sich überlegen, diese Vereinfachungen nachzuvolluziehen, wenn sie sich konkretisieren. Bei vielen Punkten – auch beim Bearbeitungsverzeichnis – lehnt sich das DSG an die DSGVO an, mit dem Ziel, einen vergleichbaren Schutz zu erreichen. Sinken die Anforderungen der DSGVO, sollte das DSG reagieren.